Les constats d'agents assermentés de la SACEM et la loi Informatique et Libertés

Les constats d’actes de contrefaçon sur Internet effectués par des agents assermentés de la SACEM sont-ils des traitements de données à caractère personnel soumis à l’autorisation de la CNIL ? La chambre criminelle de la Cour de cassation, dans un arrêt du 13 janvier 2009, a répondu par la négative.

L'affaire se présentait de manière assez classique devant la Cour de cassation. Soupçonnant un internaute de se livrer à des actes de contrefaçon d'oeuvres musicales sur le réseau Internet, la SACEM a fait procéder, par l'un de ses agents assermentés, au constat des actes de mise à disposition d'oeuvres protégées réalisés sans le consentement des titulaires des droits. L'article L. 331-2 du Code de la Propriété Intellectuelle prévoit en effet que la matérialité des actes de contrefaçon de droits d'auteurs peut résulter des constatations d'agents assermentés.

Condamné en première instance, l'internaute en cause a été relaxé par la Cour d'appel de Rennes. Celle-ci, par un arrêt du 22 mai 2008, a annulé le procès-verbal de l'agent assermenté de la SACEM, au motif que l'autorisation préalable de la CNIL n'avait pas été obtenue. En effet, la Cour d'appel a considéré que le dispositif mis en oeuvre par l'agent assermenté de la SACEM constituait un traitement automatisé de données à caractère personnel, dès lors qu'il y avait "collecte, consultation, conservation et enregistrement de l'adresse IP de l'internaute, puis recherche et identification du fournisseur d'accès conduisant indirectement à identifier le titulaire de l'abonnement à Internet".

La Cour de cassation a analysé de manière détaillée les actes effectués par l'agent assermenté désigné par la SACEM et en a conclu qu'il n'y avait pas de traitement de données à caractère personnel au sens de la loi Informatique et Libertés. En effet, les hauts magistrats ont constaté que l'agent avait utilisé un appareillage informatique et un logiciel de peer-to-peer "pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par l'internaute", dont il s'était contenté de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès.

La Cour de cassation a souligné que les constats effectués et les renseignements recueillis par l'agent l'ont été sans recours à un traitement préalable de surveillance automatisé. Dès lors, l'autorisation préalable de la CNIL n'était pas requise. L'arrêt de la Cour d'appel a donc été cassé sur ce motif.

La Cour de cassation semble ainsi exclure les actes de l'agent assermenté du champ d'application de la loi Informatique et Libertés, au motif qu'il n'y avait pas de traitement automatisé, l'agent ayant procédé manuellement pour établir son constat. Toutefois, elle n'indique pas avoir vérifié si ces actes, à défaut de constituer un traitement automatisé, ne pouvaient être constitutifs d'un traitement non automatisé de données.

En effet, on rappellera qu'aux termes de son article 2, la loi Informatique et Libertés s'applique aux traitements automatisés ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, ces derniers étant définis comme des ensembles structurés et stables de données personnelles accessibles selon des critères déterminés. Cependant, même si cette précision avait été apportée par la Cour de cassation, la solution aurait été identique, le procès-verbal de constat dressé par l'agent n'étant pas destiné à constituer un fichier.

L'impasse sur la qualification de l'adresse IP
Il est intéressant de noter que la Cour de cassation est parvenue à se prononcer sans s'engager sur la question de la qualification de l'adresse IP. En effet, dans cette affaire, la nécessité d'obtenir l'autorisation de la CNIL était conditionnée par le fait qu'il y ait traitement de données à caractère personnel. Dès lors que la Cour de cassation a considéré qu'il n'y avait pas traitement, elle n'avait nul besoin de déterminer si l'adresse IP est une donnée à caractère personnel.

Dans son arrêt du 22 mai 2008, la Cour d'appel de Rennes avait, quant à elle, qualifié l'adresse IP de "donnée indirectement nominative", jugeant que "si elle ne permet pas, par elle-même, d'identifier le propriétaire du poste informatique, ni l'internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenue par le fournisseur d'accès à Internet".

Cette approche, si elle est conforme à celle de la CNIL et du Groupe de l'Article 29, qui considèrent l'adresse IP comme une donnée à caractère personnel, va à l'encontre de celle adoptée par la Cour d'appel de Paris dans ses arrêts des 27 avril 2007, 15 mai 2007 et 28 mai 2008. En effet, dans ces décisions, la Cour d'appel de Paris avait considéré que l'adresse IP n'était pas une donnée à caractère personnel, au motif qu'elle ne permettait pas l'identification des contrefacteurs, cette identification ne pouvant résulter que de la procédure judiciaire.

Un désaccord sur la question de la qualification de l'adresse IP subsistant entre les juges du fond, on ne peut que regretter que la Cour de cassation n'ait pas profité de cette affaire pour clarifier ce point.

Une clarification aurait été d'autant plus utile que la question est également débattue au niveau communautaire. Le Parlement européen a d'ailleurs invité la Commission à étudier la problématique de la qualification de l'adresse IP à l'occasion de la révision de la directive 'Vie privée et communications électroniques' du 12 juillet 2002. Bien qu'elle soit prête à entreprendre une réflexion sur le sujet, la Commission n'est toutefois pas favorable à l'inclusion d'une référence explicite à la qualification des adresses IP dans la directive, position qu'approuve le Groupe de l'Article 29 dans son opinion du 10 février 2009.

En conclusion, il convient de préciser que la portée pratique de cet arrêt restera limitée. En effet, suite à la décision du Conseil d'Etat du 23 mai 2007, la CNIL a, par une délibération du 22 novembre 2007, autorisé la SACEM à mettre en oeuvre des traitements automatisés de données personnelles ayant pour finalité la constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers peer-to-peer, ... étant précisé que les données personnelles visées par cette autorisation sont des adresses IP !

Tribune rédigée par Thierry Dor et Virginie Becht, Avocats à la Cour.