La collecte des adresses IP par les agents assermentés, ou la fronde des tribunaux du 1er degré

/ /
Publié le 25 septembre 2007
Par .

« Le sphinx symbolise l’énigme que l’humanité, selon son niveau d’évolution, doit résoudre. »Encyclopédie du Savoir Relatif et Absolu, Tome V, Edmond Wells  Qu’est-ce qui est une donnée personnelle au sens de la loi Informatique et libertés, et dont le traitement ne peut s’opérer en l’absence de l’autorisation de la CNIL, lorsqu’il est mis en œuvre par un…

« Le sphinx symbolise l’énigme que l’humanité, selon son niveau d’évolution, doit résoudre. »

Encyclopédie du Savoir Relatif et Absolu, Tome V,

Edmond Wells

 

 

Qu’est-ce qui est une donnée personnelle au sens de la loi Informatique et libertés, et dont le traitement ne peut s’opérer en l’absence de l’autorisation de la CNIL, lorsqu’il est mis en œuvre par un agent assermenté mandaté par une société de gestion collective ?

 

Telle est la question qu’aurait pu poser, ou poster, le Sphinx des temps modernes. D’aucuns auraient été alors tentés de répliquer : l’adresse IP ! Cela aurait été sans compter, qu’à ce jour, la réponse n’est pas uniforme et dépend des juridictions…

 

Dans un jugement [Juriscom.net] d’une quinzaine de pages, le tribunal correctionnel de Saint-Brieuc a tranché, le 6 septembre dernier, dans le sens de l’illicéité du traitement des données personnelles mis en œuvre par un agent assermenté en l’absence d’autorisation de la CNIL, déclarant de ce fait la nullité de l’ensemble de la procédure engagée contre un internaute « P2Piste » poursuivi du chef de contrefaçon.

 

Dans cette affaire, l’agent missionné par la SACEM/SDRM avait repéré sur le réseau d’échange de fichiers un internaute qui mettait à disposition plusieurs dizaines de milliers de fichiers, essentiellement musicaux, et dont la majorité était protégée par le droit d’auteur. L’agent obtint alors l’adresse IP de cet internaute via l’application Kerio personal firewall, alors qu’un autre logiciel lui désigna son fournisseur d’accès (FAI) et sa ville de connexion. S’ensuivit une plainte déposée auprès de la gendarmerie qui permit l’identification de l’internaute auprès de ce FAI.

 

Pour accueillir l’exception de nullité du procès-verbal au regard des dispositions de la loi du 6 janvier 1978, le tribunal va opérer en 3 temps. Les juges s’attachent, dans un premier temps, à définir la nature juridique de l’adresse IP avant de déterminer si la procédure constitue un traitement de données à caractère personnel. Ce n’est qu’en dernière analyse que les juges vont se pencher sur le fait de savoir si cette opération requérait, ou pas, l’autorisation préalable de la CNIL.

 

L’adresse IP, une donnée à caractère personnel ?

 

Curieusement, la question, dont la réponse semblait aller de soi il y a peu, se pose à présent, notamment depuis deux arrêts récents rendus par la Cour d’appel de Paris, l’un en date du 27 avril, l’autre du 15 mai 2007, dans lesquels la Cour a adopté une lecture originale du 2ème alinéa de l’article 2 de la loi Informatique et libertés qui définit les données à caractère personnel (Communiqué de presse, « La Cour d’appel de Paris infirme la relaxe de deux internautes et confirme à nouveau la validité des procès verbaux dressés par les agents assermentés de la SCPP« , Sccp.fr, 21/06/2007 ; L’adresse IP est une donnée à caractère personnel pour l’ensemble des CNIL européennes, Cnil.fr, 02/08/2007).

Rappelons qu’aux termes de la loi, constitue une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

 

Selon les magistrats de la Cour d’appel, l’adresse IP d’un ordinateur ne permettrait pas d’identifier son utilisateur puisque ce serait la plainte et les investigations des officiers de police ou de gendarmerie auprès du FAI qui autoriserait l’obtention de cette identité.

