Reproduit avec l'aimable autorisation de Kazz

1. La mise à disposition d'œuvres protégées par le droit d'auteur sur les plateformes de pair à pair (ou Peer to Peer ou P2P) aux fins d'échange par téléchargement est illicite en droit français et constitue le délit de contrefaçon en même temps qu'une occasion régulièrement renouvelée de battage médiatique.
Afin de contrecarrer ce phénomène les gestionnaires de droits d'auteur (sociétés et organismes d'ayant-droits, éditeurs, producteurs…) ne peuvent identifier les auteurs de ces délits que par une seule trace : leur adresse IP. Cependant l'adresse IP est considérée par la CNIL et ses homologues européens comme une donnée personnelle. Sa collecte et son utilisation sont donc réglementées. C'est pourquoi si la loi a conféré aux gestionnaires de droit d'auteur la faculté particulière de procéder à la constitution et au traitement de fichiers de ces données, ces opérations demeurent sous réserve d'une autorisation et d'un contrôle par la CNIL.
Or deux récentes décisions jurisprudentielles d'Appel viennent dénier à l'adresse IP le caractère de donnée personnelle, ce qui a donné lieu à une protestation de la CNIL.
Quel est l'enjeu ? Si les adresses IP sont bien des données personnelles, elles ne peuvent être récoltées et traitées que dans certains cas, pour certains buts, et sous réserve de l'autorisation et d'un contrôle par la CNIL. Si elles ne le sont pas, les gestionnaires de droit d'auteur seraient alors libres de les collationner autant qu'elles le souhaitent et comme bon leur semble, situation pouvant alors aboutir à ce que certains appellent "un flicage de l'internet". On ne peut alors exclure que des données ainsi massivement recueillies et traitées ne soient pas employées qu'à la lutte contre la fraude aux droits d'auteur : pareilles masses ont en effet plutôt vocation à être utilisées commercialement ou à des fins de statistiques ou comme outil de profilage des internautes.
On rappellera donc ici les mécanismes et encadrements de la collecte et de l'utilisation des adresses IP d'internautes par la loi française et par le droit européen qui s'impose.

2. L'adresse IP est bien une donnée personnelle, malgré l'interprétation des magistrats parisiens. Il s'agit en effet d'une donnée dite indirectement nominative. La CNIL se fait pas faute de le rappeler et son interprétation est aussi celle de l'Union Européenne.
Les magistrats parisiens indiquaient dans un arrêt du 15 mai 2007 [1] "que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon" ; cette formule pour le moins suprenante a valu la réaction de la CNIL [2] . La Cour d'Appel se trouve en effet en contradiction directe avec ce qu'affirme sur ce même sujet l'organe européen compétent.
Le groupe de travail établi par l'article 29 de la directive 95/46/CE est l'organe consultatif indépendant de l'UE sur la protection des données et de la vie privée. Il a rendu le 20 juin 2007 un avis sur le concept de données à caractère personnel, précisant au sujet des adresses IP "qu'il convient de considérer ces informations comme des données à caractère personnel."[3] . Le Groupe "article 29" s'est prononcé ainsi à propos des adresses IP dites "dynamiques", qui ne sont pas allouées de manière fixe à un abonné spécifique (il va de soi que les adresses fixes sont quant à elles encore plus directement nominatives puisque référant systématiquement à un même abonné).
L'adresse IP ne présente pas de différence sur cet aspect avec le numéro téléphone : il s'agit dans les deux cas d'une suite de chiffres qui réfèrent à un titulaire d'abonnement et qui sont attribués par le prestataire du service de cet abonnement. A chaque adresse IP correspond donc un abonné identifiable par le seul prestataire; l'adresse I.P. 111.111.111.111 est donc aussi révélatrice que le numéro téléphonique 01 11 11 11 11.
La collecte initiale d'adresses IP aux fins de réprimer la contrefaçon sur internet ne révèle donc pas l'identité de l'internaute mais permet de savoir que tel numéro d'adresse s'est connecté à tel autre. On observe toutefois qu'une surveillance comme celle que se proposent d'employer les sociétés d'ayant-droits à l'encontre des réseaux P2P va plus loin. Elle permet en effet non seulement de savoir quels numéros se sont interconnectés mais aussi qu'on a échangé tel fichier ou telles données. C'est une forme d'écoute partielle d'une communication : on sait de quoi parlent les connectés, mais on ne sait pas qui parle.

3. La levée de l'anonymat ne peut, elle, être obtenue que des fournisseurs d'accès (FAI), qui seuls détiennent les coordonnées des abonnés auxquels ils allouent une adresse IP à un moment donné.
Cette levée donc permet d'identifier le titulaire de l'abonnement internet utilisé pour une connexion. Il peut s'avérer personne physique, en général immédiatement considérée comme l'auteur personnel des agissements délictuels, ou une personne morale (parfois via un point d'accès wi-fi : entreprise, administration…) qui verra alors sa responsabilité recherchée sur la base de la fourniture de moyens laquelle constitue une complicité. Dans ce dernier cas, elle n'y pourra échapper qu'en arguant d'une qualité de prestataire technique (fourniture d'accès) régulièrement exercée, ce qui implique la conservation des données et identifiants de connexion permettant le maintient de la chaîne de traçabilité jusqu'à la personne physique qui a agi frauduleusement.

