Recherches des infractions sur les réseaux P2P : la CNIL met le holà !
Publié le 24/10/2005 par Etienne Wery
Au cours de sa séance du 18 octobre 2005, la CNIL a refusé d’autoriser quatre sociétés d’auteurs et de producteurs de musique à mettre en œuvre des dispositifs permettant la détection automatisée des infractions au code de la propriété intellectuelle et l’envoi de messages de sensibilisation aux internautes. Deux motifs principaux motivent ce refus :…
Au cours de sa séance du 18 octobre 2005, la CNIL a refusé d’autoriser quatre sociétés d’auteurs et de producteurs de musique à mettre en œuvre des dispositifs permettant la détection automatisée des infractions au code de la propriété intellectuelle et l’envoi de messages de sensibilisation aux internautes. Deux motifs principaux motivent ce refus : d’une part, la Commission n’a pas aimé le recours aux fournisseurs d’accès pour l’identification des internautes et le transfert à ceux-ci de messages d’avertissement ; d’autre part, elle a estimé que les dispositifs étaient disproportionnés à la finalité poursuivie.
Le cadre légal
Les données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont des données réputées sensibles par la loi.
Leur traitement est en principe interdit, sauf pour quelques personnes et organismes visés par la loi. C’est ainsi que l’article 9 de la loi de 1978 modifiée en 2004 lors de la transposition de la directive de 1995 commence par stipuler que :
Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
Une nouvelle catégorie a été introduite en 2004 ; il s‘agit :
des personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits.
Qui sont ces personnes morales ? Le code vise :
- Les sociétés de perception et de répartition des droits d’auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes qui sont constituées sous forme de sociétés civiles ;
- Les organismes de défense professionnelle régulièrement constitués.
La jurisprudence précédente de la CNIL
En décembre 2004, la CNIL a validé un système présenté par le Syndicat des Editeurs de Logiciels de Loisirs (SELL) qui fonctionnait en deux temps :
- L’envoi de messages de prévention. Les messages adressés aux internautes téléchargeant et mettant à disposition des logiciels de loisirs indiqueront que ces logiciels sont des œuvres de l’esprit et qu’ils bénéficient du régime de protection des droits d’auteur. Ils préciseront également que la violation de l’un des droits de l’auteur d’un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon.
Ces messages ne seront envoyés qu’aux internautes téléchargeant ou mettant à disposition des logiciels de loisirs appartenant au catalogue d’un éditeur de logiciels dont le SELL défend les intérêts. Ils auront uniquement pour objet d’informer les internautes sur le caractère illégal de leur comportement et sur les sanctions qu’ils pourraient encourir.
La Commission s’est assurée que l’envoi de ces messages ne donnera lieu à aucune conservation d’informations de la part du SELL. Ainsi, l’adresse IP des internautes à qui le message est adressé ne pourra pas être conservée ni utilisée pour dresser un procès-verbal d’infraction.
- La collecte de l’adresse IP de certains internautes en vue de dresser un procès-verbal d’infraction. La Commission s’est attachée à contrôler l’adéquation des traitements présentés par le SELL aux stricts besoins de la lutte contre la contrefaçon sur internet.
Les adresses IP des internautes mettant à disposition des logiciels de loisirs appartenant au catalogue d’un éditeur de logiciels dont le SELL défend les intérêts seront collectées seulement dans des cas limités, caractérisés par la gravité de l’infraction. Les procès-verbaux permettant au SELL de lancer des poursuites ne pourront être dressés que par un agent assermenté désigné par le SELL et agréé par le ministère de la culture.
La CNIL s’est assurée que les adresses IP des internautes ne seront recueillies que dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations et ne pourront acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire.
La décision négative du 18 octobre 2005
Quatre sociétés de perception et de répartition des droits ont présenté à la CNIL des dispositifs strictement identiques devant leur permettre : la Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) ; la Société pour l’administration du Droit de Reproduction Mécanique (SDRM) ; la Société Civile des Producteurs Phonographiques (SCPP) ; la Société civile des Producteurs de Phonogrammes en France (SPPF).
Le dispositif présenté prévoyait :
- le repérage par les sociétés d’auteurs d’internautes mettant à disposition illégalement des œuvres musicales,
- l’élaboration d’un message personnalisé d’avertissement ;
- la transmission de ce message et de l’adresse IP concernée au fournisseur d’accès dont cette adresse relève ;
- l’établissement d’une corrélation parle fournisseur entre l’adresse IP et son abonné à qui il transmet le message par courrier électronique.
Trois motifs ont motivé le refus de la CNIL :
- La collaboration des fournisseurs d’accès a déplu. L’envoi de messages pédagogiques pour le compte de tiers ne fait pas partie des cas de figure où les fournisseurs d’accès à internet sont autorisés à conserver les données de connexions des internautes. Or, dans sa décision du 29 juillet 2004, le Conseil constitutionnel a posé le principe que les données collectées à l’occasion des traitements portant sur des infractions aux droits d’auteur ne pourront acquérir un caractère nominatif que sous le contrôle de l’autorité judiciaire.
- Le côté disproportionné du dispositif a été pointé du doigt, notamment parce qu’il dépasse le cadre d’une intervention ponctuelle, peut aboutir à une collecte massive de données à caractère personnel ; permet la surveillance continue des réseaux P2P.
- En outre, la Commission n’a pas aimé que les organismes aient toutes les cartes en main : la sélection des internautes susceptibles de faire l’objet de poursuites pénales ou civiles s’effectue sur la base de seuils relatifs au nombre de fichiers mis à disposition qui sont déterminés uniquement par les sociétés d’auteurs et que celles-ci se réservent la possibilité de réviser unilatéralement à tout moment.