 

On entrevoit l’incongruité de l’argutie posée ici. A en croire les magistrats, l’adresse IP ne revêtirait ce caractère de « donnée personnelle » qu’entre les mains de la personne habilitée à demander directement au FAI de lever le voile sur l’identité du titulaire du compte. Ce serait donc la fonction qui déterminerait la nature juridique de l’adresse IP ?

 

De surcroît, pour la Cour d’appel, « cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu ». Le relevé de l’adresse IP de l’ordinateur ayant servi à l’infraction, d’autre part, entrerait dans le constat de sa matérialité et non pas dans l’identification de son auteur. Là aussi, il semble que les magistrats aient opéré un étrange raisonnement qui serait le suivant : dans la mesure où le code de la propriété intellectuelle habilite l’agent assermenté à recueillir la preuve de la matérialité des infractions, les actes qu’il accomplirait pour sa mission se limiteraient donc au constat de cette matérialité et non pas dans l’identification des auteurs de telles infractions. La Cour d’appel de Pau, dans un arrêt du 26 août 2006, a abouti à une conclusion comparable.

 

Dans l’affaire rapportée ici, le tribunal correctionnel de Saint-Brieuc convient, d’une part, que l’adresse IP, est, au sens strict, un identifiant d’une machine – plus précisément, l’identifiant d’une connexion réseau d’une machine – et non celui d’une personne et il reconnaît, d’autre part, que ce sont bien les enquêteurs de la gendarmerie qui ont requis le FAI de leur donner l’identité de l’utilisateur de l’adresse IP fourni par le procès-verbal de l’agent assermenté. Il n’en reste pas moins, cependant, que « l’adresse IP de la connexion associée au fournisseur d’accès constituent un ensemble de moyens permettant de connaître le nom de l’utilisateur ». Le tribunal conclut en toute logique que ces informations sont des données à caractère personnel ayant « indirectement » permis l’identification de l’internaute par les officiers de police judiciaire qui n’ont eu alors qu’à contacter le FAI pour découvrir son identité.

 

Et les juges d’ajouter que le fait que les outils tels ceux utilisés par l’agent assermenté, soient en ligne sur le réseau Internet à disposition de n’importe quel internaute ne change pas la qualification de « traitement » (cf la large définition de l’alinéa 4 de l’article 2 [Cnil.fr] de la loi Informatique et libertés, qui, comme le faisait valoir la défense, vise autant le simple ciblage que la simple sélection d’une donnée personnelle, même sans enregistrement).

 

L’autorisation préalable de la CNIL

 

La loi du 6 août 2004, en révisant la loi Informatique et libertés (S. Rouja, « La loi  »informatique et libertés » revisitée par la loi du 6 août 2004« , Juriscom.net, 07/09/2004), a permis aux personnes morales telles que la SCPP ou la SACEM de recourir à des traitements, automatisés ou non, de données à caractère personnel, dans le cadre de la recherche d’infractions (article 9 alinéa 4 nouveau de la loi du 6 janvier 1978). Ce droit est toutefois encadré par la CNIL en vertu de l’article 25 alinéa 3 de la loi Informatique et libertés qui impose l’autorisation de cette dernière pour les traitements autres que ceux mis en oeuvre par les auxiliaires de justice. Ce qui conduit le tribunal, en l’espèce, à relever qu’un agent assermenté mandaté par la SCCP ne peut être considéré comme un auxiliaire de justice au sens de I’article 25 précité mais qu’il serait plutôt assimilé à un agent ou un officier de police judiciaire selon les dispositions de l’article L 331-2 du code de la propriété intellectuelle.

 

Là encore, la question fait débat (L. Szuskin, M. de Guillenchmidt, « Les titulaires de droit d’auteur, laissés pour compte de la lutte contre la piraterie sur internet ? », Lamy 2007, n°29).

 

Quoi qu’il en soit, en l’espèce, faute d’autorisation, la procédure est entachée de nullité. Ce jugement forme, avec celui du Tribunal correctionnel de Bobigny du 14 décembre 2006 qui abondait dans le même sens, une fronde des tribunaux du premier degré qui devrait imposer à nouveau une lecture des textes en cas d’appel de la décision.

 

Sandrine Rouja

Rédactrice en chef de Juriscom.net