P2P : deux pirates relaxés pour défaut d'autorisation de la CNIL

Et l'adresse IP est bien une donnée personnelle 75
EliteTorrents fermeture P2P BitTorrentVoilà deux décisions(*) qui montrent à elles seules le difficile équilibre du respect des droits et libertés en matière de traque contre la contrefaçon. Ces affaires, récentes, ont été jugées par la Cour d’appel de Rennes le 22 mai et le 23 juin dernier.

Première affaire : un freenaute

Dans la première affaire, il s’agissait d’un freenaute qui avait été repéré en avril 2005 par la SCPP. Alors qu’il téléchargeait des fichiers MP3 et AVI via le logiciel Direct Connect, son adresse IP avait été identifiée à l’aide du logiciel Spyster, sans qu’aucune autorisation ne soit demandée à la CNIL pour ce traitement automatisé. Spyster est un utilitaire capable d'afficher une liste de toutes les adresses IP connectées sur votre machine, ou celles sur lesquelles vous êtes connecté.

En mai 2005, les agents assermentés contactent la gendarmerie et le parquet de Nantes transmet une requête auprès de Free pour connaitre l’identité de l’internaute détenteur de l’IP. Classiquement, une perquisition s’en suit : son matériel, ses clés USB, des centaines de CD-Rom/DVD-Rom, quatre disques durs… sont saisis et analysés, le particulier est gardé à vue. Pour sa maigre défense, l’internaute fait valoir qu’il se constituait une collection, sans avoir le sentiment de commettre une infraction, car il ne procédait, affirmait-il, à aucune diffusion des œuvres. De fait, il assimilait ses actes aux enregistrements depuis la TV sur magnétoscope. En vain (la copie d'une fraude reste une fraude).

L'adresse IP, une donnée personnelle

Le tribunal condamnera le prévenu à 1 mois de prison avec sursis et rejettera tous les moyens de défense liés à un défaut d’autorisation de la CNIL. Si l’IP est bien une donnée personnelle dont la manipulation aux fins de lutte contre le piratage exige l’autorisation de la CNIL, expliqueront les juges, l’agent qui a procédé à la constatation était officiellement assermenté. Cette qualité l’assimilait à un agent de police judiciaire qui, lui, est dispensé de cette autorisation.

La Cour d’appel stoppera nette cette assimilation, bâclée : si les pouvoirs des agents assermentés et ceux des OPJ se confondent en partie, les agents ne sont nullement de vrais auxiliaires de justice comme les OPJ. De fait, l’utilisation de Spyster sans autorisation de la CNIL a rendu irrégulier le traitement de données. Et, dès lors, toute la procédure subséquente s’en trouve remise à plat.

Deuxième affaire : un neufnaute

Dans la seconde affaire, on retrouve encore une enquête d’un agent assermenté qui avait repéré en janvier 2005 un internaute en phase d’échange sur LimeWire de titres du catalogue des ayants droit (SACEM et SDRM). Après repérage de son adresse IP, avec le logiciel Visual Route cette fois, l’agent constata la mise à disposition de milliers de fichiers audio. 19 furent téléchargés pour concrétiser la matérialité des faits. L’agent se connectait ensuite sur www.ripe.net pour déterminer l’origine de l’adresse IP, qui fut « géolocalisée » chez Neuf Cegetel. Le FAI fut contacté en joignant un PV officiel, suivirent le listing des fichiers mis à disposition, les copies d’écran ainsi qu’un CD-ROM avec l’échantillon des titres téléchargés. En février, la SACEM et la SDRM portèrent plainte pour contrefaçon. Peu après, sur réquisition du parquet, Neuf fournissait l’identité de l’abonné et la procédure prit son tournant judiciaire.

L’abonné indiqua que c’était un ami qui téléchargeait les titres, qu’il gravait sur CD pour diffusion dans son restaurant. Le principal téléchargeur reconnu les faits, mais déclara qu’il ignorait que le téléchargement fut illicite, LimeWire étant mis gratuitement à disposition. Surtout, il payait les redevances SACEM pour son restaurant. Une perquisition dénichait effectivement 2890 morceaux de musique chez l’abonné. Le tribunal constata la contrefaçon et le condamna à 2000 euros d’amende dont 1000 avec sursis en plus de la confiscation de ses CD et de son ordinateur. À quoi s’ajoutèrent près de 3000 euros de dommages et intérêts au profit de la SACEM et de la SDRM…

Le défaut d'autorisation de la CNIL détruit tout

La Cour d’appel indiqua que conformément aux textes les constats des agents assermentés font foi au regard de la preuve de la matérialité des infractions. Cependant, elle rappelle là encore que rien ne permet de se passer de l’autorisation préalable de la CNIL., qui a été oubliée : or, l’adresse IP est bel et bien une donnée indirectement nominative, car « si elle ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI ». S'ensuit, que tout traitement, aussi infime soit-il, exige l' autorisation préalable de la CNIL.

Le couperet est ensuite mécanique : « en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent et ayant pour finalité la constatation du délit de contrefaçon, commis via les réseaux d'échange de fichiers "peer-to-peer", portent atteinte aux droits et garanties des libertés individuelles que la loi du 6 janvier 1978 a pour but de protéger et aux intérêts du prévenu. » En clair, faute d’autorisation de la CNIL dans la manipulation de ces données, c’est toute la procédure qui tombe puisque tout était basé sur ce PC illégal (perquisition au domicile, au restaurant, etc.).

2007 : les ayants droit autorisés à traquer en masse sur les réseaux P2P

Ces décisions sont celles d’un passé aujourd’hui presque révolu. On doit se souvenir en effet qu’en avril 2005, la SCPP, la SDRM et la SACEM déposaient une demande d’autorisation à la CNIL visant l’envoi de messages d’avertissements pédagogiques et la collecte d’adresses IP en vue de la répression. En octobre de la même année, la Commission rejetait en bloc cette double demande qui ne correspondait pas au texte de la loi de 1978 sur les fichiers personnels. En mai 2007, toutefois, le Conseil d’État, plus haut juge administratif, confirmait le rejet du volet pédagogique (les avertissements), mais désavouait la CNIL sur le volet répressif. Fin 2007, nouvelles demandes des ayants droit, validées cette fois par la CNIL, celle-ci étant prise dans l’étau de la décision. Par ailleurs, on sait que la future loi Création et Internet dite Hadopi, va faciliter le mitraillage de ces messages d’avertissements sur le web. Il ne fait peu de doute que ces décisions très récentes pèseront lors des débats (notre dossier).

Des décisions importantes à quelques semaines du débat Hadopi

Ces arrêts restent en tout cas importants, car c'est la première fois qu'une Cour d'appel prononce une telle annulation, alors que des décisions contraires, spécialement de la Cour d’appel de Paris avait relevé que l'adresse IP n'était pas une donnée personnelle. De plus, la Cour reconnait que les agents de la SCPP ont commis une infraction en se passant de l’autorisation de la CNIL. De telles manipulations sont en effet illicites et réprimées de 3 ans d'emprisonnement et 500 000 € d'amende (articles 226-16 et suivants du Code pénal), soit plus que la contrefaçon. Bientôt une riposte graduée contre les agents assermentés ?

(*) On pourra lire les décisions sur l'excellent site Juriscom.net :
CA Rennes, 22 mai 2008, Monsieur S C c/ SACEM et SDRM
CA Rennes, 23 juin 2008, Monsieur L T c/ Ministère Public
Par Marc Rees Publiée le 03/07/2008 à 12:09
Publicité