Nouvelles technologies

Informatique – Données –Traitement de données à caractère personnel concernant des infractions – Définition – Exclusion – Cas
Crim., 13 janvier 2009, Bull. crim. 2009, n° 13, pourvoi n° 08-84.088
Crim., 16 juin 2009, pourvoi n° 08-88.560

Selon l’article 25 I 3° de la loi n° 78-17 du 6 janvier 1978, ne peuvent être mis en oeuvre, sans l’autorisation de la CNIL (Commission nationale de l’informatique et des libertés), les traitements, automatisés ou non, portant sur des données à caractère personnel relatives aux infractions, « sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leur mission de défense des personnes concernées ».

Le traitement est défini à l’article 2, alinéa 3, de ladite loi, comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

En l’espèce, des agents assermentés, appartenant à la SACEM (société des auteurs, compositeur et éditeurs de musique) ont constaté, après avoir ouvert une session sur un logiciel pair à pair et s’être connectés à un réseau, que des internautes mettaient à la disposition d’autres internautes des oeuvres musicales et audiovisuelles sans l’autorisation des titulaires des droits.

A l’aide d’un logiciel, ils ont extrait l’adresse IP (Internet Protocol) de ces internautes puis ils ont identifié leur fournisseur d’accès à internet.

Sur la base de leurs procès-verbaux, la SACEM a porté plainte auprès du procureur de la République qui a adressé une réquisition aux fournisseurs d’accès afin d’identifier les abonnés utilisant l’adresse IP.

Ceux-ci ont été poursuivis devant le tribunal correctionnel du chef, notamment, de contrefaçon.

Pour prononcer l’annulation de ces procès-verbaux, dans une première décision, et l’approuver, dans une seconde, une cour d’appel a estimé que les agents avait mis en oeuvre un traitement de données au sens de l’article 2 de la loi du 6 janvier 1978 et que, dès lors qu’ils n’étaient pas des auxiliaires de justice, ils auraient dû obtenir l’autorisation de la CNIL.

Par ces deux arrêts, la chambre a jugé, au contraire, que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par des agents assermentés qui, sans recourir à un traitement préalable de surveillance automatisé, utilisent un appareillage informatique et un logiciel de pair à pair pour constater que des oeuvres protégées sont irrégulièrement proposées sur la toile par des internautes dont ils se contentent de relever d’adresse IP permettant de localiser leur fournisseur d’accès en vue de la découverte ultérieure de l’auteur de contrefaçons, rentrent dans les pouvoirs conférés à ces agents par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi du 6 janvier 1978.