Il y a quelques jours, nous apprenions que la CNIL (Commission Nationale de l’Informatique et des Libertés) avait cédé aux demandes de la SACEM relative à son système de surveillance des réseaux peer2peer, aux fins de repérer les contrefacteurs sur Internet. Cette décision fait suite à une série d’arrêts, mais surtout à l’accord tripartite signé récemment entre opérateurs de télécoms, ayants-droit et pouvoirs publics, prévoyant de mettre en place un mécanisme de riposte graduée pour lutter contre le téléchargement illégal. L’ensemble de ces évènements ont eu raison des résistances de la CNIL.
Une position ferme de la CNIL
Aux termes de l’article 9-4 de la loi n°78-17 Informatique et Libertés, modifiée par la loi du 6 août 2004, les sociétés de perception et de répartition des droits d’auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes qui sont constituées sous forme de sociétés civiles peuvent mettre en oeuvre des traitements de données à caractère personnels relatifs à des infractions. Une autorisation de la CNIL est, toutefois, nécessaire.
Les décisions de la Commission en la matière répondent à certaines exigences notamment de proportionnalité qui doivent guider toute collecte de données personnelles. En ce sens, sa position a toujours été très claire : tout traitement doit avoir une finalité déterminée explicite et légitime, et ne doit pas porter atteinte à la vie privée des personnes concernées. La CNIL veille, par ailleurs, à respecter un équilibre entre droit de propriété et respect de la vie privé.
Ainsi en 2005, elle s’est prononcée sur des demandes d’autorisation de traitements automatisés de détection d’actes de contrefaçon sur Internet, en matière de musique (SACEM, SCPP, SDRM, SPPF), de jeux vidéos (le SELL : syndicat des éditeurs de logiciels de loisir) et d’audiovisuel (l’ALPA : association de lutte contre la piraterie audiovisuelle). L’objectif était le même (la lutte contre la contrefaçon sur Internet) mais les moyens mis en œuvres quelques peu différents.
En effet, les sociétés de gestion de droits d’auteurs et de droits voisins (ci-après les « société de gestion collective» pour simplifier) souhaitaient mettre en place un dispositif leur permettant de détecter de manière automatique, sur la quasi-totalité des réseaux peer2peer (quel que soit leur usage), les adresses IP des personnes qui téléchargent illégalement des oeuvres protégées. Elles envisageaient également de demander aux fournisseurs d’accès Internet (ci-après “FAI”) d’identifier nominativement chaque adresse IP fournie, afin d’envoyer directement un message d’avertissement aux internautes concernés (les envois pouvant atteindre jusqu’à 100.000 par jour).
En raison de l’absence d’adéquation entre le traitement proposé par les sociétés de gestion collective avec les besoins de la lutte contre le téléchargement illicite, la CNIL leur a refusé l’autorisation, dans une décision en date du 18 octobre 2005, mais l’a accepté pour le SELL (décision du 11 avril 2005) et l’ALPA (décision du 21 décembre 2006).
En effet, la Commission avait estimé que le dispositif était disproportionné par rapport au but poursuivi. La surveillance du réseau apparaissait trop exhaustive (à la différence de celle du SELL qui concernait 3 ou 4 réseaux). La CNIL, craignait, en outre, une collecte massive des adresses IP. Rappelons que l’identification d’une personne au moyen d’une adresse IP ne peut se faire que sur autorisation judiciaire, à l’exception des cas prévus par la loi, notamment en matière de terrorisme (article 6 de la loi n°2006-64 du 23 janvier 2006) ou de criminalité organisée (loi n°2004-204 du 9 mars 2004).
Devant ce refus, les sociétés de gestion collective ont saisi le Conseil d’Etat en recours pour excès de pouvoir contre la décision de la CNIL.
La censure du Conseil d’Etat fragilise la position de la CNIL
Le Conseil d’Etat a censuré la décision de refus de la CNIL, dans un arrêt en date du 23 mai 2007. Il a fait droit à la demande des sociétés de gestion collective quant à la mise en place de leur dispositif de surveillance des réseaux. Le Conseil a estimé qu’au regard de l’importance du téléchargement de masse, le dispositif prévu n’était pas disproportionné au but poursuivi, à savoir la lutte contre le téléchargement illicite. En outre, il a rejoint la position de la CNIL relative à l’envoi des messages d’avertissement, et retenu que c’était à bon droit qu’elle avait soulevé leur illégalité. En effet, les messages ne correspondaient à aucun cas de figure (prévu par la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite “LCEN” et par son décret d’application n°2006-358 du 24 mars 2006 relatif à la conservation des données de communication électronique) dans lequel les FAI devaient conserver des données de connexion. Le Conseil a considéré, néanmoins, que cela ne pouvait pas justifier une décision de refus.
