Justice : l'adresse IP n'est pas une donnée personnelle

le 09/02/2009 à 22:08
Justice : l'adresse IP n'est pas une donnée personnelle
Lutte contre le piratage et respect de la vie privée ne font pas bon ménage, en témoignent de nombreux cas comme par exemple les fichiers achetés sur l'iTunes Store. La CNIL, dont c'est le cheval de bataille, émettait d'ailleurs un avis défavorable au projet de loi Hadopi qui ne comporte pas selon elle, entre autres, "les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur".

Pourtant la justice n'aura plus besoin d'une autorisation préalable de cette dernière pour traquer les pirates, en dépit du fait que l'article 25 de la loi Informatique et libertés impose l'autorisation de la CNIL pour collecter et traiter des données à caractère personnel, à condition en revanche que la collecte ne soit pas automatisée. C'est en tout cas la décision de la chambre criminelle de la Cour de cassation qui, en cassant un arrêt de la cour d'appel de Rennes, a retenu qu'un agent avait relevé manuellement des adresses IP. Elle n'a pas répondu directement à la Sacem qui estime quant à elle que les adresses IP "ne présentent pas, en elles-mêmes, de caractère personnel".

La cour d'appel de Rennes estimait effectivement que c'était une "donnée indirectement nominative" et avait annulé le procès-verbal d'un agent assermenté de la Sacem, relaxant un internaute que cette dernière avait accusé de mettre à disposition sur un réseau peer-to-peer des oeuvres musicales protégées par les droits d'auteur. Pour la Sacem, ce sont les réquisitions de l'autorité judiciaire auprès du fournisseur d'accès à Internet qui permettent d'identifier l'internaute, et non le seul enregistrement de son adresse IP.

A lire également

Deux internautes, accusés de téléchargement illégal sur les réseaux P2P, ont finalement obtenu la relaxe, non pas que leur culpabilité n'a pas pu être démontrée, mais parce que les relevés d'adresse IP effectués par les plaignants pour étayer l'accusation n'avaient pas reçu l'aval de la Cnil (Commission nationale informatique et libertés). La cour d'appel de Rennes, en charge de ces deux affaires, a finalement décidé que l'adresse IP s'apparentait bien à une donnée personnelle, dont le traitement automatisé n'avait pas été autorisé par la Cnil à l'époque des faits. La situation serait différente aujourd'hui.

Les faits remontent à 2005. Dans les deux cas, des sociétés de droit d'auteur (Sacem, SCPP, SDRM (*)) poursuivent en justice un internaute dont elles ont relevé l'adresse IP sur les réseaux P2P. A chaque fois, le délit de mise à disposition de fichiers soumis au droit d'auteur et constaté de façon effective, à plusieurs reprises, et les perquisitions conduites lors des deux procédures confirment les présomptions de téléchargement illégal.

Sur le fond, les dossiers semblent inattaquables. Sur la forme, la cour d'appel de Rennes a noté lors de deux jugements successifs, prononcés les 22 mai et 23 juin dernier, que "les constatations relevées par l'agent ayant pour finalité la constatation du délit de contrefaçon, commis via les réseaux d'échange de fichiers "peer-to-peer", portent atteinte aux droits et garanties des libertés individuelles", dans la mesure où ces opérations constituent "un traitement automatisé de données à caractère personnel", pour lequel une autorisation préalable de la Cnil est indispensable.

Ce faisant, la cour d'appel de Rennes affirme que l'adresse IP est bien une donnée personnelle. Point de détail pour certains, la question soulève d'importants enjeux, et fait depuis le mois de janvier l'objet de discussions au niveau européen. En matière de P2P, la donne risque maintenant de se révéler différente, dans la mesure où la Cnil a fini par accorder à la Sacem l'autorisation de pratiquer la surveillance automatisée des réseaux P2P.(*) Sacem : Société des auteurs, compositeurs et éditeurs de musique - SCPP : Société civile des producteurs phonographiques - SDRM : Société pour l'administration du droit de reproduction mécanique
Le rejet du principe de riposte graduée, prononcé mercredi après-midi par le Conseil constitutionnel, a déclenché un élan de joie chez les détracteurs de la loi Création et Internet, mais n'a que partiellement remis en cause le projet du gouvernement, comme l'a très rapidement laissé entendre Christine Albanel, ministre de la Culture.

Selon elle, il suffira en effet de quelques modifications pour que la sanction soit confiée à un juge et que la Hadopi ne soit pas vidée de sa substance. La censure de la riposte graduée n'est toutefois que le sommet de l'iceberg : les conclusions du « Conseil des Sages » portent en effet sur de nombreux points de détail de la loi, et pourraient se révéler lourdes de conséquence sur les moyens d'action de la Haute Autorité, voire sur de futurs textes tels que la loi Loppsi.

L'accès à Internet apparenté à une liberté fondamentale

La déclaration des droits de l'homme et du citoyen confère à la liberté d'expression et de communication le statut de droit ne pouvant être révoqué que par une autorité judiciaire, est-il rappelé dans la décision publiée mercredi. Avec Hadopi, toute la question réside dans le fait de savoir si l'accès à Internet rentre dans le cadre de cette liberté. Soulevée par l'amendement Bono, ou amendement 138, au niveau du Parlement européen, la question est tranchée pour le conseil constitutionnel.

