Archives par mot-clé : Piratage en ligne

Le Syndicat national de l’édition (SNE) n’arrive pas à venir à bout du site pirate Z-Library

Publié le par

Z-Library reste encore accessible malgré deux jugements obtenus en France par le Syndicat national de l’édition, le 12 septembre 2024 et le 25 août 2022, pour tenter de bloquer les noms de domaine et sites miroirs de cette « bibliothèque mondiale » accusée de piratage de livres numériques.

« Le tribunal ordonne aux sociétés Bouygues Telecom, Free, SFR, SFR Fibre et Orange de mettre en œuvre et/ou faire mettre en œuvre, toutes mesures propres à empêcher l’accès au site Z-Library, à partir du territoire français, […] par tout moyen efficace, et notamment par le blocage des noms de domaine et sous-domaines associés […], au plus tard dans un délai de 15 jours suivant la signification du présent jugement et pendant une durée de 18 mois à compter de la mise en œuvre des mesures ordonnées », a décidé le tribunal judiciaire de Paris, précisé ce jour-là par Anne-Claire Le Bras (photo).

Blocage d’ici le 30 septembre 2024
Selon ce second jugement rendu le 12 septembre 2024 dans le cadre d’une procédure accélérée, les fournisseurs d’accès à Internet (FAI) – du moins les quatre principaux en France – ont ainsi l’obligation de faire barrage au site Z-Library en bloquant pas tout moyens en ligne près de 100 nouveaux noms de domaine donnant encore accès à ce que le Syndicat national de l’édition (SNE) désigne comme l’« une des plus vastes bibliothèques numériques clandestines (ou « shadow library »), accessible depuis la France, et ce, par le biais d’une multitude de noms de domaine régulièrement renouvelés ».
Le premier jugement, datant du 25 août 2022, le même tribunal judicaire de Paris avait déjà ordonné aux mêmes FAI le blocage de plus de 200 noms de domaine. Dans les deux cas, le SNE avait fait établir un nouveau procès-verbal par un agent assermenté de l’Association pour la protection des programmes (APP), qui, basée à Paris et présidée par Philippe Thomas, se présente comme un « tiers de confiance » en matière de protection numérique et propose à ses clients dont le SNE – membres d’APP ou non – de faire appel à ses agents assermentés pour une demande de constat sur Internet. « Le constat en ligne automatique est un outil reconnu par les tribunaux pour détecter et documenter les contrefaçons sur les sites Internet. Il offre une preuve numérique incontestable de la présence de contrefaçons, permettant aux requérants de prendre les mesures nécessaires pour faire valoir leurs droits », assure l’APP (1). Cela suppose qu’il y ait préalablement un mandat écrit du titulaire de droits ou de son mandataire (avocat, conseil en propriété intellectuelle, etc.). Pour faire ses constats en ligne et dresser son procès-verbal, l’agent assermenté de l’APP télécharge un échantillon de livres contenant des œuvres littéraires éditées par des éditeurs membres du SNE tels que Albin Michel, Hachette Livre (dont les éditions Albert René), Dalloz, Gallimard, Dunod, etc. Ainsi, pour la dernière décision, le procès-verbal de l’APP pour le SNE « constat[e] que la plateforme Z-Library continuait son activité contrefaisante, et ce par l’intermédiaire de 98 nouveaux noms de domaine », parmi lesquels go-tozlibrary.se, singlelogin.se, booksc.eu, cn1lib.is ou encore zlibrary-africa.se – pour ne citer qu’eux d’une longue liste à la Prévert établie dans la décision elle-même (2).

Dans la précédente décision d’il y a deux ans, le procès-verbal de l’APP pour le SNE avait fait constater le piratage de livres numériques édités par ses membres via la plateforme Z-Library accessible alors par 209 noms de domaine tels que z-lib.org, 1lib.fr, fr1lib.org, b-ok.cc ou encore book4you.org. Toutes ces adresses Internet, ou URL (Uniform Resource Locator), sont autant de chemins d’accès à cette « bibliothèque numérique », le blocage de sites web entraînant la création de sites miroirs et ainsi de suite au fur et à mesure des décisions judicaires. Ce jeu du chat et de la souri semble sans fin, tant le Web est mondial mais le blocage national. Edition Multimédi@ constate que Z-Library a déjà, sans attendre le blocage en France de ses nouveaux noms de domaines, mis en ligne d’autres noms de domaine – tels que fr.z-library.do, z-library.fr ou encore z-lib.id – pour rester accessible.

