Alors qu’outre Atlantique, les magistrats de la Cour suprême américaine se penchaient sur le cas Grokster, en France, la Société civile des producteurs phonographiques (SCPP) faisait le bilan de ses actions en série à l’encontre des internautes. Au total, depuis douze mois – et selon l’article publié dans 01Net – 61 internautes auraient vu leur abonnement internet être résilié. Rappelons à ce sujet qu’au moins un internaute a pu échapper à la sanction comme le rappelle l’ordonnance sur requête publiée sur le site du Forum des droits sur l'internet [foruminternet.org]. Par ailleurs, 43 plaintes pénales ont été déposées, la SCPP précisant que « Dans les mois à venir, nous allons poursuivre nos efforts au civil et peut-être un peu temporiser au pénal ».
Seulement, face à ces actions, un sentiment de gêne apparaît dans l’esprit du juriste. Loin de nous l’idée d’avoir une quelconque approche moralisatrice de la question du téléchargement ou de l’échange de fichiers musicaux sur l’internet, morale sans conteste absente de tout raisonnement fondé sur un syllogisme juridique.
Non, la gêne éprouvée est tout autre … elle est textuelle. Examinons d’un peu plus près les actions entreprises par la SCPP. En l’espèce, après avoir collecté des adresses IP (sur un mode mécanographique bien évidemment, cette société n’ayant pas encore reçu d’autorisation de la part de la CNIL pour procéder par voie de traitement automatisé) d’internautes suspectés d’échanger des fichiers musicaux, la SCPP adresse par voie d’ordonnance sur requête une demande d’identification des internautes. Muni de ce précieux Graal, des actions nominatives pouvaient être déposées tantôt au pénal, tantôt au civil à l’encontre des contrefacteurs. Parallèlement, la SCPP a adressé également au Président des juridictions françaises des requêtes tendant à obtenir des magistrats la résiliation du compte de l’abonné ayant utilisé l’adresse IP 211.109.121.55, le fournisseur d’accès identifiant son client et exécutant alors la décision de justice.
Seulement, ces identifications d’internautes sont-elles valides ? Le régime de la conservation et de la communication des données d’identification est fixé par deux textes complémentaires : l’article 6-II de la loi du 21 juin 2004 pour la confiance dans l’économie numérique et l’article L. 34-1 du Code des postes et communications électroniques.
Le premier texte prévoit que « Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ». Cette disposition vise les hébergeurs et, également, les fournisseurs d’accès à l’internet pris dans leur fonction d’hébergeur de pages personnelles. L’article 6 de la LCEN n’a donc vocation à viser que les seules activités d’hébergement des divers prestataires de l’internet, comme le précise les travaux parlementaires qui désigne cette section sous la vocable de « Obligations légales à la charge des hébergeurs de sites » (rapport Jean Dionis du Séjour, AN, 1ère lecture [assemblee-nationale.fr]). Précisons également que les obligations qui incombent aux personnes morales dont l'activité est de fournir un accès à internet ne sont visées qu'à l'article 9 de la LCEN. Donc, l’identification des internautes ne peut pas avoir lieu sur le fondement de la LCEN.
Autre régime : celui issu des dispositions de la loi sur la sécurité quotidienne du 15 novembre 2001 et codifié à l’article L. 34-1 du Code des postes et communications électroniques. Celui-ci prévoit un principe fort : « les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ».
Quelques exceptions sont prévues aux paragraphes suivants. Cela vise notamment la conservation à des fins de facturation (L.34-1 III) ou dans le cadre de poursuites judiciaires. Aujourd’hui, toutes les demandes d’identification se fondent donc sur cet article L. 34-1 II. Seulement, une lecture plus attentive est susceptible de créer une certaine suspicion sur la légalité de la procédure suivie. En effet, le texte précise que « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ».
Deux conditions cumulatives existent donc. Tout d’abord, la conservation opérée (et la communication afférente à cette conservation) doit avoir lieu « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » … et donc, pas sur le terrain civil. Dès lors qu’une victime agit sur le terrain civil – comme c’est le cas de la SCPP – l’identification de l’internaute ne peut pas avoir lieu via son fournisseur d’accès à l’internet.
Et quand bien même, la victime agirait sur le terrain pénal, une seconde condition est posée, cette conservation est opérée dans « le seul but de permettre (…) la mise à disposition [des informations à ] l’autorité judiciaire ». En conséquence, une victime d’une infraction pénale n’a pas la possibilité – même par l’intermédiaire d’une ordonnance sur requête par exemple –d’obtenir directement communication de l’identité du prévenu. Une seule possibilité lui est offerte : un dépôt de plainte contre X, les autorités de police judiciaires étant alors les seules à pouvoir mener les investigations pour identifier correctement les internautes.
Donc aujourd’hui, la situation est assez délicate. D’une part nous avons des actions civiles engagées contre des internautes dont l’identité a été révélée par les fournisseurs d’accès à l’internet en méconnaissance des textes existants. D’autre part, nous avons sans doute quelques actions pénales qui risquent d’avoir la même critique.
S’agissant enfin des « résiliations » d’abonnement par le biais d’ordonnance sur requête, on peut également s’interroger sur la légalité de la procédure, le fournisseur d’accès recevant une telle décision devant alors procéder à l’identification de l’internaute, et donc utiliser des données conservées dans un but non prévu par la loi.
Sans compter que ledit fournisseur est lui aussi susceptible de sanctions pénales. L’article L. 34-1 lui impose, en effet, de prendre « toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues au présent article » tandis que l’article 226-21 du Code pénal sanctionne de 5 ans d’emprisonnement et 300.000 euros d’amende, « le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative ».
On ne peut donc que regretter le fait que ces arguments n’aient jamais été soulevés dans le cadre des procédures en cours afin que le juge établisse enfin un cadre strict de l’usage des données collectées.
Jean-Christophe Bobable
Juriste NTIC
jc.bobable@caramail.com