Communication des adresses IP aux ayants-droit : un nouvel arrêt de la Cour de Justice
Publié le 03/06/2012 par Etienne Wery , Jessica Weintraub
Les FAI sont de plus en plus sollicités par les ayants-droit aux fins d’obtenir les données permettany d’identifier des abonnés soupçonnés de télécharger illégalement des ouvres protégées. La situation est relativement bien balisée lorsque la demandé est faite dans le cadre d’une instruction pénale ; qu’en est-il lorsque la demande est faite directement par l’ayant-droit, dans une procédure civile ou commerciale ? Ce débat prend d’autant plus de sens dans le contexte animé qui entoure le projet européen ACTA.
1. L’affaire Promusicae c. Telefonica
La Cour de Justice s’est prononcée de manière inédite dans un premier arrêt en date du 29 janvier 2008 sur la possibilité pour une association de gestion de droits d’auteur d’obtenir auprès d’un FAI la communication de données personnelles dans le cadre d’une procédure civile. En résumé, Promusicae est une association espagnole sans but lucratif regroupant des producteurs et des éditeurs d’enregistrements musicaux ainsi que d’enregistrements audiovisuels. Elle demande, et obtient, de la justice espagnole que le fournisseur d’accès à l’internet Telefónica soit condamné à révéler l’identité et l’adresse physique de certaines personnes auxquelles cette dernière fournit un service d’accès à l’Internet et dont l’adresse IP ainsi que la date et l’heure de connexion sont connues. En appel, la cour renvoie l’affaire devant la CJUE.
La cour rappelle tout d’abord le statut des adresses IP, qui sont des données à carcatère personnel : « Il n’est par ailleurs pas contesté que la communication, sollicitée par Promusicae, des noms et des adresses de certains utilisateurs de KaZaA implique la mise à disposition de données à caractère personnel, c’est-à-dire d’informations sur des personnes physiques identifiées ou identifiables, conformément à la définition figurant à l’article 2, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 6 novembre 2003, Lindqvist, C‑101/01, Rec. p. I‑12971, point 24). Cette communication d’informations (…) constitue un traitement de données à caractère personnel, au sens de l’article 2, premier alinéa, de la directive 2002/58, lu en combinaison avec l’article 2, sous b), de la directive 95/46. Il doit donc être admis que ladite communication relève du champ d’application de la directive 2002/58, étant observé que la conformité du stockage des données lui-même aux exigences de cette dernière directive n’est pas en cause dans le litige au principal ».
Ensuite, la CJUE signale qu’en matière civile, le droit communitaire n’oblige pas les Etats à prévoir une procédure de communication des données, mais il ne l’interdit pas non plus.
- Parmi les exceptions permises en matière de protection des données à caractère personnel, figurent les mesures nécessaires à la protection des droits et libertés d’autrui. Pour la Cour, ceci doit être interprétée comme exprimant la volonté du législateur communautaire de ne pas exclure de son champ d’application, ni la protection du droit de propriété, ni les situations dans lesquelles les auteurs cherchent à obtenir cette protection dans le cadre d’une procédure civile. Elle n’exclut donc pas la possibilité, pour les États membres, de prévoir l’obligation de divulguer, dans le cadre d’une procédure civile, des données à caractère personnel.
- Quant aux directives en matière de propriété intellectuelle, la Cour de justice constate que celles-ci autorisent mais n’imposent pas pour autant aux États membres de prévoir, en vue d’assurer la protection effective du droit d’auteur, l’obligation de communiquer des données à caractère personnel dans le cadre d’une procédure civile.
A ceux des Etats qui souhaiteraient prévoir une telle procédure civile, elle demande toutefois « d’assurer un juste équilibre » entre les différents droits fondamentaux en jeu : « le droit communautaire exige desdits États que, lors de la transposition de ces directives, ils veillent à se fonder sur une interprétation de celles-ci qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire » (point 70). Ensuite, lors de la phase de mise en œuvre, la Cour souligne qu’il incombe aux autorités et aux juridictions des États membres non seulement d’interpréter leur droit national d’une manière conforme auxdites directives, mais également de veiller à ne pas se fonder sur une interprétation de celles-ci qui entrerait en conflit avec lesdits droits fondamentaux ou avec les autres principes généraux du droit communautaire, tels que le principe de proportionnalité.
2. L’affaire Bonnier Audio
Dans son arrêt « Bonnier Audio Ab » fraichement rendu le 19 avril 2012, la Cour a complété sa jurisprudence Promusicae.