« C’est un peu le mythe de Sisyphe » (SNE)
« Les tentatives de réapparition de ce site sont ainsi contrées à l’issue de cette procédure engagée par le SNE avec le soutien particulier des douze maisons d’édition mobilisées depuis 2022 : Actes Sud, Albin Michel, Cairn, Editis, Hachette Livre, Humensis, Lefebvre-Sarrut, LexisNexis, Madrigall, Maison des Langues, Odile Jacob, et les Presses de Science Po », a cependant affirmé le 12 septembre le Syndicat national de l’édition, présidé par Vincent Montagne (photo page suivante) et fort de ses 774 membres à ce jour. « Des actions contre d’autres sites cibles sont aujourd’hui à l’étude et devraient donner lieu à de nouvelles décisions de blocage, sur le même fondement d’une action dite “en cessation” » (3), prévient le SNE, qui est plus que jamais décidé à déposer de nouvelles assignations, en actualisant avec l’APP les noms de domaine et en espérant ainsi neutraliser Z-Library. Mais force est de constater que, malgré ces décisions judiciaires, ce type de site pirate – car il n’a pas l’autorisation des maisons d’édition – continue de prospérer avec de nouvelles URL créées le plus souvent hors de France. Même le directeur juridique du SNE, Julien Chouraqui, l’a admis auprès d’ActuaLitté le 4 juillet 2024 : « C’est un peu le mythe de Sisyphe » (4). A cela s’ajoute l’utilisation de plus en plus démocratisée des VPN, ces outils de réseau privé virtuel (5) qui permettent de masquer son adresse IP et d’accéder à des services en ligne malgré le géo-blocage (6). Sans parler de son accessibilité sur le Dark Web ou via un compte Telegram.

Des analyses LeakID à la liste de l’Arcom
Cette traque semble sans fin. Z-Library mute en permanence, et ses millions de livres restent toujours disponibles en ligne malgré les assignations et les blocages. Les opérateurs télécoms, eux, ne s’opposent pas à ce blocage de multiples noms de domaines qui leur est imposé pour une durée de 18 mois. Mais pas à n’importe quelles conditions. Orange, par exemple, s’y pliera à condition que « la mesure de blocage […] réunit les conditions cumulatives, exigées par le droit positif, que sont : la preuve de l’atteinte au droit d’auteur, le caractère judiciaire préalable et impératif de la mesure dans son principe, son étendue et ses modalités, y compris pour son actualisation ; la liberté de choix de la technique à utiliser pour réaliser le blocage ; la durée limitée de la mesure ». De son côté, SFR (Altice) a demandé notamment au tribunal d’« apprécier s’il [le blocage] est proportionné et strictement nécessaire à la protection des droits en cause, au regard notamment des risques d’atteinte au principe de la liberté d’expression et de communication (risques d’atteintes à des contenus licites et au bon fonctionnement des réseaux) ».
Pour aider ses maisons d’édition membres, le SNE – tout comme la Sofia pour les auteurs – a mis en place fin novembre 2019 une « solution collective de lutte contre le piratage » fournie par la société française LeakID. Elle permet de surveiller Internet pour le compte des éditeurs – et, côté Sofia, des auteurs. Tandis que la loi « Antipiratage » du 25 octobre 2021 (7), l’Arcom (8) dispose de nouveaux pouvoirs de régulation, notamment en ayant la charge de constituer « une liste » – surnommée, hors texte de loi, « liste noire » – des « services porta[n]t atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins ». En outre, l’Arcom a le pouvoir supplémentaire de « lutte contre les sites miroirs ». Ainsi, la loi « antipiratage » a rajouté une disposition « sites miroirs » dans le code de la propriété intellectuelle (CPI) qui permet à « un titulaire de droits partie à la décision judiciaire » de saisir l’Arcom pour lui demander de mettre à jour la décision de blocage avec les nouvelles adresses Internet des sites miroirs (9). Le SNE souhaiterait que tous les organismes professionnels puissent ainsi recourir à l’Arcom dès que ceux-ci identifient de nouveau liens portant préjudices à leurs adhérents. « Le SNE est attentif à toutes les évolutions de notre droit en faveur de la lutte contre le piratage et propose ainsi que les organismes professionnels puissent recourir à l’Arcom pour étendre les blocages obtenus devant le juge à tous noms de domaine qui viendraient ensuite à être utilisés pour l’accès au site visé », a réaffirmé le 12 septembre le syndicat du boulevard Saint-Germain (son siège parisien).
Le dernier jugement indique que « Z-Library est désormais inscrite sur la liste publique établie par l’Arcom en application de l’article L. 331-25 du code de la propriété intellectuelle, référençant les services portant atteinte de manière grave et répétée aux droits d’auteur ou aux droits voisins ». En outre, est-il aussi indiqué « la plateforme Z-Library figure sur la liste des principaux sites contrefaisants établie par le ministère de l’Industrie et du Commerce américain, ainsi que sur la Counterfeit and Privacy Watch List élaborée par la Commission européenne ».
Cette plateforme numérique Z-Library, véritable projet collectif et décentralisé, a été créée en 2009 sous le nom BookFi (BookFinder) au sein du réseau de sites de partage (file-sharing) d’articles et d’ouvrages scientifiques Library Genesis, dont elle constituait alors la composante dédiée à la mise à disposition de livres numériques. Selon le SNE, la plateforme Z-Library est devenue « entièrement dédiée à la mise à disposition illicite sur Internet d’œuvres littéraires […] sous différents formats (text, ePub, PDF, etc.) permettant leur consultation sur tout support ». Des livres audios ont aussi fait leur apparition. Aujourd’hui, Z-Library – surnommée parfois « z-lib » – se revendique comme étant « la plus grande bibliothèque numérique au monde ! » donnant un « libre accès à la connaissance et à la culture » : soit à ce jour plus de 17 millions de livres et plus de 84,8 millions d’articles. Par ailleurs, depuis avril 2023, quelques « Z-Points » ont commencé à être déployés dans le monde pour échanger des livres, mais cette fois physiques, imprimés, à l’image des boîtes à livres.

