Dans la lutte contre le peer to peer[1], l’arrêt « Promusicae », rendu par la Cour de justice des communautés européennes (CJCE) le 28 janvier 2008, vient de relancer le débat sur la concurrence entre le droit d’auteur et la protection des données personnelles. Dans cette affaire, l’association des producteurs espagnols, Promusicae, avait demandé au fournisseur d’accès Internet, Telefonica, qu’il lui fournisse les données personnelles de certains internautes qu’elle avait identifiées, grâce à leur adresse IP, comme des utilisateurs du service peer to peer Kazaa, et cela dans le but d’intenter une procédure civile à leur encontre. Or, le fournisseur d’accès a refusé de donner suite à la demande considérant que la loi espagnole ne l’oblige à fournir ce type d’information que dans le cadre d’affaires pénales ou relatives à« la sauvegarde de la sécurité publique et de la défense nationale ». L’association Promusicae a alors assigné en justice Telefonica en vue d’obtenir les informations demandées. Soucieux de connaître la position européenne avant de trancher le litige, le tribunal espagnol a décidé de saisir la CJCE d’une question préjudicielle.
Si en matière pénale les directives communautaires[2] se sont déjà positionnées en faveur du droit d’auteur pour contraindre les fournisseurs d’accès à fournir des données personnelles, tout le problème est de savoir si l’on doit également privilégier le droit d’auteur au détriment de la protection des données personnelles dans le cadre d’une procédure civile.
L’arrêt « Promusicae » a mis en exergue la position européenne sur la question mais force est de constater que la CJCE n’a pas fait preuve d’une grande sagacité. En effet, les juges communautaires ont préféré laisser une liberté de manœuvre aux Etats avec néanmoins la condition d’assurer un « juste équilibre » entre les différents droits fondamentaux communautaires, dont font partie le respect de la vie privée et le droit à la propriété ayant pour corollaire les propriétés intellectuelles (I). Et justement, la France s’est déjà positionnée sur le sujet, en faveur du droit d’auteurs (II).
I °) La position communautaire : les Etats en liberté surveillée.
Après avoir posé le principe que les Etats sont libres (A), la Cour de justice des Communautés européennes leur impose néanmoins une condition : respecter le principe de proportionnalité (B).
A. Des Etats libres
A travers l’arrêt « Promusicae », la Cour de justice des Communautés européennes a clairement laissé le champ libre aux Etats pour décider s’ils doivent ou non préférer le droit d’auteur à la protection des données personnelles. Ainsi, en se fondant sur la directive sur le commerce électronique, les directives sur le droit d’auteur et la directive sur la vie privée dans le secteur des communications électroniques, les juges communautaires ont indiqué qu’elles « n’imposent pas aux Etats membres de prévoir […] l’obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du droit d’auteur dans le cadre d’une procédure civile »[3]. En l’espèce, l’affaire concernait un litige en Espagne, et la législation espagnole semble plutôt favorable à la protection des données à caractère personnel puisqu’elle n’oblige les Fournisseurs d’accès Internet à fournir ce type de données que pour les affaires pénales. Dès lors, a contrario en matière civile, c’est la protection des données personnelles qui s’impose sur celle des droits d’auteurs, en Espagne.
Autant dire que les juges n’ont pas trop voulu s’engager, et ont préféré renvoyer les Etats devant leur responsabilité. Il est d’ailleurs regrettable que les juges communautaires n’aient pas profité de cet arrêt pour déterminer définitivement quel régime juridique privilégier dans la lutte contre le peer to peer, ce qui aurait permis de pousser les Etats à avoir une législation plus claire et harmonisée.
Toutefois, la CJCE n’a pas laissé une totale marge de manœuvre aux Etats puisqu’elle leur a imposé une restriction : « assurer un juste équilibre » entre les différents droits fondamentaux.
