Source : PCInpact

L'adresse IP en question

La SCPP peut être satisfaite de la position de la justice en matière de traque aux P2Pistes indélicats. Par deux fois, la juridiction a condamné deux internautes qui avaient mis à disposition des fichiers MP3 sur le net. Des affaires presque classiques, mais qui apportent un éclairage important. Et lorsque le phare s’appelle la Cour d’appel de Paris, la Société civile des producteurs phonographiques peut s’attendre à une mise en harmonie de tous les tribunaux français.

Le tribunal de grande instance de Paris avait estimé qu’un particulier qui se contente de placer une copie des fichiers dans des répertoires partagés accessibles à d'autres utilisateurs n’a pas nécessairement conscience de violer la loi. Pourquoi ? Car il ne disposait d'aucune information pour éviter l'usage d'oeuvres dont la diffusion n'était pas licite. Et pour enfoncer le clou, les magistrats insistaient : « l'absence de vérification préalable, sur les bases de données des auteurs ou éditeurs, de la possibilité de disposer librement d'une oeuvre ne saurait caractériser une intention coupable. » La Cour d’Appel a finalement balayé cet argument. Elle le condamne à une amende de 1000 euros avec sursis, et à verser la somme de 1600 euros de dommages et intérêts, majorée de 1200 euros pour couvrir les frais.

L'adresse IP, une donnée nominative personnelle ?

Mais le plus intéressant arrive : un des moyens de défense fut de contester la légalité des constats faits par les agents de la SCPP. Connectés sur les réseaux P2P, ils glanent des adresses IP appartenant à des internautes, en vue de faciliter la preuve matérielle de la mise à disposition. Or, l’adresse est-elle une donnée nominative ? Si oui, l’absence d’autorisation préalable de la CNIL peut faire tomber toute la procédure (celle-ci et bien d’autres).

Mais pour la Cour de Paris, pas de doute : ce n’est « pas un traitement de données personnelles, au sens du droit de l’informatique et des libertés ». Elle explique que seule la plainte auprès des autorités judiciaires et l’enquête ont conduit à révéler les noms.

Ce relevé de l’adresse IP de l’ordinateur ayant servi à l’infraction ne sert qu’au constat de cette infraction, non à l’identification directe de l’auteur. « Cette série de chiffres ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ». En clair, 123.123.123.123 ne permet pas de dire que les fichiers sont proposés par M. Durand Dupont.

Pas de traitement de données personnelles

Dans la seconde affaire, même issue et même son de cloche : un internaute relaxé par des juges du tribunal de grande instance malgré la mise à disposition de 1200 fichiers, mais finalement condamné en appel avec là encore la légitimation du travail de la SCPP :

« L'adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé cet ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur l’accès d’identité de l’utilisateur. L’agent assermenté n’a pas recouru à un traitement de données personnelles qui aurait nécessité une autorisation préalable de la CNIL puisqu’il s’est contenté de se connecter à internet, d’accéder par un logiciel à des fichiers partagés et de recueillir l’adresse IP grâce à un pseudonyme, ce que tout internaute pouvait faire ; dès lors, le prévenu n’ayant été identifié que dans le cadre d’une procédure judiciaire, la procédure est régulière. »

De son côté, la SCPP rappelle que « nos agents assermentés ne réalisent aucun traitement automatisé de données personnelles (ou équivalent), et qu’ils agissent uniquement dans le cadre des pouvoirs qui leur sont conférés par le code de la propriété intellectuelle ». Exiger une autorisation de la CNIL aurait-il été surabondant alors que ces agents sont déjà autorisés par la loi à défendre les droits des artistes ?

La traque bientôt prête ?

Avec cette décision, en tout cas, la CNIL va devoir revoir sa définition des données personnelles puisqu'elle considère toujours comme telle l'adresse IP. Toutes les fondations sont maintenant coulées pour préparer la mise en place des contrôles automatisés. Une double décision qui intervient alors que le Conseil d’État a annulé le 23 mai dernier la décision de refus de la CNIL interdisant la traque automatisée aux pirates.

Les ayants droit vont ainsi solliciter une nouvelle autorisation de la CNIL qui voit, du coup, son champ d’action bien réduit. Si le relevé manuel d’adresse IP n’est pas une donnée nominative personnelle et si la collecte de masse de ces informations va pouvoir se faire à tour de bras, les sociétés d’auteur auront un champ de bataille libre sur les réseaux P2P.