Bloqué aussi aux Etats-Unis depuis 2022
Présenté comme « un projet à but non lucratif », un de ses sites miroir vient de lancer une campagne de dons du 15 septembre au 1er octobre prochains. « Comme vous le savez, en novembre 2022, sur ordre des services secrets des Etats-Unis, la quasi-totalité des domaines publics de la bibliothèque a été bloquée. Des dommages importants ont également été causés à l’infrastructure interne du projet. Aujourd’hui, nous sommes toujours sous pression constante », est-il justifié (10). @

Charles de Laubier

Lutte contre le piratage : les « cyberlockers » donnent du fil à retordre aux industries culturelles

Publié le par
Aiguillonnée par l’Alpa et l’Arcom, la justice française multiplie les décisions de blocage de sites pirates qui recourent aux « cyberlockers », hébergeurs générant des liens web pour permettre à leurs utilisateurs d’accéder à des fichiers de films, séries, musiques ou livres, souvent piratés. Les « cyberlockers » ont le vent en poupe et jouent au chat et à la souris avec les ayants droits, les régulateurs et les juges. En France, rien qu’en janvier 2024, ce ne sont pas moins cinq d’entre eux – Turbobit, Rapidgator, Streamtape, Upstream et Nitroflare – qui ont été bloqués par décision de justice. En un an, près d’une quinzaine de ces sites d’hébergement générateurs de liens web uniques ou multiples – des URL (Uniform Resource Locator) pour permettre de télécharger des fichiers de contenus et de les partager – ont été bloqués, sur décision du juge, par les Orange, SFR, Bouygues ou Free. Les 25 membres de l’Alpa en lutte Outre les cinq cyberlockers épinglés en janvier, il en a aussi été ainsi de Doodstream, Mixdrop, Vidoza et Netu par jugement de juin 2023, de Uptobox en mai 2023 (1), ainsi que de Uqload, Upvid, Vudeo et Fembed en janvier 2023. C’est ce que révèle une étude de l’Association de la lutte contre la piraterie audiovisuelle (Alpa), réalisée avec Médiamétrie et publiée discrètement le 7 mars dernier – communiquée, sans présentation formelle, aux membres de l’Alpa qui l’a mise en ligne sur son site web (2). Contacté par Edition Multimédi@, le délégué général de l’Alpa depuis plus de 21 ans, Frédéric Delacroix (photo), nous explique que « les sites pirates utilisent les cyberlockers pour héberger les contenus illicites qu’ils proposent sur leurs pages en mettant à disposition des liens – de téléchargement DDL (3) ou de streaming – renvoyant sur ces derniers, les cyberlockers étant des services essentiels dans l’écosystème pirate et ne servant qu’à l’hébergement de contenus illicites ». Les sites pirates et leurs sites miroirs peuvent y recourir pour brouiller les pistes en multipliant les URL. Les sites miroirs sont, eux, de nouveaux chemins d’accès via de nouveaux noms de domaine qu’utilisent les sites pirates, faisant l’objet de mesures de blocage sur leur nom de domaine initial, pour poursuivre leur activité illégale. Ces sites illégaux se nomment 1fichier.com, Yggtorrent.qa, Wawacity.autos, Papadustream.to ou encore Rapidgator.net, pour ne citer que les plus utilisés en décembre 2023 d’après Médiamétrie. « Les cyberlockers ont longtemps bénéficié du statut (favorable) d’hébergeurs, supprimant sur notification les fichiers illicites notifiés par les ayants droit, mais en favorisant leur réintroduction à l’identique en connivence avec les administrateurs pirates. Nous avons réussi à prouver que leur système économique ne reposait que sur la contrefaçon d’œuvres protégées », poursuit Frédéric Delacroix. Le délégué général de l’Alpa rappelle que la Cour de justice de l’Union européenne (CJUE) a – dans son arrêt « Cyando/ Uploaded » du 27 juillet 2021 (4) – édicté des principes permettant d’établir le caractère contrefaisant de ce type de cyberlocker (plateforme de partage de vidéos ou plateforme d’hébergement et de partage de fichiers). « Ce qui a permis aux ayants droit, membres de l’Alpa et à notre initiative, d’en demander le blocage en justice fin 2022 ». Et depuis 2017, les ayants droit membres de l’Alpa sont à l’initiative de décisions de justice portant sur 1.300 sites pirates à ce jour, correspondant à l’utilisation de plus de 3.400 noms de domaine. L’Alpa – association française créée il y aura 40 ans l’an prochain et présidée depuis plus de 20 ans par Nicolas Seydoux (84 ans), président de Gaumont – compte aujourd’hui vingt-cinq membres que Edition Multimédi@ présente de façon inédite par catégorie : Organisations professionnelles : Association