B. L’obligation d’assurer un juste équilibre
« Toutefois, le droit communautaire exige desdits Etats que, lors de la transposition de ces directives, ils veillent à se fonder sur une interprétation de celles-ci qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire ». Ainsi après avoir laissé une grande liberté aux Etats, la CJCE a immédiatement limité leur champ d’action en imposant aux Etats d’assurer un juste équilibre entre la protection des droits d’auteurs et celle des données personnelles, sur le fondement d’un des principes généraux du droit communautaire : le principe de proportionnalité. Ce célèbre principe de droit communautaire impose que les moyens juridiques mis en place soient proportionnels au but recherché.
Concrètement, en matière de peer to peer, il s’agirait de laisser aux Etats la possibilité par exemple de favoriser les droits d’auteur mais les moyens mis en place pour assurer leur protection ne devront pas trop empiéter sur la protection des données personnelles, et se limiter à l’accomplissement de l’objectif final qui est d’éradiquer le fléau peer to peer.
Par conséquent, les juges communautaires ont décidé d’accorder une grande latitude aux Etats pour le choix de la législation contre le peer to peer, à condition néanmoins « d’assurer un juste équilibre » entre le respect de la vie privée et la protection du droit à la propriété, dont fait partie le droit d’auteur, imposant ainsi le respect du sacrosaint principe de proportionnalité. Or, la France a déjà choisi sa législation en la matière, privilégiant les droits d’auteur.
II°) Des difficultés du droit français à concilier le droit d’auteur et la protection des données personnelles
Dans l’arrêt « Promusicae », la Cour de Justice des Communautés européennes a laissé aux Etats le choix de la législation face au peer to peer. Et la France a tenté de suivre les recommandations communautaires en essayant de concilier le droit d’auteur avec la protection des données personnelles à travers la loi du 26 août 2004, réformant la loi Informatique et Libertés de 1978 (A). Si la loi a tenté de concilier les deux, la jurisprudence rencontre davantage de difficultés mais semble plutôt favoriser le droit d’auteur au détriment des données personnelles (B).
A. La tentative législative de concilier droit d’auteur et protection des données personnelles
A travers la loi du 26 août 2004, réformant la loi Informatique et Libertés de 1978, le législateur français a tenté de concilier la protection des droits d’auteur avec la protection des données personnelles dans son objectif d’éliminer le peer to peer. Ainsi, le nouvel article 9-3° de la loi Informatique et Libertés introduit une nouvelle catégorie de personnes pouvant effectuer des traitements de données à caractère personnel : les agents assermentés des sociétés gestionnaires des droits d’auteurs. Auparavant, seules les juridictions les autorités publiques et les personnes morales gérant un service public étaient autorisées à réaliser ce type de traitement.
Dès lors, en permettant à des sociétés de droit d’auteur de pouvoir effectuer des traitements de données personnelles en principe interdits, cela démontre la volonté du législateur d’accorder ses faveurs au droit d’auteur au détriment de la protection des données personnelles. L’objectif est bien entendu de permettre aux sociétés de gestion des droits d’auteurs de repérer les utilisateurs de réseaux peer to peer pour pouvoir les assigner ensuite en contrefaçon. Néanmoins, certainement dans le but de respecter le principe de proportionnalité cher au droit communautaire, le législateur a prévu un garde-fou : il faudra l’autorisation de la Commission Nationale Informatique et Libertés (Cnil) pour pouvoir effectuer ce genre de traitements.
Toutefois le rôle de la Cnil va être limité par la jurisprudence qui va ainsi se positionner en faveur de la protection du droit d’auteur au détriment de celle des données à caractère personnel.
B. Les difficultés jurisprudentielles de concilier les deux droits : le droit d’auteur privilégié
Si le législateur avait tenté de concilier la protection des données personnelles avec celle des droits d’auteurs, la jurisprudence, aussi bien administrative que judiciaire, s’en est beaucoup moins préoccupée. En effet, les juges français se sont positionnés en faveur de la protection du droit d’auteur en réduisant le rôle de garde fou de la Cnil.
