Protection des données personnelles : jusqu'où peut-elle aller ?

Cette tribune a été rédigée par Stéphanie Faber, Marianne Schaffner, Jean-Christophe Duton (cabinet d’avocats Linklaters, LLP)

Il s'agit là d'un nouvel épisode de la lutte des producteurs et distributeurs contre le partage gratuit de fichiers musicaux et audiovisuels grâce au système "peer to peer".

Rappel des faits

Promusicae, une association espagnole de producteurs et d'éditeurs d'enregistrements musicaux et audiovisuels, a identifié l'adresse IP d'utilisateurs de programmes "P2P" partageant des enregistrements. Ne pouvant engager une action judiciaire à leur encontre à partir de la seule adresse IP,  Promusicae a saisi le tribunal espagnol aux fins d'enjoindre à Telefónica de lui communiquer l'identité et l'adresse physique de certains de ses clients utilisant ses services d'accès à Internet.

Afin d'assurer une protection effective des droits de propriété intellectuelle, les lois des pays des l'Union Européenne doivent-elles prévoir une obligation de communiquer des données personnelles dans le cadre d'une procédure civile ? C'est la question posée par le tribunal espagnol à la CJCE.

La réponse du droit communautaire

Selon le droit communautaire  les données relatives au trafic et, plus généralement, les données personnelles sont confidentielles. Toutefois, les États ont la possibilité de prévoir des exceptions légales à cette confidentialité lorsqu'une telle exception constitue une mesure "nécessaire", "appropriée et proportionnée, au sein d'une société démocratique" "pour sauvegarder" un certain nombre d'intérêts généraux ou d'ordre public (y compris la sécurité nationale) ou certains droits fondamentaux et notamment la "protection des droits et libertés d'autrui".

La CJCE rappelle que les droits de propriété intellectuelle constituent des droits fondamentaux protégés par l'ordre juridique communautaire[1].  Elle considère que les directives protégeant ces données n'excluent pas la faculté pour les États membres de prévoir l'obligation de divulguer des données personnelles dans le cadre d'une procédure civile visant à protéger des droits de propriété intellectuelle. Mais il s'agit, selon elle, d'une faculté et non d'une obligation, ces directives ainsi que celles en matière de propriété intellectuelle ne l'imposant pas en vue d'assurer une protection effective (à la différence de ce qui est prévu pour les procédures pénales). 

Plus fondamentalement, la CJCE considère que c'est aux États membres qu'il revient d'assurer "un juste équilibre entre les différents droits fondamentaux". A cet égard,  "[...] il incombe aux autorités et juridictions des États membres, non seulement d'interpréter leur droit national d'une manière conforme aux dites directives, mais également de veiller à ne pas se fonder sur une interprétation des directives qui entrerait en conflit avec les droits fondamentaux ou avec les autres principes généraux du droit communautaire tels que le principe de proportionnalité".

La question reste donc entière pour le tribunal espagnol ! Les États membres et leurs tribunaux gardent une certaine liberté ainsi que l'entière responsabilité de respecter l'équilibre des droits fondamentaux ou le principe de proportionnalité. Cette liberté ressort de la souveraineté des États et d'un besoin de flexibilité. Mais elle comporte l'écueil de permettre des solutions différentes d'un pays à l'autre au sein de l'Union Européenne face à des situations et infractions qui ne s'arrêtent pas aux frontières ; le propre d'Internet.

Le cas de la France

En France, l'arsenal juridique actuel permet d'obtenir la communication des données personnelles dans le cadre d'une procédure pénale[2]. Dans le cadre d'une procédure civile, le titulaire d'un droit de propriété intellectuelle pourra obtenir à l'encontre du FAI des mesures provisoires pour faire cesser l'atteinte à son droit, par application de l'article 6-1-8 de la LCEN et 8 § 3 de la Directive 2001/29[3] ; textes appliqués par le TGI de Nanterre dans l'affaire Limewire[4].

Le nouveau plan de lutte contre la cybercriminalité va dans le sens d'une moindre protection des données des internautes (perquisition à distance) dans une procédure pénale. S'agissant de contrefaçon, le rapport Olivennes[5] propose un mécanisme d'avertissements et de sanctions administratives (et non pénales), prononcées par une autorité qui serait autorisée à rapprocher les données de connexion avec l'identité des utilisateurs. Cette future autorité publique de lutte contre la piraterie numérique devra donc, conformément à l'arrêt Promusicae, respecter le principe général de proportionnalité pour concilier trois droits fondamentaux que sont le droit de propriété intellectuelle, le droit à une protection juridictionnelle effective et le droit à la protection des données à caractère personnel  de la vie privée.