des producteurs indépendants (API), Auteurs, réalisateurs et producteurs (L’Arp), Fédération nationale des éditeurs de films (FNEF), Motion Picture Association (MPA), Société civile des producteurs de cinéma et de télévision (Procirep), Société des auteurs et compositeurs dramatiques (SACD), Société des auteurs, compositeurs et éditeurs de musique (Sacem), Syndicat de l’édition vidéo numérique (SEVN), Syndicat des producteurs indépendants (SPI), Union des producteurs de cinéma (UPC). Studios de cinéma : Gaumont, Paramount Picture France, Pathé Films, Sony Pictures Home Entertainment, Universal Pictures Vidéo France, Walt Disney Entertainment, Warner Bros Home Video. Salles de cinéma : Fédération nationale du cinéma français (FNCF), UGC (ex-Union générale cinématographique). Chaînes de télévision : France Télévisions, Canal+, TF1, M6 via sa Société nouvelle de distribution (SND). Plateforme de SVOD : Netflix. Autorité publique : Centre national du cinéma et de l’image animée (CNC). L’Alpa touche des subventions publiques, notamment de la part du CNC qui est un établissement public à caractère administratif placé sous l’autorité du ministère de la Culture.Le CNC pourra bientôt saisir l’Arcom Grand argentier du cinéma, de l’audiovisuel et du multimédia (dont la création numérique sur Internet, jeu vidéo, réalité virtuelle et métavers), le CNC pourrait voir ses pouvoirs étendus aux sites miroirs par la proposition de loi « visant à conforter la filière cinématographique ». Ce texte législatif, qui a été adopté en première lecture au Sénat le 14 février dernier et est actuellement entre les mains de la commission des affaires culturelles et de l’éducation de l’Assemblée nationale (5) a fait l’objet d’un amendement adopté en commission début février (6). Celui-ci prévoit que les titulaires de droits ne soient plus les seuls à pouvoir saisir l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour lui demander d’enjoindre directement aux fournisseurs d’accès à internet (FAI) et sans passer par un juge (7) – comme c’est cas depuis octobre 2022 – de bloquer des sites miroirs de ces sites illégaux et cyberlockers déjà condamnés par la justice. Avec la nouvelle mesure, le CNC aurai aussi la possibilité de saisir l’Arcom pour lutter contre ces sites miroirs. Les ayants droits, les organismes de gestion collective et les organismes de défense professionnelle – autrement dit « toute personne qualifiée pour agir » (8) – pourraient aussi saisir l’Arcom sur ces sites miroirs. D’autant que les premiers résultats de cette procédure sans juge sont considérés par le régulateur et les parlementaires comme « prometteurs » au regard de « la baisse de l’audience des “galaxies” de sites miroirs ». L’Arcom aurait ainsi reçu jusqu’à maintenant plus de 600 demandes d’« actualisation de décisions de justice » qui ont lui ont permet de notifier depuis plus d’un an 770 noms de domaine aux FAI pour en empêcher l’accès. L’audience des sites illicites baisse Ces jugements de blocage de cyberlockers, ordonnés le plus souvent par le tribunal judiciaire de Paris aux opérateurs télécoms et FAI contribuent – à l’instar du blocage des sites illégaux ou de leurs miroirs – à la baisse de l’audience des sites de streaming vidéo en France. A chaque décision judicaire, les audiences de ces cyberlockers et plus généralement des sites pirates ou de leurs répliques (sites miroirs) reculent de façon significative. Pour autant, la fréquentation de ces mêmes cyberlockers et/ou sites pirates peut reprendre du poil de la bête avec la mise en ligne de nouveaux sites miroirs et de nouveau liens URL, mais sans retrouver les niveaux d’avant les jugements (voir graphique plus haut). Résultat, toujours selon Médiamétrie pour l’Alpa : l’audience globale des sites illicites en France ne cesse de baisser d’année en année (sauf en 2018), passant de 15,1 millions d’« internautes pirates » en 2016 à seulement 6,3 millions en 2023. Si l’on part de l’année 2018 où les smartphones ont été pris en compte pour la première fois, portant à 15,4 millions le nombre d’« internautes pirates », cela représente un recul de 59 % en cinq ans (voir graphique ci-dessous). Mais le piratage en ligne (streaming et téléchargement) n’est pas mort pour autant. « L’efficacité est “relative” si l’on regarde la courbe du piratage », relève le délégué général de l’Alpa, d’autant que « nos statistiques ne prennent pas en compte les blocages des services IPTV que nous opérons depuis 2020 ». @