Il indique en effet aujourd'hui « qu'en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu'à l'importance prise par ces services pour la participation à la vie démocratique et l'expression des idées et des opinions, ce droit implique la liberté d'accéder à ces services »

Autrement dit, l'accès à Internet relève bien de la liberté de communication, du moins en l'état actuel des choses. Pour autant, le Conseil constitutionnel n'oublie pas que cette liberté doit être conciliée à un autre droit, celui de la propriété intellectuelle. Il estime néanmoins qu'il ne pouvait, « quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les droits des titulaires du droit d'auteur et de droits voisins ».

Non à la présomption de culpabilité

La question avait été âprement débattue à l'Assemblée. Dans la version finale du texte, la loi prévoit qu'un internaute soit présumé coupable de téléchargement illégal dès que son adresse IP a été repérée sur les réseaux P2P et que soit alors lancé, automatiquement, le processus d'avertissement et de sanction de l'Hadopi.

Pour les Sages, la loi instituait ainsi, « en opérant un renversement de la charge de la preuve, une présomption de culpabilité pouvant conduire à prononcer contre l'abonné des sanctions privatives ou restrictives du droit ». L'internaute n'a donc pas à faire l'objet d'une procédure tant que sa culpabilité n'est que soupçonnée.

Quid de l'obligation de surveillance de la ligne ?

Rappelons que la loi Hadopi ne sanctionne pas en tant que tel le téléchargement illégal, mais le manquement à l'obligation de surveillance de la ligne Internet de l'abonné. Autrement dit, on n'est pas puni parce que l'on a récupéré un album sur BitTorrent, mais parce que l'on n'a pas pris les mesures nécessaires à l'interdiction technique d'un tel téléchargement.

Sur ce point, le Conseil constitutionnel donne raison aux auteurs de la loi. Il déclare en effet que « la définition de cette obligation est distincte de celle du délit de contrefaçon » et « qu'elle est énoncée en des termes suffisamment clairs et précis ».

Du rôle de la Cnil

L'adresse IP est-elle une donnée à caractère personnel ? En février dernier, la justice avait conclu qu'elle n'était qu'indirectement personnelle, et répondait non. Dans la lignée d'un rapport récemment présenté par le Sénat, le Conseil constitutionnel a pour sa part estimé que dans la mesure où l'adresse IP pouvait être utilisée pour déterminer l'identité d'un éventuel contrevenant, elle acquiert un caractère nominatif.

« Il appartiendra à la Commission nationale de l'informatique et des libertés, saisie pour autoriser de tels traitements, de s'assurer que les modalités de leur mise en oeuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité », en conclut le Conseil. Reste à savoir si la constitution d'une « liste noire », recensant les noms des contrevenants, est « proportionnée » à l'objectif poursuivi.

Filtrage des contenus illicites ?

Dans son article 10, la loi prévoyait que le tribunal de grande instance puisse, une fois saisi, ordonner « toutes mesures » susceptible de faire cesser une atteinte aux droits d'auteurs, « à l'encontre de toute personne susceptible de contribuer à y remédier ». Au premier rang de ces « personnes », on trouve bien sûr les FAI, à qui la justice pourrait donc demander de bloquer l'accès à tel ou tel site.

Là, le Conseil constitutionnel estime que la loi « n'a pas méconnu la liberté de d'expression et de communication », mais précise que la justice ne devra prononcer « que les mesures strictement nécessaires à la préservation des droits en cause ». Le principe du filtrage est conservé, mais il devra désormais être proportionné à l'atteinte concernée.

Une loi vidée de sa substance ?

La loi n'est pas caduque, et le principe de riposte graduée tient toujours, mais le Conseil constitutionnel en a torpillé l'un des principaux fondements, en renvoyant la sanction devant le juge. C'est en effet pour éviter l'engorgement des tribunaux et permettre un traitement en masse des infractions que le gouvernement proposait qu'une Autorité administrative en assume la charge. La Hadopi, qui peut et devrait être mise en place, a donc pour l'instant le droit d'émettre des avertissements lorsqu'elle est saisie par les ayant-droits, mais la culpabilité des internautes devra être démontrée devant le juge pour que ce dernier prononce une éventuelle sanction.

La loi peut maintenant être promulguée, ou faire l'objet d'une nouvelle lecture devant le Parlement. Christine Albanel a indiqué à plusieurs reprises depuis la publication de cette décision que la loi serait complétée de façon à correspondre à décision du Conseil constitutionnel, et que la Hadopi entrerait bien en action avant la fin de l'année. La lourde artillerie qui devait suspendre jusqu'à mille accès à Internet par jour devra toutefois, en l'état actuel des chose, se contenter de multiplier des messages d'avertissement dont certains « pirates » n'auront cure.

Pour aller plus loin

Pour parfaire sa connaissance du dossier, et se préparer à suivre les futurs rebondissements de la saga Hadopi, on pourra consulter les liens suivants :
- la décision du Conseil constitutionnel
- la fine analyse effectuée par l'avocat Maitre Eolas
- l'analyse, plus succincte, mais plus drôle, du blogueur Stan

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours