Le Conseil d’Etat censure la CNIL : la traque va-t-elle reprendre sur les réseaux peer-to-peer ?
Publié le 14/06/2007 par Etienne Wery
Le Conseil d’Etat a invalidé une décision de la CNIL du 18 octobre 2005, par laquelle la CNIL avait refusé d’autoriser quatre sociétés d’auteurs et de producteurs de musique à mettre en œuvre des dispositifs permettant la détection automatisée des infractions au code de la propriété intellectuelle et l’envoi de messages de sensibilisation aux internautes. Pour le Conseil d’Etat, la CNIL a commis deux erreurs d’appréciation.
Dans sa décision du 23 mai 2007, le Conseil a en effet conclu que la Cnil avait commis une erreur d’appréciation en estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des réseaux P2P et donc disproportionnée par rapport à la finalité poursuivie. Selon le Conseil, elle a commis une seconde erreur d’appréciation en considérant que les critères quantitatifs étaient dépourvus de pertinence.
Comment en est-on arrivé là ?
Le cadre légal
Les données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont des données réputées sensibles par la loi.
Leur traitement est en principe interdit, sauf pour quelques personnes et organismes visés par la loi. C’est ainsi que l’article 9 de la loi de 1978 modifiée en 2004 lors de la transposition de la directive de 1995 commence par stipuler que :
Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ; 2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
Une nouvelle catégorie a été introduite en 2004 ; il s‘agit :
des personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits.
Qui sont ces personnes morales ? Le code vise :
- Les sociétés de perception et de répartition des droits d’auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes qui sont constituées sous forme de sociétés civiles ;
- Les organismes de défense professionnelle régulièrement constitués.
La jurisprudence précédente de la CNIL
En décembre 2004, la CNIL a validé un système présenté par le Syndicat des Editeurs de Logiciels de Loisirs (SELL) qui fonctionnait en deux temps :
- L’envoi de messages de prévention. Les messages adressés aux internautes téléchargeant et mettant à disposition des logiciels de loisirs indiqueront que ces logiciels sont des œuvres de l’esprit et qu’ils bénéficient du régime de protection des droits d’auteur. Ils préciseront également que la violation de l’un des droits de l’auteur d’un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon.
Ces messages ne seront envoyés qu’aux internautes téléchargeant ou mettant à disposition des logiciels de loisirs appartenant au catalogue d’un éditeur de logiciels dont le SELL défend les intérêts. Ils auront uniquement pour objet d’informer les internautes sur le caractère illégal de leur comportement et sur les sanctions qu’ils pourraient encourir.
La Commission s’est assurée que l’envoi de ces messages ne donnera lieu à aucune conservation d’informations de la part du SELL. Ainsi, l’adresse IP des internautes à qui le message est adressé ne pourra pas être conservée ni utilisée pour dresser un procès-verbal d’infraction.
- La collecte de l’adresse IP de certains internautes en vue de dresser un procès-verbal d’infraction. La Commission s’est attachée à contrôler l’adéquation des traitements présentés par le SELL aux stricts besoins de la lutte contre la contrefaçon sur internet.
Les adresses IP des internautes mettant à disposition des logiciels de loisirs appartenant au catalogue d’un éditeur de logiciels dont le SELL défend les intérêts seront collectées seulement dans des cas limités, caractérisés par la gravité de l’infraction. Les procès-verbaux permettant au SELL de lancer des poursuites ne pourront être dressés que par un agent assermenté désigné par le SELL et agréé par le ministère de la culture.
La CNIL s’est assurée que les adresses IP des internautes ne seront recueillies que dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations et ne pourront acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire.
La décision négative du 18 octobre 2005
Quatre sociétés de perception et de répartition des droits ont présenté à la CNIL des dispositifs strictement identiques devant leur permettre : la Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) ; la Société pour l’administration du Droit de Reproduction Mécanique (SDRM) ; la Société Civile des Producteurs Phonographiques (SCPP) ; la Société civile des Producteurs de Phonogrammes en France (SPPF).
Le dispositif présenté prévoyait :
- le repérage par les sociétés d’auteurs d’internautes mettant à disposition illégalement des œuvres musicales,
- l’élaboration d’un message personnalisé d’avertissement ;
- la transmission de ce message et de l’adresse IP concernée au fournisseur d’accès dont cette adresse relève ;
- l’établissement d’une corrélation parle fournisseur entre l’adresse IP et son abonné à qui il transmet le message par courrier électronique.
Trois motifs ont motivé le refus de la CNIL :
La collaboration des fournisseurs d’accès a déplu. L’envoi de messages pédagogiques pour le compte de tiers ne fait pas partie des cas de figure où les fournisseurs d’accès à internet sont autorisés à conserver les données de connexions des internautes. Or, dans sa décision du 29 juillet 2004, le Conseil constitutionnel a posé le principe que les données collectées à l’occasion des traitements portant sur des infractions aux droits d’auteur ne pourront acquérir un caractère nominatif que sous le contrôle de l’autorité judiciaire.
Le côté disproportionné du dispositif a été pointé du doigt, notamment parce qu’il dépasse le cadre d’une intervention ponctuelle, peut aboutir à une collecte massive de données à caractère personnel ; permet la surveillance continue des réseaux P2P.
En outre, la Commission n’a pas aimé que les organismes aient toutes les cartes en main : la sélection des internautes susceptibles de faire l’objet de poursuites pénales ou civiles s’effectue sur la base de seuils relatifs au nombre de fichiers mis à disposition qui sont déterminés uniquement par les sociétés d’auteurs et que celles-ci se réservent la possibilité de réviser unilatéralement à tout moment.
La décision du Conseil d’Etat
Dans sa décision du 23 mai 2007, le Conseil a conclu que la Cnil avait commis une erreur d’appréciation en estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des réseaux P2P et donc disproportionnée par rapport à la finalité poursuivie.
Et le Conseil de préciser :
Considérant qu’il ressort toutefois des pièces du dossier que les traitements envisagés par les sociétés requérantes ne portaient simultanément que sur quelques-uns des protocoles "peer to peer" permettant l’échange des fichiers musicaux sur internet ; que si les sociétés requérantes s’étaient engagées à constituer une base commune de contrôle portant simultanément sur 10 000 titres musicaux, faisant l’objet d’une actualisation hebdomadaire à hauteur de 10% des titres composant la base, il convient, pour apprécier l’ampleur et la pertinence de ce dispositif de traitement, de le rapprocher, d’une part, du nombre de titres musicaux dont les sociétés requérantes ont pour mission d’assurer la protection et, d’autre part, de l’importance de la pratique des échanges de fichiers musicaux sur "internet" ;
que les sociétés d’auteurs, compositeurs requérantes ont chacune la charge de la protection des droits de plusieurs millions de titres musicaux ; que les sociétés requérantes évaluent en France, annuellement, sans être contredites sur ce point, à plusieurs centaines de millions de fichiers les échanges illégaux de titres musicaux dans le cadre de ces réseaux ; que par suite, en estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d’échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité poursuivies, la Cnil a entaché sa décision d’une erreur d’appréciation ;
En outre, le Conseil a estimé que la CNIL avait commis une seconde erreur d’appréciation en considérant que les critères quantitatifs étaient dépourvus de pertinence : "Considérant, en deuxième lieu, qu’en l’absence de toute disposition législative en ce sens, la Cnil ne pouvait légalement refuser d’accorder les autorisations sollicitées au motif que les traitements envisagés reposaient uniquement sur des critères quantitatifs ; qu’elle a également commis une erreur d’appréciation en estimant que ces critères quantitatifs étaient dépourvus de pertinence eu égard à la finalité envisagé".
Le Conseil a par contre validé le raisonnement de la CNIL quant à la collaboration des fournisseurs d’accès, qui n’est pas acceptable, mais a précisé que ce seul motif ne saurait justifier un refus de l’ensemble des demandes.