La justice autorise la traque aux pirates sans l'aval de la CNIL

Plus besoin de l'hadopi ? 143
caméra surveillance vidéo surveillance CNILExclusif PC INpact : La question de la lutte contre la contrefaçon et le respect des droits et libertés en matière de données personnelles va s’enrichir des réponses apportées par la Cour de cassation. Dans un arrêt inédit du 13 janvier 2009, la chambre criminelle de la Cour de cassation vient d’estimer que les PV dressés par les agents assermentés des ayants droit pouvaient parfaitement se passer de l’autorisation de la CNIL.

Un agent assermenté avait repéré en janvier 2005 un internaute en plein échange sur LimeWire de titres du catalogue des ayants droit (SACEM et SDRM). Après une requête faite sur le logiciel, il déniche à son actif plusieurs milliers de titres (2890). Son adresse IP est relevée depuis le logiciel, et un échantillon de 19 titres est téléchargé pour être versé au dossier pénal.

2890 MP3 téléchargés sur LimeWire

La suite est classique : son FAI, Neuf Cegetel, est identifié via les services fournis par le site www.ripe.net. Sur réquisition du parquet, il fournit l’état civil de son abonné. La procédure se poursuit par une plainte en contrefaçon à la demande de la SACEM et de la SDRM. La perquisition montrera que les téléchargements étaient destinés à assurer l’ambiance musicale d’un restaurant. Le téléchargeur reconnaît les faits, mais il précise aussitôt qu’il ignorait que le téléchargement fut illicite avec LimeWire d’autant qu’il payait les redevances SACEM pour diffuser des titres dans son restaurant… Une excuse de faible envergure, puisque le paiement de ces redevances n’excuse pas le téléchargement illicite.

Condamné en première instance, relaxé en appel

En première instance, le tribunal constata donc la contrefaçon et condamna l’internaute à 2000 euros d’amende dont 1000 avec sursis en plus de la confiscation de ses CD et de son ordinateur. À cette somme, s’ajoutèrent près de 3000 euros de dommages et intérêts au profit de la SACEM et de la SDRM.

Mais en appel, important revirement : en 2008, la Cour d’appel de Rennes annule toute la procédure et renvoie les ayants droit sur le banc de touche. Les magistrats estiment en effet que l’adresse IP est une donnée indirectement nominative, car « si elle ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI ». Et de fait, tout traitement manipulant ces données, par exemple le repérage sur les réseaux P2P, exige l’impérieuse autorisation préalable de la CNIL… que n’avait pas en poche l’agent œuvrant pour la SACEM et la SDRM.

La Cour d'appel balisera le repérage sur réseaux P2P

Le droit étant ce qu’il est, malgré le nombre de téléchargements, la Cour clos ainsi les festivités pénales : « en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent et ayant pour finalité la constatation du délit de contrefaçon, commis via les réseaux d'échange de fichiers "peer-to-peer", portent atteinte aux droits et garanties des libertés individuelles que la loi du 6 janvier 1978 a pour but de protéger et aux intérêts du prévenu. » Du coup, l’internaute pouvait rentrer chez lui, PC et stockages sous le bras, et sueur sur le front.

SACEM et SDRM ne s’avouaient pas vaincues puisque cette décision menaçait tous les contrôles passés et en cours de leurs agents assermentés. Un pourvoi en cassation fut donc décidé, choix bien heureux puisque la haute cour leur a donné raison.

La Cour de cassation valide ce repérage sans autorisation de la CNIL

La Cour de cassation ne conteste évidemment pas qu’un traitement automatisé de données personnelles exige l’autorisation de la CNIL, elle ne va pas davantage entrer dans le vif débat consistant à savoir si l’adresse IP est une donnée personnelle. Elle va au contraire vérifier et estimer que les conditions de droit ne sont pas remplies pour profiter de ce régime protecteur.

En effet, la loi de 78 a un champ d’application à la fois large… et stricte : « La présente loi s’applique aux traitements automatisés de données à caractère personnel » dit le texte dans ses premières lignes (article 2). Or, pour la Cour de cassation, s’il y a éventuellement eu manipulation de données personnelles, il n’y a pas eu d’automatisme dans ce traitement. Une autre condition qu’a oublié de vérifier la Cour d’appel dans sa décision.

Dans cette affaire, dit la Cour de cassation, « les constatations visuelles effectuées sur internet et les renseignements recueillis (…) par un agent assermenté » l’ont été « sans recourir à un traitement préalable de surveillance automatisé ».

L’agent a simplement utilisé un PC et un logiciel de pair à pair, « pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons ». Point.

cour de cassation 13 janvier 2009 CNIL agents SACEM cour de cassation 13 janvier 2009 CNIL agents SACEM cour de cassation 13 janvier 2009 CNIL agents SACEM cour de cassation 13 janvier 2009 CNIL agents SACEM
La décision de la Cour de cassation

Beaucoup de manuel, pas d'automatisme

En somme, des constats visuels, des prises de notes, des accès manuels… mais pas d’automatisme visant à ratisser large sur les réseaux P2P. Si l’agent de la SACEM avait utilisé une solution logicielle pour récolter quantité d’adresses IP automatiquement, sans doute la Cour de cassation aurait pris une autre voie. Dans cette affaire de repérage manuel, on reste donc pleinement dans les missions des agents assermentés qui peuvent réaliser leur besogne librement, sans autre formalisme.

Curieusement, l'affaire a été renvoyée davant la Cour d'Appel de Paris, en chambre du conseil, donc dans une audience non publique.

Cette décision est l’une des dernières en la matière puisque le projet de loi Création et Internet - critiqué par la CNIL - vise justement à autoriser la traque automatisée à grande échelle. Le projet est calibré pour nettoyer la jungle du Net et faire envoyer chaque jour 10 000 emails d’avertissement aux abonnés dont la ligne a servi à des actes d’échanges illicites, et 3 000 lettres recommandées pour les récidivistes qui ne parviennent pas à stopper l’hémorragie sur leur ligne internet. Au bout, c'est le risque d’une suspension d’accès internet jusqu’à un an, des restrictions d’usage pour une période indéterminée et la possibilité d’être en plus puni pour contrefaçon si le titulaire de la ligne est effectivement celui qui a « piraté » les fichiers. Autre temps, autres mœurs.