Charles de Laubier

Plus chère, l’offre légale relance les sites pirates

Publié le par

En fait. Le 24 janvier, la Motion Picture Association (MPA) s’est alarmée de la recrudescence du piratage en ligne. Le streaming illégal de films ou d’émissions de télé est un business en hausse, qui, aux Etats-Unis, rapporte 2 milliards de dollars par an. La hausse des tarifs de la SVOD légale y est pour quelque chose.

En clair. Les raisons de ce qui se passe aux Etats-Unis en termes de résurgence du piratage en ligne pourrait aussi expliquer la recrudescence du streaming illégal de contenus cinématographiques et audiovisuels en Europe. Selon la Motion Picture Association (MPA), dont sont notamment membres les grands studios d’Hollywood mais aussi Netflix, des sites de streaming illicites tels que Myflixer.to ou Projectfreetv.space – aujourd’hui bloqués – se sont faits « des marges bénéficiaires approchant les 90 % ».
Le problème, c’est qu’il y a « des milliers de plateformes illégales » comme celles-ci qui prospèrent sur Internet, avec l’émergence plus récente de plateformes de SVOD pirates – déjà au nombre de 130 sites aux Etats-Unis – pour lesquels les utilisateurs sont prêts à payer 5 dollars par mois ou un peu plus pour accéder à un catalogue de films, de séries, d’émissions ou de sports en direct. Par rapport aux 13,49 dollars voire 19,99 dollars de Netflix, aux 8,99 dollars voire 11,99 de dollars de Disney+ ou encore aux 11,99 dollars de Paramount+, les nouveaux « pirates » souscripteurs s’estiment gagnants. Selon la MPA, le trio de tête de ces sites de SVOD illégaux totalisent à eux trois 2 millions d’abonnés. « Certains de ces sites pirates ont reçu plus de visites quotidiennes que certains des dix principaux sites légaux. Cela montre vraiment à quel point ils sont prolifiques », a indiqué à l’agence Bloomberg Karyn Temple, directrice juridique de la MPA (1). De 2022 à 2024, les tarifs d’abonnement des plateformes de SVOD – Netflix (2), Disney+, Amazon Prime Video, Apple TV+,… – n’ont cessé d’augmenter. Sans parler de l’arrivé de Max en Europe au printemps prochain (3). L’offre légale plus chère et démultipliée pousse involontairement des milliers d’utilisateurs – pris en tenaille entre ces hausses et l’inflation – dans les bras du streaming illicite et du partage de fichiers d’œuvres piratées. La centaine d’enquêteurs de l’ACE (Alliance for Creativity and Entertainment), créée en 2017 par la MPA (4), ne sait plus où donner de la tête dans sa traque de sites pirates dans le monde (5).
Selon une étude de Kearney sur des données du cabinet Muso (6), le piratage vidéo atteint en 2023 un manque à gagner mondial de 75 milliards de dollars pour les industries créatives, musique comprise confrontée aux logiciels torrents et rippers. Prévisions 2028 : 125 milliards de dollars ! @

La Quadrature du Net n’a pas réussi à « faire tomber » l’ex-Hadopi devant le juge européen

Publié le par

L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.

Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.

15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).

L’association LQDN a considéré devant le Conseil d’Etat que « la riposte graduée est doublement contraire au droit de l’Union européenne ». « D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par l[‘]Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave » (5). A ces griefs portés par LQDN à l’encontre de la réponse graduée s’ajoute le fait que ce même décret oblige les opérateurs télécoms – Orange, SFR, Bouygues Telecom et Free principalement – et les hébergeurs à conserver pendant une durée d’un an les données de connexion de l’ensemble des internautes, à savoir leurs identifiants, la date, l’heure et l’objet de leurs consultations. C’est par cette conservation généralisée des données de connexion – en particulier de l’adresse IP considérée comme une donnée personnelle depuis une décision (6) de la Cour de cassation en 2016 (subordonnant leur collecte à une déclaration préalable auprès de la Cnil) – que l’Hadopi (devenue Arcom) peut identifier les internautes « flashés » sur le Net. Rappelons que depuis près de quinze ans maintenant, ce sont les organisations de la musique (SCPP, Sacem/SDRM et SPPF) et du cinéma (Alpa) qui fournissent à l’Hadopi-Arcom les millions d’adresses IP collectées par la société nantaise Trident Media Guard (TMG) sous le contrôle de la Cnil (7).
Or, n’a cessé de rappeler LQDN, ce régime de conservation généralisée des données de connexion est contraire au droit de l’Union européenne puisque la CJUE elle-même s’est opposées – dans quatre arrêts différents (2014, 2016, 2020 et 2022) – à toute conservation généralisée et indifférenciée des données de connexion, sauf à deux conditions cumulatives : qu’il s’agisse d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante. LQDN avait « enfoncé le clou », selon sa propre expression, en posant lors de sa saisine du Conseil d’Etat une question prioritaire de constitutionnalité (QPC) pour demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci (loi Hadopi de 2009 et son décret « Traitement automatisé de données à caractère personnel ») est cruciale pour la résolution d’un litige.

Adresse IP : « Petit couac », grande procédure
Dans une décision alambiquée rendue le 20 mars 2020, le Conseil constitutionnel a censuré le mot « notamment » jugé anticonstitutionnelle dans l’article 5 de la loi dite « Hadopi 1 » (8). Les juges du Palais-Royal avaient ainsi ordonné à l’Hadopi de s’en tenir aux seules données personnelles que sont « l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques » de l’abonné concerné (9). Or dans cette énumération, il n’y a pas l’adresse IP parmi les données personnelles. « Petit couac pour la Hadopi », s’était alors félicitée LQDN. Les quatre associations françaises ont profité de cette brèche pour remonter au créneau juridictionnel en affirmant que l’accès par l’Hadopi- Arcom aux adresses IP des internautes contrevenants est illégal (car il n’y a pas de criminalité grave au sens de la CJUE) et que le décret permettant d’enregistrer ces adresses IP serait sans fondement depuis cette censure partielle du Conseil constitutionnel (l’adresse IP n’étant pas mentionné).