4. La loi autorise les sociétés d'auteurs ou producteurs à procéder à la collecte des données indirectement nominatives que sont les adresses IP après autorisation par la CNIL. Mais elle ne les autorise pas à obtenir directement des FAI la levée de l'anonymat en l'absence de poursuites pénales.
Le droit européen dispose en effet que ce n'est que pour la recherche de certaines infractions, non pour le bénéfice d'intérêts privés, que la loi peut autoriser la prise de connaissance de données concernant des communications électroniques [4]. Conformément au caractère inquisitoire de la procédure pénale française, seule l'autorité publique est habilitée à diligenter une enquête sur des faits constitutifs d'une infraction et seule cette autorité publique dispose d'une légitimité à obtenir sans le consentement d'une personne la révélation de données l'identifiant. On peut aussi y voir une garantie des droits de la défense et du respect de la présomption d'innocence: qu'une adresse IP soit utilisée pour des échanges de fichiers apparemment illicites donne l'indice d'une éventuelle fraude, mais n'implique pas forcément la culpabilité pénale de son titulaire et ne suffit donc pas à la révélation de son identité à un tiers sans contrôle d'un autorité publique.
Cette protection de la personnalité été confirmée à l'échelon européen par l'Avocat Général Julianne Kokott qui a clairement recommandé la non-divulgation par les FAI de l'identité de leurs abonnés par leurs adresses IP en l'absence de poursuites pénales, ce qui implique l'impossibilité pour les sociétés d'auteurs et de producteurs de les obtenir directement. les dispositions du droit communautaire relatives à la protection des données dans le secteur des communications électroniques n'autorisent la transmission de données à caractère personnel relatives au trafic qu'aux autorités publiques compétentes, mais ne permettent pas une divulgation directe aux titulaires de droits d'auteur désireux de poursuivre civilement la violation de leurs droits [5].
C'est l'application directe de la position exprimée le 18 janvier 2005 par le groupe "article 29" de l'U.E.: "les données détenues par les fournisseurs d'accès à Internet pour des finalités spécifiques, incluant principalement la prestation d'un service de télécommunication, ne peuvent être transférées à des tiers, tels que les détenteurs de droits, hormis, dans des circonstances définies prévues par la loi, à des autorités judiciaires publiques." [6].

5. La collecte d'adresses IP doit observer un principe de proportionnalité . Dans la première autorisation qu'elle consentit à une collecte d'adresses IP à partir d'une exploration de réseau P2P, la CNIL prit soin de préciser qu'une telle collecte ne pouvait servir que d'indices remis à l'autorité publique : «[les données] ne seront recueillies que dans le seul but de permettre la mise à disposition de l'autorité judiciaire d'informations et ne pourront acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire» [7].
C'est à nouveau l'affirmation de la position européenne actuelle qui tient pour illicite le "balayage" général et systématique de l'internet entraînant la collecte massive d'adresses IP. Une collecte ne peut s'effectuer que dans des buts précis et ponctuels avec pour seule finalité de fournir à l'autorité publique les moyens de poursuites ciblées. En d'autres termes, la "pêche au chalut" des adresses IP est illégale. Une collecte d'adresses IP autorisée pour réprimer la contrefaçon via les réseaux de P2P ne doit donc servir qu'à ce pour quoi elle est conçue et cela seulement : obtenir un nombre raisonnable d'indices dont une proportion raisonnable sera transmise aux autorités publiques.
Car dans le cas inverse, on ne pourrait exclure que les adresses IP ainsi recueillies soient aussi utilisées à d'autres fins qu'une la lutte contre la contrefaçon. Lorsqu'on collationne mille adresses IP, il demeure plausible que ce ne soit que pour préparer des actions en justice. Cette plausibilité disparaît lorsqu'on en récolte et traite des dizaines de milliers, tandis que le résultat devient ipso facto un outil de statistiques. Or ce n'est pas pour la constitution d'un tel outil mais seulement pour la préservation de leurs droits que la loi a prévu la possibilité d'autoriser les gestionnaires de droits d'auteurs à collationner des adresses IP ; pareille autorisation, dérogatoire au régime général de la protection des données personnelles, ne saurait donc être interprétée que restrictivement.

Les temps aparaissent un peu difficiles pour une CNIL cherchant à préserver les droits et libertés qui lui sont confiés. On verra prochainement que cette institution ne doit pas ferrailler qu'avec les Cours d'Appel mais aussi avec le Conseil d'Etat. Faudra-t-il un jour attendre que l'Europe sinon la Cour de Cassation songe à sauver un soldat CNIL cerné par les juridictions nationales et honteusement dépourvu de moyens [8]?

[1] Afin de valider le constat d'infraction sur un réseau P2P : http://www.foruminternet.org..caparis-13e-chambre--a-15-mai-2007.html
Et, dans le même sens par la même juridiction : http://www.foruminternet.org...caparis-13e-chambre--b-27-avril-2007.html

[2] Sur le site de la CNIL : http://www.cnil.fr/index.php?id=2244

[3] Avis n°4/2007 sur le concept de données à caractère personnel, page 18 : http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf

[4] Article 13 d) de la Directive 95/46/CE : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML

[5] Voir G. Champeau sur Ratiatum.com le 19 juillet 2007 : http://ratiatum.com/news5376_La_Justice_europeenne_devrait_proteger_les_P2Pistes.html
Et aussi, sur PCImpact : http://www.pcinpact.com/actu/print.php?id=37728&c=1

[6] Document de travail sur les questions de protection des données liées aux droits de propriété intellectuelle, disponible à http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp104_fr.pdf

[7] Autorisation du 24 mars 2005 accordée au S.E L.L.: http://www.cnil.fr/index.php?id=1801&news[uid]=254&cHash=6a705d2d30

[8] La CNIL n'est pas épargnée par la pingrerie française en matière de justice, comme le relate cette brève de legalbiznext.com : http://www.legalbiznext.com/droit/La-Commission-Nationale-de-l