Le Forum des droits sur l'internet
http://www.foruminternet.org/spip.php?page=impression&id_article=...
Affaire Promusicæ : la communication de données personnelles par les FAI possible à condition d’être proportionnée 27 février 2008
La Cour de Justice des Communautés Européennes (CJCE) s’est prononcée sur la possibilité pour une association de gestion de droits d’auteur d’obtenir la communication auprès d’un fournisseur d’accès à internet (FAI) de données personnelles d’abonnés dans le cadre d’une procédure civile. Dans un arrêt du 29 janvier 2008, la CJCE a estimé que le droit communautaire n’imposait pas aux États membres de prévoir, dans un objectif de protection du droit d’auteur, une obligation pour les fournisseurs d’accès à internet de communiquer les données personnelles de leurs clients dans le cadre d’une procédure civile. Elle a également considéré que, pour autant, le droit communautaire n’excluait pas la possibilité pour les États de prévoir une telle obligation sous réserve de concilier les différents droits fondamentaux protégés par l’ordre juridique communautaire. Dans cette affaire, une association espagnole sans but lucratif Productores de Musica de España (Promusicæ), qui regroupe des producteurs et des éditeurs d’enregistrements musicaux et audiovisuels, avait saisi le tribunal espagnol afin d’obtenir du fournisseur d’accès internet Telefonica de España SAU (Telefonica) la communication des données de connexion dont l’adresse IP de certains de ses abonnés. En effet, Promusicæ avait constaté que certains abonnés de Telefonica avaient violé les droits patrimoniaux d’exploitation appartenant à ses associés via l’utilisation d’un programme d’échange d’archives. Par ordonnance du 21 décembre 2005, le tribunal espagnol avait fait droit à la demande formulée par Promusicæ. Le FAI Telefonica avait alors formé une opposition contre cette ordonnance, considérant que conformément à la législation espagnole (article 12 de la loi 34/2002 de servicios de la sociedad de la informacion y de comercio electronico, dite « LSSI », du 11 juillet 2002), la communication des données personnelles conservées ne pouvait être autorisée que dans le cadre d’une enquête pénale ou en vue de la sauvegarde de la sécurité publique et de la défense nationale. Le tribunal espagnol décida de surseoir à statuer et de saisir la Cour de Justice des Communautés Européennes d’une question préjudicielle. Il souhaitait savoir si le droit communautaire permettait aux États membres de limiter au cadre d’une enquête pénale ou aux impératifs de sauvegarde de la sécurité publique et de la défense nationale, l’obligation qui incombe aux prestataires de services de communications électroniques de conservation et de mise à disposition des données de connexion, et donc d’exclure les procédures civiles du champ d’application de cette obligation.
I La qualification de donnée à caractère personnel de l’adresse IP Dans ses observations liminaires, la CJCE a considéré « qu’il n’est pas contesté que la communication, sollicitée par Promusicæ, des noms et adresses de certains utilisateurs de KaZaA implique la mise à disposition de données à caractère personnel […]. Cette communication d’informations […] constitue un traitement de données à caractère personnel […] ». La CJCE a ainsi retenu la qualification de donnée à caractère personnel des adresses IP, celles-ci figurant dans les informations conservées par le fournisseur d’accès à internet Telefonica. Cette analyse est différente de celle retenue e dans deux arrêts du 27 avril 2007 et du 15 mai 2007 rendus par la 13 Chambre de la Cour d’appel de Paris. La Cour d’appel de Paris a estimé d’une part que « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé [l’]ordinateur » et d’autre part que « cette série de chiffres [l’adresse IP] en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ». La position adoptée par la Cour d’appel de Paris a été contestée par la CNIL, qui a sollicité du Garde des Sceaux qu’il forme un pourvoi en cassation dans l’intérêt de la loi, sur le fondement de l’article 2 de la loi du 6 janvier 1978 informatique et libertés. Le groupe des autorités européennes de protection des données, issu de l’article 29 de la directive de 1995 sur les données personnelles, a également estimé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors des ses communications constituait une donnée à caractère personnel. Dans une autre décision du 12 décembre 2007 opposant la société Google Inc. aux e sociétés du groupe Benetton, la 14 chambre de la Cour d’appel de Paris a été à nouveau amenée à se prononcer sur la e
nature de l’adresse IP et a pris une position sensiblement différente de la 13 chambre, quoique non dénuée d’ambiguïté. Elle a ainsi estimé que « l’adresse IP, si elle constitue une donnée personnelle, ne permet d’identifier qu’un ordinateur ». [1] Si l’arrêt Promusicæ rendu par la CJCE semble mettre un terme au débat sur la nature juridique de l’adresse IP, il n’est
Le Forum des droits sur l'internet
http://www.foruminternet.org/spip.php?page=impression&id_article=...
pas exclu qu’il rebondisse au niveau national devant la Cour de cassation.