Deux mêmes conclusions de l’avocat général
Pour une nouvelle audience publique organisée précipitamment par Conseil d’Etat le 3 mai 2021 dans le cadre de cette même affaire (n°433539), les associations LQDN, FDN, FFDN et Franciliens.net ont déposé un nouveau mémoire (10) développant ces deux points susceptibles de « faire tomber » l’Hadopi. « Le Conseil d’Etat a décidé de botter en touche et de transmettre à la CJUE une “question préjudicielle” (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation », avait pointé LQDN. Le mémoire, déposé par l’avocat des associations, Alexis Fitzjean Ó Cobhthaigh, conclut que « le décret [“Traitement automatisé de données à caractère personnel” du 5 mars 2010] attaqué a été pris en application de dispositions législatives contraires à la Charte des droits fondamentaux de l’Union européenne […], ainsi qu’à […] la directive [“ePrivacy”] du 12 juillet 2002 en ce qu’il organise l’accès par [l‘Hadopi] à des données de connexion ».
Donc, « le refus, opposé par le Premier ministre, d’abroger ces dispositions, est illégal et ne pourra ainsi qu’être annulé ». A la question préjudicielle transmise par le Conseil d’Etat, l’avocat général de la CJUE Maciej Szpunar avait une première fois – le 27 octobre 2022 (affaire n°C-470/21) – présenté ses conclusions : « L’article 15, paragraphe 1, de la directive [“ePrivacy”], lu à la lumière […] de la Charte des droits fondamentaux de l’Union européenne, […] ne s’oppose pas à une réglementation nationale [la loi Hadopi et son décret contesté en France, ndlr] permettant la conservation […] des données d’identité civile correspondant à des adresses IP […] lorsque ces données constituent le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction » (11). Fermez le ban ? Or coup de théâtre, la grande chambre de la CJUE a demandé le 7 mars 2023 le renvoi de cette affaire à l’assemblée plénière. Par cette réouverture de la procédure pour poser des questions orales, notamment sur l’identité civile correspondant à une adresse IP (12) et en présence cette fois du Contrôleur européen de la protection des données (CEPD) et de l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’avocat général Maciej Szpunar a dû « approfondir certains éléments de [son] raisonnement ». Mais ses deuxièmes conclusions présentées le 28 septembre 2023 s’avèrent identiques (13) aux premières du 27 octobre 2022.
Tout ça pour ça, pourrait-on dire. La réponse graduée est donc sur le point – sans préjuger du verdict final de la CJUE – d’être confortée au regard du droit de l’Union européenne, alors que le traitement automatisé de données à caractère personnel de la loi Hadopi de 2009 et de son décret du 5 mars 2010 semblaient « hors-la-loi ». Faut-il rappeler le fonctionnement de la réponse graduée :
Dans un premier temps, et sans contrôle préalable par une juridiction ou une entité administrative, l’adresse IP (donnée personnelle) de l’internaute collectées par les ayants droit est transmise au FAI (14) par l’Arcom (ex-Hadopi) pour obtenir d’eux (Orange, SFR, Bouygues Telecom et Free) l’identité civile de l’internaute présumé « pirate du Net » ;
Dans un second temps, l’Arcom (ex-Hadopi) adresse à ce dernier une recommandation lui enjoignant de s’abstenir de tout nouveau manquement, suivie d’un nouvel avertissement en cas de renouvellement de l’atteinte. S’il n’est pas tenu compte des deux premiers avertissements et qu’une troisième atteinte a lieu, l’Arcom (ex-Hadopi) peut saisir l’autorité judiciaire compétente en vue d’engager des poursuites pénales.
La réponse graduée porte-t-elle atteinte à la vie privée de l’internaute ? Réponse de Maciej Szpunar : « Ainsi que je l’ai souligné, la gravité de l’ingérence que suppose la mise en relation d’une donnée d’identité civile et d’une adresse IP est bien moindre que celle résultant de l’accès à l’ensemble des données de trafic et de localisation d’une personne, dans la mesure où cette mise en relation n’apporte aucun élément permettant de tirer des conclusions précises sur la vie privée de la personne visée ». Ce à quoi l’avocat général ajoute : « Ainsi que je l’ai déjà souligné, (…) l’obtention des données d’identité civile correspondant à une adresse IP est le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction en cause ».

Mise en cause de la jurisprudence existante ?
Pour convaincre la CJUE, il précise tout de même que « la solution qu[‘il] propose vise non pas à remettre en cause la jurisprudence existante, mais à permettre, au nom d’un certain pragmatisme, son adaptation en des circonstances particulières et très étroitement circonscrites ». L’affaire semble entendue. A moins que la CJUE ne suivent pas les conclusions de son avocat général, comme cela est le cas dans plus de 20 % des affaires tout de même… A suivre. @

Charles de Laubier

Orange, SFR, Bouygues ou Free bloquent le site de téléchargement Uptobox, sur décision du juge

