La présidente de la Commission de protection des droits de l’Hadopi, Mireille Imbert-Quaretta, nous confirme que la Haute Autorité estime que l’adresse IP n’est pas une donnée personnelle, et qu’aucun recours n’est ouvert aux administrés qui se sentiraient visés à tort par l’avertissement reçu par e-mail ou lettre recommandée.

Ce mercredi matin, nous révélions que la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) refuse de transmettre leur PV aux abonnés avertis, au motif étrange qu’il n’y aurait pas de donnée personnelle sur le procès verbal dressé par les agents assermentés des ayants droit. Ce qui ne pouvait dire que deux choses. Soit que le PV ne fait pas figurer l’adresse IP de l’abonné, ce qui était hautement improbable. Soit, comme nous en avons eu la confirmation, que l’Hadopi considère que l’adresse IP n’est pas une donnée personnelle.

Contactée en début de matinée, la présidente de la Commission de protection des droits de l’Hadopi Mirelle Imbert-Quaretta nous a rappelé en milieu de journée pour nous apporter ses explications. Elle nous confirme son refus de transmettre les PV aux personnes concernées, au motif que l’adresse IP qui y figure ne serait pas une donnée personnelle. « C’est la jurisprudence de la Cour de cassation« , nous a-t-elle affirmé. Par ailleurs, la magistrate maintient qu’il n’y a selon elle aucun intérêt à vouloir contester le PV (sic) puisqu’il « ne fait pas grief« , mais ouvre simplement un délai de prescription dans la procédure. Elle nous explique aussi que le PV adressé par les agents des ayants droit font partie d’une procédure pénale, pas d’une procédure administrative ; et que dès lors, le PV ne peut être transmis qu’au parquet, lors de la communication du dossier pour négligence caractérisée. Tant qu’aucune procédure pénale n’est ouverte par le parquet, aucune action ne peut être entreprise par l’abonné, qui n’a aucune voie de recours, et ne peut pas demander à ce que ses noms, prénoms, adresses, et numéros de téléphones soient supprimés du fichier de l’Hadopi.

Mais l’arrêt de la Cour de cassation auquel Mme Imbert-Quaretta semble faire référence (arrêt n° 3530 du 16 juin 2009) n’affirme jamais que l’adresse IP n’est pas une donnée personnelle. Il se contente de dire que les « constatations visuelles » réalisées sur un logiciel de P2P par un agent d’une société de gestion collective, « sans recourir à un traitement préalable de surveillance automatisé« , pour « accéder manuellement » à la liste des fichiers partagés par une adresse IP, « ne constituent pas un traitement de données à caractère personnel » visé par la loi de 1978 sur la protection des données. Les commentaires sont divisés. Certains pensent que la Cour a voulu affirmer que l’adresse IP n’est pas en soit une donnée permettant d’identifier la personne qui commet la contrefaçon, donc qu’il ne s’agit pas d’une donnée personnelle. D’autres pensent que la Cour a insisté sur le caractère « manuel » de la collecte pour justifier que le défaut d’autorisation de la CNIL n’entraîne pas la nullité des constatations effectuées, car il ne s’agit pas d’un traitement « automatisé ».

Or quelle que soit l’interprétation retenue, l’arrêt de Cour de cassation est de toute façon inopérant dans le cas de l’Hadopi. En effet contrairement à la contrefaçon, qui peut avoir plusieurs auteurs différents pour une même adresse IP, avec la loi Hadopi c’est la responsabilité du titulaire de l’adresse IP qui est recherchée. Celle-ci est donc immédiatement « identifiante », et il s’agit bien d’une donnée personnelle. Ou alors c’est le caractère manuel de la collecte qui était retenu par la Cour de cassation, mais l’Hadopi fonctionne de manière automatisée.

Par ailleurs, si l’adresse IP n’est pas une donnée personnelle, pourquoi les ayants droit ont-ils l’obligation de recueillir l’autorisation de la CNIL avant de collecter ces adresses IP ? Pourquoi la CNIL dit-elle dans ses autorisations (voir par exemple celle de la SACEM) que « la Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté » ? Si les adresses IP ne sont pas des données personnelles, aucune raison d’interdire leur collecte en raison de la loi de 1978.

Interrogée sur ce point, Mme Imbert-Quaretta se réfugie derrière de la Cour de Cassation, et dit ne pas vouloir commenter ce qui se fait hors de l’Hadopi.

La question pourrait être tranchée si la proposition de loi des sénateurs Anne-Marie Escoffier et Yves Détraigne « visant à mieux garantir le droit à la vie privée à l’heure du numérique » est adopté définitivement par le Parlement. Votée en première lecture par le Sénat en mars 2010, contre l’avis du gouvernement, le texte est depuis bloqué et n’a jamais été examiné par l’Assemblée Nationale. Il dispose notamment que « tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne est (une donnée à caractère personnel)« .

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !