♠ Arrêt du Conseil d’État du 23 mai 2007.



À l’issue de sa délibération du 18 octobre 2005, la Commission nationale de l’informatique et des libertés (Cnil) avait refusé à quatre sociétés d’auteurs et de producteurs de musique la possibilité de mettre en place des dispositifs automatisés de détection et de constatation des délits de contrefaçon d’œuvres musicales commis sur Internet via les réseaux d’échanges de fichiers dénommés "peer to peer", permettant ainsi l'envoie de messages pédagogiques de sensibilisation à destination des internautes en les informant notamment des sanctions pénales encourues.

La Commission avait décidé de refuser cette surveillance des réseaux "peer to peer" pour deux raisons essentielles.

Tout d'abord, elle avait estimé que les quatre sociétés : la Société des Auteurs, Compositeurs et Editeur de Musique (SACEM) ; la Société pour l’administration du Droit de Reproduction Mécanique (SDRM) ; la Société Civile des Producteurs Phonographiques (SCPP) et la Société civile des Producteurs de Phonogrammes en France (SPPF), avaient outrepassé les dispositions de l’article 9-4° de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

La Commission relevait en effet que « l’envoi de messages pédagogiques pour le compte de tiers ne [faisait] pas partie des cas de figure où les fournisseurs d’accès à Internet [étaient] autorisés à conserver les données de connexions des internautes ».

En outre, la Cnil avait estimé que les dispositifs proposés ne respectaient pas le principe de proportionnalité dans la mesure où « ils n’[avaient] pas pour objet la réalisation d’actions ponctuelles strictement limitées au besoin de la lutte contre la contrefaçon ».

Au sens de la Commission, de tels dispositifs pouvaient « aboutir à une collecte massive de données à caractère personnel et ainsi contribuer à la mise en place d’une surveillance exhaustive et continue des réseaux d’échanges de fichiers "peer to peer" ».

**     *
Par quatre requêtes initiales enregistrées au secrétariat du contentieux du Conseil d’État en décembre 2005, les sociétés d’auteurs et de producteurs de musique sollicitaient de la Haute juridiction que soit annulé les quatre décisions n° 2005-235, n° 2005-236, n° 2005-237 et n° 2005-238 du 18 octobre 2005 de la Cnil portant refus d’autoriser la surveillance des réseaux "peer to peer" dans les conditions présentées par ces dernières.

Au soutien de leurs demandes d’annulation, les quatre sociétés requérantes faisaient observer que les traitements de données à caractère personnel envisagés comportaient deux phases.

La première phase dénommée « calibrage / ciblage » permettait d’identifier sur une période de 24 heures les internautes mettant gratuitement et de manière régulière à disposition de tiers des fichiers musicaux.

À l’issue de cette première période, les internautes ayant mis moins de 50 fichiers musicaux en partage pouvaient recevoir un message d’avertissement les informant des conséquences juridiques de la pratique de la contrefaçon.

En revanche, les internautes ayant mis à disposition plus de 50 fichiers musicaux faisaient l’objet d’une seconde phase se déroulant sur une période de 15 jours dite de « ciblage avancé » au cours de laquelle il était procédé à un nouveau relevé du nombre de titre musicaux mis à disposition de tiers.

À la fin de cette seconde période, l’internaute ayant mis à disposition entre 500 et 1000 fichiers musicaux pouvait faire l’objet de poursuites devant le juge civil.

L'internaute ayant mis en partage plus de 1000 fichiers musicaux pouvaient quant à lui encourir des poursuites devant le juge pénal.

Pour accueillir favorablement les demandes d’annulation des quatre décisions de la Cnil, le Conseil d’État a considéré en premier lieu :

« En estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d’échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité poursuivie, la CNIL a entaché sa décision d’une erreur d’appréciation ».