Publié le par
L’Association de la lutte contre la piraterie audiovisuelle (Alpa) n’a pas obtenu de l’hébergeur Uptobox le retrait des films que ses utilisateurs se partageaient de façon illicite. Saisi, le tribunal judiciaire de Paris a ordonné aux opérateurs télécoms – jugement du 11 mai 2023 – d’en bloquer l’accès. L’Association de la lutte contre la piraterie audiovisuelle (Alpa), présidée depuis plus de 20 ans par Nicolas Seydoux (photo), avait bien repéré depuis longtemps le site web d’hébergement de contenus Uptobox comme facilitant le piratage de films. D’autant qu’Uptobox (alias Uptostream) figure aussi dans la liste noire de la Commission européenne – sa « Counterfeit and Piracy Watch List » ayant été mise à jour le 1er décembre 2022 (1). Mais malgré les notifications et les procès-verbaux émis par ses agents assermentés (2), l’Alpa a constaté que « les mesures de retrait de contenus prises [par Uptobox] ne sont ni crédibles ni efficaces ». Le cyberlocker a décidé de faire appel « Les utilisateurs sont informés des retraits de contenus effectués (alors que les titulaires de droits ou leurs représentants ne le sont pas) de manière à leur permettre de remettre quasi immédiatement en ligne les contenus retirés à la demande des titulaires de droits », a relevé l’Alpa lors de ses investigations. Selon ses agents assermentés, la plateforme Uptobox d’hébergement et de partage de fichiers et/ou de vidéos comportait un total de 25.504 liens actifs mis à la disposition du public, « dont la grande majorité permet l’accès sans autorisation à des œuvres audiovisuelles protégées ». Toujours selon l’Alpa, environ 84 % des liens renvoyaient vers des « œuvres contrefaisantes ». Parmi les films ou séries piratés, ses agents assermentés ont identifié « You », « Bullet train », « Novembre » ou encore « Les Survivants ». D’après leur estimation, Uptobox était visité par plus de 1 million d’utilisateurs (« 1.111.000 de visiteurs uniques en France »). Bien que cela ne soit pas évoqué devant le tribunal, l’audience de la plateforme incriminée est autrement plus importante dans le monde avec, d’après Similarweb 34,2 millions de visiteurs au cours du dernier mois (3). Les internautes y partagent leurs fichiers et/ou vidéos en publiant les liens qui leur sont communiqués par la plateforme elle-même et qui proviennent de sites de collection de liens tels que Filmoflix, Filmgratuit, Wawacity ou encore Zone-téléchargement. Or ces quatre sites de liens ont chacun déjà fait l’objet de mesures de blocage judicaire par des jugements datés respectivement du 21 juillet, 10 novembre, 15 décembre 2022 et du 2 mars 2023. D’après les constatations de l’Alpa exposées devant le tribunal judiciaire de Paris : « Cette plateforme [Uptobox] permet à ses utilisateurs de téléverser les fichiers contrefaisants via son propre ordinateur ou par un système de clonage d’une vidéo mise en ligne sur la même plateforme par exemple. Par ailleurs la plateforme a mis en place un système de monétisation qui rémunère aussi bien elle-même que ses utilisateurs en fonction du taux de fréquentation de leurs vidéos et des publicités qui ont été visionnées. La plateforme a également mis en place un système d’abonnement payant ». Uptobox était accessible par au moins six noms de domaine : uptobox.com, uptobox.fr, uptostream.com, uptostream.fr, uptostream.net et beta-uptobox.com. Depuis le jugement, deux autres URL ont été indiquées : uptobox.eu et uptostream.eu (4). Les dirigeants d’Uptobox ont décidé de faire appel (5). Dans la liste noire de la Commission européenne, Uptobox est considéré comme « un cyberlocker de téléchargement direct [qui] permet également le streaming ». Autres précisions sur le modèle économique d’Uptobox : « Le contenu téléchargé comprend les films et les jeux vidéo, y compris les prédiffusions. Son emplacement d’hébergement est masqué derrière un service de proxy inverse, ce qui rend difficile d’identifier son hôte précis. Le site offre un compte premium avec un stockage illimité, des téléchargements illimités, une vitesse de téléchargement supplémentaire et aucune publicité. Les sites pirates intègrent ou établissent un lien vers le contenu téléchargé dans Uptobox pour générer des revenus via des publicités ou des réseaux qui paient par lien visité ». La Commission européenne liste d’autres cyberlockers comparables et qu’elle définit ainsi : « Un cyberlocker est un type de services de stockage et de partage en nuage (cloud) qui permettent aux utilisateurs de télécharger, de stocker et de partager du contenu dans des serveurs en ligne centralisés. Les cyberlockers génère un lien URL unique (ou parfois plusieurs liens URL) pour accéder au fichier téléchargé, permettant aux clients de télécharger ou de diffuser le contenu téléchargé ». FNEF, SEVN, API, UPC, SPI et CNC Outre Uptobox, la Commission européenne décrit dans cette catégorie Mega, Rapidgator, Uploaded, et Dbree. En France, c’est sur la base des constatations remontées par l’Alpa que la Fédération nationale des éditeurs de films (FNEF), le Syndicat de l’édition vidéo numérique (SEVN),  l’Association des producteurs indépendants (API), l’Union des producteurs de cinéma (UPC), le Syndicat des producteurs indépendants (SPI) et même le Centre national du cinéma et de l’image