Cet arrêt a eu pour effet d’ébranler davantage la position de la CNIL, déjà remise en question par deux arrêts de la Cour d’appel de Paris des 27 avril (CA Paris, 13e ch., sect. B, 27 avril 2007, AG c/ SCPP) et 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, HS c/ SCPP) relatif à des actes de contrefaçon sur des réseaux peer2peer. Les juges du fonds avaient estimé qu’une adresse IP n’était pas une donnée à caractère personnel, au sens de l’article 2 de la loi Informatique et Libertés.
Fort heureusement, cette position n’est pas partagée par tous. Récemment, le Tribunal de Grande Instance de Saint-Brieuc a retenu la position inverse. Il s’agissait en l’espèce d’une affaire relative à une infraction commise par une société de gestion collective (TGI, Saint Brieuc, 6 sept. 2007, Ministère Public, SCCP, SACEM c/J.P). Solution également soutenue par le Groupe de travail de l’article 29 (dit « Groupe 29 ») qui l’a, à juste titre, rappelé, dans son avis du 20 juin 2007.
L’accord interprofessionnel contraint la CNIL à céder
L’accord interprofessionnel signé le 23 novembre dernier a entériné la proposition de la Commission Olivennes proposant de mettre en place une riposte graduée en matière de téléchargement illicite. Celle-ci suppose au préalable, le dépôt d’une plainte des ayants-droit auprès d’une Autorité publique spécialement créée à cet effet. Cette dernière par l’intermédiaire du FAI adresserait un avertissement à l’abonné, sur les risques juridiques encourus. Ce dernier pourrait se voir suspendre ou supprimer sa connexion Internet, par le FAI. En outre, l’abonné serait fiché dans un registre national géré par la nouvelle Autorité de contrôle.
Ce système de riposte graduée fait définitivement pencher la balance du côté de la SACEM. D’une part parce qu’il parachève la voie répressive choisie par les sociétés de gestion de droit d’auteur et les producteurs de musique relative à une surveillance étendue des réseaux. D’autre part parce qu’il conduit à sanctionner des abonnés sur la seule foi d’une plainte des ayants droits, sans que les abonnés aient pu se justifier auprès de leurs contradicteurs, méconnaissant ainsi, comme le souligne à juste titre Ratatium, le principe du contradictoire (audiatur et altera pars), essentiel en droit français. Il implique que chaque partie puisse débattre et contredire les arguments et preuves avancés par l’autre partie. En outre, il garantit les droits de la défense pour un procès équitable au sens de l’article 6 de la CEDH (Convention européenne des droits de l’homme).
Dans ce contexte, la CNIL pouvait difficilement refuser la demande réitérée de la SACEM relative à la mise en place de fichiers de recherche et de constatation de contrefaçons sur Internet. C’est ainsi que la Commission s’est vu contrainte d’autoriser la SACEM à déployer son dispositif. Cette dernière pourra ainsi mener ses investigations sur Internet pour repérer les contrefacteurs et éventuellement fournir leur adresse IP à l’Autorité publique. En outre, la riposte graduée, une fois effective lui permettra de relayer ses messages de sensibilisation par l’intermédiaire des FAI, sans que cet envoi soit frappé d’illégalité.
Au regard de ce qui précède, on peut s’inquiéter des conséquences d’un tel accord mais également des décisions jurisprudentielles relatives aux adresses IP. Rappelons que le respect du droit d’auteur ne doit pas conduire à porter atteinte au respect de la vie privée des internautes.
Dans une « cybersociété » où la frontière entre vie privée et vie publique s’amenuise, et dans laquelle les données personnelles se collectent de manière transparente (la carte Navigo notamment, permet d’identifier et de tracer le trajet d’un usager du métro, via la technologie RFID) et circulent massivement sur Internet (mais également hors réseau), il nous semble important que la CNIL, qui s’est vu confier la mission de « contrôler les applications de l’informatique aux traitements des informations nominatives », continue à jouer les gardes fou.