Les magistrats se sont notamment appuyés sur les dispositions de l’article 6 de la loi du 6 janvier 1978 aux termes desquelles un traitement ne peut porter que sur des données à caractère personnel uniquement si ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Au soutien de leur argumentation, les magistrats ont préalablement relevé trois éléments de fait :

1. Les traitements envisagés par les quatre sociétés requérantes « ne portaient simultanément que sur quelques-uns des protocoles "peer to peer" permettant l’échange des fichiers musicaux sur Internet » ;
2. La base commune de contrôle portait sur 10.000 titres musicaux et faisait l’objet d’une actualisation hebdomadaire à hauteur de 10% des titres composant cette base ;
3. Les quatre sociétés requérantes avaient chacune en charge la protection des droits de plusieurs millions de titres musicaux, pour lesquels une évaluation non contestée de ces dernières portait à plusieurs centaines de millions le nombre de fichiers musicaux échangés chaque année frauduleusement dans le cadre des réseaux "peer to peer".

C'est au regard de ces éléments qu'il est apparu nécessaire au Conseil d’État pour apprécier l'ampleur et la pertinence du dispositif de traitement proposé par les sociétés d’auteurs et de producteurs de musique, d'envisager « de le rapprocher, d'une part, du nombre de titres musicaux dont les sociétés requérantes [avaient] pour mission d’assurer la protection et, d’autre part, de l’importance de la pratique des échanges de fichiers musicaux sur "Internet" ».

En second lieu, le Conseil d’État a considéré que la Cnil avait : « commis une erreur d’appréciation en estimant que [des] critères quantitatifs étaient dépourvus de pertinence eu égard à la finalité du traitement envisagé ».

La Haute Juridiction justifie ce choix en considérant : « qu’en l’absence de toute disposition législative en ce sens, la CNIL ne pouvait légalement refuser d’accorder les autorisations sollicitées au motif que les traitements envisagés reposaient uniquement sur des critères quantitatifs ».

Enfin, le Conseil d’État a considéré que c’est à bon droit que la Cnil avait retenu que les traitements de données à caractère personnel envisagés ayant pour finalité l’envoi de messages pédagogiques aux auteurs d’infractions étaient contraires aux dispositions de l’article L 34-1 du Code des postes et des communications électroniques lequel prévoit uniquement « la mise à disposition d’informations aux autorités judiciaires pour le besoin de la poursuite des infractions pénales ».

Mais dans le même temps, le Conseil d’État a relevé que ce motif de refus de la Cnil ne portait que sur une partie des traitements envisagés, or compte tenu du caractère indivisible de ces derniers, ce motif n'était pas suffisant à lui seul pour justifier les quatre refus d'autorisation de surveillance des réseaux "peer to peer" envisagée par les sociétés requérantes.

**     *
Dans un communiqué du 25 mai 2007, la Cnil a pris acte de cet arrêt du Conseil d'État décidant d'annuler ses refus d'autoriser la mise en place de dispositifs automatisés de détection et de constatation des délits de contrefaçon d’œuvres musicales commis sur Internet via les réseaux "peer to peer".

La Cnil a toutefois tenu à souligner qu'elle ne remettait pas en cause « la légitimité de la recherche et de la constatation des infractions sur Internet ».

Bien au contraire son objectif demeure « la garantie d'un juste équilibre entre la protection des droits d’auteur et celle de la vie privée des internautes ».

Au cours de sa séance du 24 mars 2005, la Commission avait ainsi autorisé le Syndicat des Editeurs de Logiciels de Loisirs (SELL) à mettre en place un système automatisé de détection des infractions au Code de la propriété intellectuelle sur Internet.

**     *
Cette importante décision du Conseil d'État du 23 mai 2007 relance sans nul doute la traque des internautes contrefacteurs sévissant sur les réseaux "peer to peer".

La Commission nationale de l'informatique et des libertés sera probablement saisie à nouveau d'une demande d'autorisation de surveillance de ces réseaux par les sociétés ayant en charge la protection de millions de titres musicaux.

Mais aujourd'hui le contrôle des échanges de fichiers musicaux sur les réseaux "peer to peer" est-il encore aussi pertinent ?

Ces réseaux ne sont-ils pas déjà désertés par les internautes qui leurs préfèrent de nouveaux systèmes d'échanges de fichiers à l'abri du regard des sociétés d’auteurs et de producteurs de musique ?...

Quelle serait alors la solution pour mettre un terme aux échanges frauduleux de fichiers musicaux sur Internet ?

Peut-être les nouvelles offres de musiques payantes en ligne constituent-elles ce début de solution.

À lire également : Lutte contre les réseaux Peer to Peer : la Cnil précise sa doctrine - 17/11/2005