Ainsi, du côté des juges administratifs, un arrêt rendu le 23 mai 2007 par le Conseil d’Etat sanctionne une décision de la Cnil qui avait interdit le traitement des données réalisé par une société de droit d’auteur au motif que les traitements envisagés conduisaient à une surveillance exhaustive et continue des réseaux peer to peer, ce qui était donc disproportionné par rapport à la finalité poursuivie. Or, pour la Haute juridiction administrative, ces traitements étaient parfaitement proportionnés eu égard à l’importance des échanges illégaux de titres musicaux. Ainsi, le Conseil d’Etat semble avoir choisi de privilégier les droits d’auteur au détriment de la protection des données personnelles, constatant qu’il s’avérait impossible d’assurer un juste équilibre entre les deux, en pratique.
S’agissant de la jurisprudence judiciaire, deux arrêts de la Cour d’Appel de Paris, rendus les 27 avril 2007 et 15 mai 2007, confirment la difficulté jurisprudentielle de concilier la protection des droits d’auteurs avec celle des données personnelles, dans le but d’éradiquer le peer to peer. Et comme son homologue administratif, les juges ont choisi de privilégié le droit d’auteur. En effet, dans ces arrêts, la Cour d’Appel a refusé de considérer les adresses IP[4]comme une donnée personnelle « dans la mesure où elle ne se rapporte qu’à une machine et non à l’individu », le raisonnement de la Cour d’Appel étant que les agents assermentés des sociétés d’auteurs ne font que recueillir la preuve de la matérialité des infractions et non identifier les auteurs de l’infraction. La Cour d’Appel de Paris en tire la conséquence que les sociétés d’auteurs n’ont pas besoin de demander une autorisation à la Cnil pour faire des traitements de ces adresses IP. Cette décision met hors circuit la Cnil qui ne peut plus jouer le rôle de garde fou lorsqu’il s’agit de traitements de données en vue d’une action en contrefaçon à l’encontre des utilisateurs des réseaux peer to peer. Ces arrêts montrent les difficultés de la jurisprudence à apprécier ce qu’est une adresse IP.
Ces arrêts ont d’ailleurs été vivement critiqués par la Cnil qui a sollicité du Garde des Sceaux qu’il forme un pourvoi en cassation de ces décisions. Pour la Cnil, l’adresse IP attribuée à un internaute lors de ses communications constitue une donnée à caractère personnel, se fondant sur l’article 2 de la loi Informatique et Libertés. En effet, cette disposition définit la donnée personnelle comme toute information relative à une personne permettant de l’identifier, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Or, pour la Cnil, l’adresse IP, à l’instar d’une plaque d’immatriculation d’un véhicule ou d’u numéro de téléphone, doit être considérée comme une donnée personnelle.
A noter néanmoins qu’un jugement du Tribunal de Grande Instance (TGI) de Saint Brieuc, rendu le 6 septembre 2007, dans lequel les juges bretons tranchent dans le sens de l’illicéité du traitement des données personnelles mis en œuvre par un agent assermenté en l’absence d’autorisation de la Cnil, déclarant de ce fait la nullité de l’ensemble de la procédure engagée contre un internaute faisant du peer to peer. Espérons que ces juges du fond parviendront à ouvrir la voie à une jurisprudence plus raisonnable.
En conclusion, malgré une tentative de concilier la protection des droits d’auteur et celle des données personnelles, la mission s’est avérée trop difficile et le droit d’auteur semble prendre l’ascendant sur la protection des données personnelles. Dès 2004, le législateur français a tenté de concilier la protection du droit d’auteur avec la protection des données personnelles, dans le but d’éradiquer le phénomène peer to peer mais en pratique, cela s’est avéré une mission trop difficile et la jurisprudence a été contrainte de privilégier l’un des deux droits, choisissant le droit d’auteur. Au niveau communautaire, la Cour de Justice des Communautés européennes a préféré laisser une marge de manœuvre aux Etats, en imposant toute fois la condition d’assurer un juste équilibre entre les droits communautaires fondamentaux et notamment garantir le principe de proportionnalité. Cette décision pourrait avoir une influence sur la nouvelle législation française qui prépare un système de riposte graduée.
[2] Pour rappel, il s’agit de la directive 2000/31/CE du 8 juin 2000 dite « directive sur le commerce électronique »; des directives sur les droits d’auteur 2001/29/CE du 22 mai 2001 et 2004/48/CE du 29 avril 2004