animée (CNC) qui a notifié le 7 avril 2023 ses « conclusions d’intervention volontaire accessoire », ont saisi le tribunal judiciaire de Paris. Et, selon la procédure accélérée au fond, l’audience a eu lieu le 17 avril 2023 sous la présidence de la magistrate Nathalie Sabotier (photo ci-dessous), première vice-présidente adjointe du tribunal judiciaire de Paris. Les six organisations étaient représentées par l’avocat Christian Soulié. De la directive « DADVSI » au CPI Les six organisations ont notamment invoqué la directive européenne « Droit d’auteur et droits voisins dans la société de l’information » (DADVSI) de 2001 accordant « aux auteurs le droit exclusif d’autoriser ou d’interdire toute communication au public de leurs œuvres, par fil ou sans fil, y compris la mise à la disposition du public de leurs œuvres de manière que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement » (6). Elles affirment que « les exploitants de la plateforme d’hébergement et de partage de contenus numériques “Uptobox” sait en l’occurrence que des contenus protégés sont massivement et illégalement mis à la disposition du public par son intermédiaire, tandis qu’elle s’abstient de mettre en œuvre des mesures techniques qui lui permettraient de contrer, avec la diligence attendue de sa part, de manière crédible et efficace, les violations des droits d’auteur qui sont faites par leur intermédiaire ». Selon elles, Uptobox « incite à la violation du droit d’auteur et des droits voisins par la mise en place d’outils spécifiquement destinés au partage de masse et illicite de contenus protégés, en promouvant sciemment ces partages, notamment par le biais d’un modèle économique qui laisse présumer que ses exploitants jouent un rôle actif dans le partage des fichiers contrefaisants ». La FNEF, le SEVN, l’API, l’UPC, le SPI ainsi que le CNC ont donc demandé au juge de faire cesser la violation de leurs droits. Ils ont indiqué que le code de la propriété intellectuelle (CPI) réalise la transposition de la directive « DADVSI » qui permet aux titulaires de droits de « demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin » (7). Le tribunal judiciaire de Paris a répondu favorablement à leur requête, en accélérée, en enjoignant aux opérateurs télécoms Orange, Bouygues Telecom, Free et SFR/SFR Fibre « de mettre en œuvre et/ou faire mettre en œuvre, toutes mesures propres à empêcher l’accès au site “Uptobox”, à partir du territoire français par leurs abonnés, à raison d’un contrat souscrit sur ce territoire, par tout moyen efficace de leur choix ». Les mesures de blocage, qui concernent aussi les départements ou régions d’outre-mer et collectivités uniques, les îles Wallis et Futuna, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises, devront être appliquées « à tous les sous domaines associés au nom de domaine figurant dans le tableau » annexé à la décision (8). Le tribunal judiciaire de Paris ordonne aux quatre fournisseurs d’accès à Internet (FAI) de mettre en œuvre ces mesures de blocage « sans délais, et au plus tard à l’expiration d’un délai de 15 jours suivant la signification de la présente décision, et pendant une durée de 18 mois, ce délai prenant tout à la fois en compte l’augmentation de la constatation des atteintes et l’efficacité des mesures d’ores et déjà ordonnées qui font qu’une mesure de blocage est rarement sollicitée consécutivement pour un même nom de domaine ». Orange, Bouygues Telecom, Free (Iliad) et SFR (Altice), qui devront « prendre en charge le coût des mesures de blocage », devront aussi informer les six organisations de ces mesures mises en œuvre « sans délai ». Ces six organisations s’engagent, elles, à indiquer aux FAI « les noms de domaine dont ils auraient appris qu’ils ne sont plus actifs, afin d’éviter des coûts de blocage inutiles ». Il est en outre précisé que la société« Orange pourra, en cas de difficultés notamment liées à des sur-blocages, en référer au président du tribunal statuant selon la procédure accélérée au fond ou au juge des référés afin d’être autorisée à lever la mesure de blocage ». Les six organisations pourront ressaisir le tribunal judiciaire de Paris, toujours selon la procédure accélérée au fond ou en saisissant le juge des référés, « afin que l’actualisation des mesures soit ordonnée ». Ce jugement du 11 mai intervient après que la Cour d’appel de Paris ait – dans un arrêt du 12 avril 2023 – donné raison à ce même tribunal judiciaire de Paris qui, dans une autre affaire, avait condamné la société DStorage exploitant le site 1Fichier pour piratage de films, de musiques ainsi que de jeux vidéo. L’Arcom a aussi sa liste noire Le blocage à tous les étages n’est pas sans rappeler les blocages des sites TeamAlexandriz en 2021 et de Z-Library en 2022 obtenus devant ce même tribunal judiciaire de Paris par, ces fois-là, l’industrie du livre. Il s’agissait aussi pour l’affaire « Z-Library » d’une procédure accélérée au fond obtenue par le Syndicat national de l’édition (SNE) ainsi qu’une douzaine de maisons d’édition. Le SNE s’était d’ailleurs félicité des « nouvelles prérogatives confiées à l’Arcom en matière d’extension du blocage à tout lien redirigeant vers une réplique de site bloqué » (9). Car l’Arcom met aussi à jour sa liste noire. @

Charles de Laubier