France : lutte contre le téléchargement illégal et protection des données personnelles

637

Impliquant le relevé et l’exploitation d’informations relatives à l’activité des internautes fautifs ou seule- ment négligents, la lutte contre le téléchargement illégal doit cependant se faire dans le respect de leur vie privée et, notamment des dispositions relatives aux données à caractère personnel. La protection des droits des uns ne saurait justifier que des atteintes soient portées à ceux des autres.

Le cadre général est fixé par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et par différents textes d’application, notamment le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle, dénommé « Système de gestion des mesures pour la protection des oeuvres sur Internet », dont l’exploitation est confiée à la Commission de protection des droits de la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi). Le mécanisme de surveillance et de contrôle se faisant, dans un système de « riposte graduée », en plusieurs étapes et sous la responsabilité de diverses institutions privées et publiques, il convient de considérer, tout d’abord, les droits et obligations des sociétés de gestion collective notamment, puis de la Commission de protection des droits, appelée elle-même, en cas de nécessité, à saisir l’autorité judiciaire.

Sociétés de gestion collective

En matière de collecte et d’exploitation de données à caractère personnel, les pouvoirs des sociétés de gestion collective des droits d’auteur sont fixés par les textes législatifs, ayant donné lieu à une réserve d’interprétation du Conseil constitutionnel, et exercés sous le contrôle de la Commission nationale de l’informatique et des libertés (Cnil), dont les décisions sont elles-mêmes soumises au contrôle du juge administratif.

Modifié et complété par la loi du 6 août 2004, l’article 9 de la loi du 6 janvier 1978 accorde, par renvoi au code de la propriété intellectuelle (CPI), notamment aux sociétés de gestion collective, dites également de perception et de répartition des droits, et aux organismes de défense professionnelle des auteurs, la possibilité de mettre en œuvre des « traitements de données à caractère personnel relatives aux infractions » de contrefaçon que constitue notamment le téléchargement illégal. Dans sa décision du 29 juillet 2004, préalable à la promulgation de la loi modificatrice, le Conseil constitutionnel a posé comme condition que « les données ainsi recueillies ne pourront […] acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire ». Il ne précise pas si celle-ci peut être civile ou si elle doit être pénale. Dans une note explicative d’octobre 2004, la Cnil précisait qu’est ainsi donnée aux organismes de défense des intérêts des auteurs, la possibilité de recourir à des « traitements ayant pour finalité la constatation des infractions », visant « à recenser les actes de contrefaçon sur Internet et à engager des poursuites » et à « réunir les preuves nécessaires à l’engagement des poursuites pénales ou civiles ».

En octobre 2005, la Cnil avait pourtant refusé aux sociétés d’auteurs la possibilité de « mettre en œuvre des dispositifs permettant la détection automatisée des infractions au code de la propriété intellectuelle et l’envoi de messages de sensibilisation aux internautes ». A la suite d’un arrêt du Conseil d’Etat du 23 mai 2007, annulant ces décisions, elle leur accordait, en novembre de la même année, l’autorisation de « mettre en œuvre les traitements ayant pour objet la recherche d’infractions aux droits d’auteur sur les réseaux peer to peer », mais non l’envoi de messages pédagogiques.

Ayant eu à statuer sur ces questions à propos d’une société de gestion collective espagnole, la Cour de justice des Communautés européennes (CJCE), se fondant sur une directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée, considère que le texte autorise les autorités nationales à prendre des mesures d’exception à la confidentialité des données personnelles, lorsque cela est « nécessaire notamment pour la protection des droits et libertés d’autrui », catégorie à laquelle peuvent être rattachés les droits de propriété intellectuelle, y compris « dans le cadre d’une procédure civile » (CJCE, 29 janvier 2008, Promusicae).

Les observations et relevés informatiques ainsi effectués par ces organismes servent, en application de l’article L. 331-24 CPI (introduit par la loi du 12 juin 2009, dite Hadopi), à la saisine de la Commission de protection des droits de la Hadopi dont les pouvoirs en la matière sont également encadrés.

Commission de protection des droits

La gestion, par la Commission de protection des droits de la Hadopi, de ces données à caractère personnel fait l’objet de dispositions législatives et réglementaires.

Introduit par la loi du 28 octobre 2009 (dite Hadopi 2), l’article L. 331-29 CPI autorise « la création, par la Haute Autorité, d’un traitement automatisé de données à caractère personnel portant sur les personnes faisant l’objet d’une procédure » dans le cadre de la lutte contre le téléchargement illégal. Il y est prévu qu’un décret, « pris après avis » de la Cnil, en « fixe les modalités d’application » et qu’il « précise notamment : les catégories de données enregistrées et leur durée de conservation ; les destinataires habilités à recevoir communication de ces données, notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ; les conditions dans lesquelles les personnes intéressées peuvent exercer, auprès de la Haute Autorité, leur droit d’accès aux données les concernant, conformément à la loi » du 6 janvier 1978.

Le décret du 5 mars 2010 constitue le décret attendu. Il crée le traitement dénommé « Système de gestion des mesures pour la protection des œuvres sur Internet ». Il détermine « les données à caractère personnel et informations enregistrées », dans ledit traitement, concernant les titulaires d’accès ayant servi à de telles pratiques de téléchargement illégal : « date et heure des faits ; adresse IP des abonnés concernés ; protocole pair à pair utilisé ; pseudonyme utilisé par l’abonné ; informations relatives aux œuvres ou objets protégés concernés par les faits ; nom du fichier tel que présent dans le poste de l’abonné (le cas échéant) ; fournisseur d’accès à Internet auprès duquel l’accès a été souscrit ».

Par l’article 3 du décret, il est posé que les données à caractère personnel « sont effacées : deux mois après la date de réception par la Commission de protection des droits », dans le cas où il n’est pas donné suite par l’envoi, à l’internaute, de la première « recommandation » prévue par l’article L. 331-25 CPI ; « quatorze mois après l’envoi d’une recommandation » si, dans ce délai, une nouvelle « recommandation » n’a pas été adressée à l’abonné ; « vingt mois après la date de présentation de la lettre », en cas de renouvellement des faits dans un délai de six mois à compter de l’envoi de la première recommandation.

Le même décret fixe enfin les conditions de consultation du traitement et des droits d’accès et de rectification prévus par la loi du 6 janvier 1978, en faveur des personnes concernées.

Ce décret a fait l’objet, le 7 mai 2010, d’un recours de la part d’un fournisseur d’accès qui en contestait la régularité parce que l’adoption du texte n’avait pas été précédée d’un avis de l’Autorité de régulation des communications électroniques et des postes (Arcep). Cet avis n’est pourtant pas exigé par l’article L. 331-29 CPI, qui prévoit seulement celui de la Cnil. Le délai de recours étant de deux mois à compter de la date de la publication du texte contesté, le recours a été déposé juste à temps, le décret ayant été publié au Journal officiel du 7 mars 2010. Il est à noter qu’un tel recours n’a pas d’effet suspensif, ce qui ne retarde donc pas la véritable entrée en fonction de la Hadopi et l’envoi, par celle-ci, des premières « recommandations » devant servir à la lutte contre le téléchargement illégal.

Source :

  • Lutte contre le téléchargement illégal, Emmanuel Derieux, Agnès Granchet, Lamy, 2010, 266 p.

LAISSER UN COMMENTAIRE