II La faculté pour les États de prévoir une communication de données personnelles en cas d’atteinte à un droit de propriété intellectuelle Au visa des directives sur le commerce électronique [2], sur le droit d’auteur et les droits voisins (« DADVSI ») [3] et sur le respect des droits de propriété intellectuelle [4], la Cour explique dans un premier temps que le droit communautaire n’impose pas aux États membres « de prévoir, en vue d’assurer la protection effective du droit d’auteur, l’obligation de communiquer des données à caractère personnel dans le cadre d’une procédure civile ». Dans un second temps, la Cour s’interroge sur l’existence d’une interdiction pour « les États de prévoir, en vue d’assurer la protection effective du droit d’auteur, l’obligation de communiquer des données à caractère personnel devant permettre au titulaire d’un tel droit d’engager une procédure civile fondée sur l’existence de ce droit ». Pour répondre à cette question, la Cour rappelle que la directive « vie privée et communications électroniques » du 12 juillet 2002 [5] offre la possibilité aux États membres de prévoir des exceptions à l’obligation de garantir la confidentialité des données à caractère personnel. L’article 6 de cette directive prévoit en effet un principe d’effacement des données relatives au trafic, avec une série d’exceptions fixées notamment à l’article 15 § 1. Des limitations à l’effacement sont ainsi laissées à la discrétion des États membres « pour assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE ». La Cour recherche si la directive interdit aux États membres d’inclure les procédures civiles dans le champ des exceptions. Faisant une analyse téléologique extensive des directives de 2002 et de 1995, la CJCE estime que le texte devait être interprété « comme exprimant la volonté du législateur de ne pas exclure de [son] champ d’application la protection du droit de propriété ni des situations dans lesquelles les auteurs cherchent à obtenir cette protection dans le cadre d’une procédure civile ». Il résulte de l’arrêt que les États membres ont la possibilité de prévoir l’obligation pour les prestataires de services de communications électroniques de divulguer, dans le cadre d’une procédure civile, des données à caractère personnel. Une telle solution est d’autant plus intéressante à souligner que la Cour a statué, sur ce point, au-delà de la question qui lui avait été posée par le tribunal espagnol.
III Une réponse utile : trouver un équilibre entre les différentes libertés fondamentales en présence Enfin, la CJCE, après avoir admis la possibilité pour les États membres de prévoir l’obligation de divulguer, dans le cadre d’une procédure civile, des données à caractère personnel, s’est prononcée sur les conditions à remplir lors de la transposition nationale des exceptions au principe d’effacement des données de connexion. La Cour a souligné que « la demande de décision préjudicielle soulève la question de la conciliation nécessaire des exigences liées à la protection de différents droits fondamentaux, d’une part, le droit au respect de la vie privée et, d’autre part, les droits de la propriété et à un recours effectif ». La CJCE, s’appuyant sur la charte des droits fondamentaux, conclut que « le droit communautaire exige desdits États que, lors de la transposition de ces directives, ils veillent à se fonder sur une interprétation de celles-ci qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire. Ensuite, lors de la mise en œuvre des mesures de transposition desdites directives, il incombe aux autorités et aux juridictions des États membres non seulement d’interpréter leur droit national d’une manière conforme à ces mêmes directives, mais également de ne pas se fonder sur une interprétation de celles-ci qui entrerait en conflit avec lesdits droits fondamentaux ou avec les autres principes généraux du droit communautaire, tels que le principe de proportionnalité. » Par conséquent, la possibilité qu’offre la CJCE aux États de prévoir l’obligation de divulguer des données à caractère personnel, dans le cadre d’une procédure civile, est strictement conditionnée au respect et à la conciliation des droits fondamentaux en présence et à une certaine proportionnalité dans les moyens mis en œuvre pour appliquer de telle mesure. La divulgation des données n’est donc pas à la totale discrétion des Etats. La juridiction espagnole devra prendre en compte cette réponse pour trancher l’affaire dont elle était saisie. Cette décision a une résonnance particulière pour la France puisque la législation française a strictement régi la communication de données personnelles. Ainsi, l’article L. 34-1 du Code des postes et communications électroniques dispose que « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ». La disposition vise la communication des données dans le cadre d’une procédure pénale. Cette faculté n’est pas expressément prévue en cas de procédure civile. Il n’est pas exclu que le texte évolue dans le cadre du projet de loi sur la propriété intellectuelle qui sera prochainement discuté au Parlement, à la suite des conclusions rendues par la mission Olivennes au Président de la République.
