Peer to peer : les constatations d’un agent assermenté ne sont pas un traitement automatisé de données
Comment connaître l’identité d’un internaute qui télécharge et partage des morceaux de musique au format MP3 sur les réseaux peer to peer ? Ce n’est pas très compliqué. Il suffit, préalablement, de collecter son adresse IP, c’est-à-dire l’adresse de son ordinateur sur le réseau, puis, grâce à cette adresse, de déterminer quel est son fournisseur d’accès à Internet et, alors, de demander à ce prestataire, au besoin par la voie judiciaire, de divulguer l’identité de l’abonné en question.
Les agents assermentés de l’Agence pour la Protection des Programmes (APP) sont habilités par l’article L. 331-2 du Code de la propriété intellectuelle à effectuer de telles constatations. Mais, dans ce cas, faut-il obtenir préalablement l’autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL) ?
Cette question avait été posée dans le cadre d’une affaire qui a donné lieu à un arrêt rendu par la Cour d’appel de Rennes le 22 mai 2008, qui avait fait grand bruit au moment de sa publication.
En effet, dans cette affaire sensible compte tenu de la médiatisation des poursuites judiciaires d’internautes téléchargeurs, le juge avait considéré, d’une part, que l’adresse IP d’un ordinateur constituait une donnée à caractère personnel et, d’autre part, que les constatations d’un agent assermenté sur les réseaux peer to peer constituaient un traitement de données à caractère personnel soumis à l’autorisation préalable de la CNIL.
En l’espèce, le juge avait annulé le procès-verbal de constat dressé par un agent assermenté de l’APP, mandaté par la SACEM, qui s’était connecté au réseau LimeWire par le biais du logiciel du même nom et avait relevé, parmi les internautes « pirates », une adresse IP qui avait permis d’identifier un restaurateur rennais.
Par son arrêt du 13 janvier 2009, la Chambre criminelle de la Cour de cassation a censuré cette décision au visa des articles 2, 9, 25 et 50 de la loi Informatique et Libertés du 6 janvier 1978, ainsi que des articles 226-19 et 226-23 du Code pénal.
Selon cette décision, extrêmement simple, « les constatations visuelles effectuées sur Internet et les renseignements recueillis en exécution de l’article L. 331-2 du Code de la propriété intellectuelle par un agent assermenté (…) rentrent dans les pouvoirs conférés à cet agent par la disposition précitée et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions ».
Ainsi, sans trancher expressément la question, il pourrait résulter de cette décision que, selon la Cour de cassation, l’adresse IP ne constitue pas une donnée à caractère personnel… Encore que la question n’est pas véritablement résolue.
En effet, cet arrêt semble fondé uniquement sur l’absence (i) d’automatisation et (ii) de traitement.
Premièrement, la Cour précise que l’agent assermenté, pour les besoins de ses constatations, a utilisé « un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement [nous soulignons], aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute ». L’aspect manuel de la procédure s’oppose évidemment à tout caractère automatisé.
Deuxièmement, la Cour souligne que l’agent s’est contenté « de relever l’adresse IP pour pouvoir localiser le fournisseur d’accès [de l’internaute] en vue de la découverte ultérieure de l’auteur des contrefaçons ». De la sorte, les juges semblent considérer que ces constatations ne constituent pas même un traitement de données au sens de la Loi Informatique et Libertés.
En tout état de cause, la solution est claire : utilisateurs de réseaux peer to peer, vous n’êtes plus à l’abri !
Matthieu Berguig