Les faits étaient relativement similaires à ceux de l’affaire espagnole : la société suédoise titulaire des droits exclusifs des droits d’auteur (Bonnier Audio e.a.) estimait qu’il était porté atteinte à ses droits en raison d’échanges illicites de fichiers par l’intermédiaire du FAI suédois (ePhone) et réclamait en justice la communication des coordonnées de la personne cachée derrière l’adresse IP à partir de laquelle l’illicéité avait été constatée. Le FAI s’était opposé à cette demande d’injonction estimant que la directive 2006/24 ne lui permettait pas de communiquer des données à d’autres personnes qu’une autorité publique. La question portait donc à nouveau sur la possiblité d’obtenir les adresses IP des internautes fautifs dans le cadre d’une procédure civile aux fins d’identification.
La Cour a relevé qu’une transmission de données, dans le but de faire cesser l’atteinte à des droits de propriété intellectuelle, ne rentre effectivement pas dans le champ d’application de la directive 2006/24 puisqu’il découle des articles 1er et 4 de la directive 2006/24 que « les données conservées ne peuvent être transmises qu’aux autorités nationales compétentes » et que ladite directive « concerne exclusivement le traitement et la conservation de données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, aux fins de recherche, de détection et de poursuite d’infractions graves, ainsi que leur transmission aux autorités nationales compétentes » (§39-40).
Toutefois, comme dans l’arrêt Promusicae, la Cour ne s’est pas opposée à ce que « les Etats membres établissent une obligation de transmission à des personnes privées de données à caractère personnel pour permettre d’engager, devant les juridictions civiles, des poursuites contre les atteintes au droit d’auteur, mais elle n’oblige pas non plus ces Etats à prévoir une telle obligation » (§55), à la condition d’assurer un « juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique de l’Union » (§56).
Or, en l’occurrence, la Suède avait opté dans sa législation pour une obligation de transmission de données à caractère personnel à des personnes privées mais en exigeant que « des indices réels d’atteinte à un droit de propriété intellectuelle sur une œuvre existent, que des informations demandées soient susceptibles de faciliter l’enquête sur la violation du droit d’auteur ou l’atteinte à un tel droit et que les raisons motivant cette injonction soient d’un intérêt supérieur aux inconvénients ou autres préjudices (…)» (§58).
La loi suédoise respecte donc cette condition d’équilibre et la Cour conclut que la directive 2006/24/CE sur la protection de la vie privée ne s’oppose pas à l’application d’une législation nationale « qui, aux fins d’identification d’un abonné à Internet ou d’un utilisateur d’Internet, permet d’enjoindre à un fournisseur d’accès Internet de communiquer au titulaire d’un droit d’auteur ou à son ayant-droit l’identité de l’abonné à qui une adresse IP qui aurait servi à l’atteinte audit droit a été attribuée puisqu’une telle législation ne relève pas du champ d’application ratione materiae de la directive 2006/24 ».
3. La position de la Cour de cassation belge
En juin 2011, la Cour de cassation belge a eu à se pencher sur une problématique similaire. Il est intéressant de noter qu’elle avait très correctement anticipé l’arrêt précité de la CJUE.
Les faits sont simples : une entreprise de construction avait pris connaissance de propos qu’elle jugeait calomnieux et injurieux émis à leur propos sur le forum de discussion d’une associétation de consommateurs bien connue. La société de construction demande (unilatéralement) et obtient du président du tribunal de première instance de Liège de condamner ladite association à « produire les informations en sa possession concernant l’identité, les coordonnées, les adresse TCP/IP et les logs des auteurs des messages litigieux ». sur tierce-ooposition, le président confirme sa décision mais il est contredit par la cour d’appel. L’affaire finit devant la Cour de cassation.
La Cour de cassation était invitée à circonscrire l’article 21 de la loi du 11 mars 2003 sur certains aspects juridiques des services de la société de l’information qui, selon l’association de consommateurs, établit uniquement « une relation bilatérale entre le prestataire et les autorités judiciaires ou administratives à des fins spécifiques, à savoir la recherche et la constatation des infractions ». En d’autres termes, il n’est pas possible d’utiliser cette disposition comme fondement juridique d’une action civile.
La Cour de cassation confirme cette interprétation : l’article 21 impose uniquement aux prestataires de communiquer aux autorités judiciaires ou administratives toutes les informations utiles mais ne confère cependant aucun droit subjectif à une personne physique ou morale autres que des autorités judiciaires ou administratives « d’obtenir d’une juridiction de l’ordre judiciaire qu’elle ordonne à ce prestataire de lui communiquer toutes les informations dont il dispose sur les prétendues auteurs d’infractions aux fins de poursuivre une action civile en réparation ».