Cass. Crim. 13 janvier 2009, SACEM c/ Cyrille Y
Utilisation d'un logiciel peer to peer et d'un fire wall, réquisition judiciaire pour identifier l'utilisateur, aveu, adresse IP contenant des données personnelles, atteinte à un STAD? NON
Cass. Crim. 13 jan. 2009
N° de pourvoi: 08-84088
A Alexandre, petit garçon d'hier, devenu un homme de d'aujoud'hui...
Un agent de la SACEM, dans le cadre d'investigations ayant pour finalité la recherche et la constatation de contrefaçons l'agent a utilisé un logiciel de « peer to peer » et a sélectionné et saisi manuellement le titre d'une œuvre, il a lancé une recherche qui lui a permis d'obtenir en réponse la liste de l'ensemble des fichiers correspondant à l'œuvre sur laquelle portait la vérification, puis a sélectionné, parmi ces fichiers, l'un d'entre eux afin de recueillir ainsi différentes informations, dont l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage, le nom du fournisseur d'accès, le pays d'origine, etc...
Ces informations ont été conservées et enregistrées afin d'être communiquées sous forme de « copies d'écran » ou de CD ROM lors du dépôt ultérieur de la plainte.
Un arrêt de la cour d'appel de RENNES, 3e chambre, en date du 22 mai 2008, a prononcé la nullité des poursuites.
La SACEM a formé un pourvoi en cassation selon un moyen pris de la violation des articles 9, 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, tels que modifiés par la loi n° 2004-801 du 6 août 2004, L. 331-2 du code de la propriété intellectuelle, 593 du code de procédure pénale, défaut de motifs et manque de base légale.
Le point de droit principal était de savoir en pratique si les constatations de la SACEM étaient subordonnées à une autorisation de la CNIL s'agissant de manipulations effectuées sur des systèmes automatisés et des fichiers contenant des données nominatives directement ou indirectement et personnelles et/ou si les impératifs de la lutte contre la contrefaçon pouvaient justifier l'utilisation de tels procédés.
La chambre criminelle répond sans ambigüités que l'adresse IP n'est pas une donnée personnelle et que la démarche de l'agent est justifiée par le code de la propriété intellectuelle.
Décision d'espèce ou banalisation de la notion d'adresse IP ?
Incidence de l'aveu dans la procédure.
S'agissant d'un ordinateur portatif, les services de police sur réquisition judiciaire et autorisation du parquet sont remontés jusqu'à un certain Cyrille qui a reconnu être l'utilisateur de l'ordinateur mobile et avoir effectué des téléchargements.
Il n'a pas comparu à l'audience.
Dès lors la position des parties civiles était limpide : rien d'illégal dans la collecte de données, tout juste l'utilisation de logiciels libres et disponibles, de plus le mis en cause avoue et surtout ce n'est pas son adresse IP qui le dévoile mais les réquisitions judiciaires...
« qu'a cet effet, en se livrant à des opérations que tout internaute peut effectuer, après avoir ouvert une session sur un logiciel de pair à pair et s'être connecté à un réseau, l'agent verbalisateur a lancé, sur internet, une requête portant sur une oeuvre musicale du répertoire de la SACEM avant de sélectionner, dans la liste des nombreux résultats affichés, l'offre émanant d'un internaute puis de lire, dans la rubrique " parcourir l'hôte ", son adresse IP (Internet Protocol) qui s'est affichée spontanément ainsi que le nombre total d'oeuvres musicales mises à disposition des autres internautes dans le dossier de partage de l'internaute concerné ; que l'agent a, ensuite, procédé, à titre d'échantillon, au téléchargement de dix-neuf de ces oeuvres musicales, encodées au format Mp3, avant de déterminer les coordonnées du fournisseur d'accès correspondant à l'adresse IP susvisée et de s'assurer de l'exactitude de cette adresse ; que, sur la base du procès-verbal ensuite dressé, la SACEM a porté plainte auprès des services de gendarmerie ; que ces services ont, après autorisation du parquet, adressé une réquisition au fournisseur d'accès pour identifier l'abonné utilisant l'adresse IP relevée par l'agent assermenté ; que les vérifications effectuées ont révélé que l'ordinateur portable de cet abonné était utilisé par Cyrille Y... qui a reconnu qu'il avait procédé au téléchargement de nombreuses oeuvres musicales avant de les mettre à disposition d'autres internautes »
Dans ce contexte, la décision commentée peut apparaître comme une simple question d'espèce qui n'entre pas réellement dans la problématique soulevée par la défense.
Les questions sans réponse: lutte contre la contrefaçon prétexte pour atteindre les libertés ou codification à repenser?
Tout d'abord, la Cour semble affirmer qu'il est légal, tout au moins justifié par la mission des agents de scanner les ports et de pratiquer toutes sortes de manœuvres en « ing » dont nous avons discuté par ailleurs.
La constitution d'un grand fichier central avec police, fiscalité, justrice est exitante...
Au regard de la loi sur la protection des systèmes informatisés de données, la solution semble discutable.
A tout le moins la question du compte rendu à la Commission Nationale Informatique et Libertés se pose réellement.
Il existe même des instances européennes qui pourrait connaitre de la régularité de cette procédure au regard des règles qui gouvernent un procès équitable.
La motivation de la Cour d'Appel était quand même remarquable et techniquement irréprochable.
Le pourvoi était pris en ce que la décision d'Appel avait annulé le procès-verbal de constat du 5 janvier 2005, ses annexes et l'ensemble des actes subséquents d'enquête et de poursuite et, en conséquence, a relaxé Cyrille Y... des fins de la poursuite et débouté les parties civiles de leurs demandes, fins et conclusions.
" aux motifs que, sur l'absence d'autorisation de la CNIL, outre les procès-verbaux des officiers de police judiciaire, la preuve de la matérialité des infractions aux dispositions du code de la propriété intellectuelle et de l'article 52 de la loi n° 85-660 du 3 juillet 1985 peut résulter des constatations émanant d'agents assermentés, conformément aux dispositions de l'article L. 331-2 du code ; que tel est le cas des agents désignés par la SACEM, qui fait partie des organismes habilités à mettre en oeuvre, en vertu de l'article 9, 4°, de la loi 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés, « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté » ; qu'il résulte cependant des dispositions combinées des articles 2, 9 et 25 de la loi susvisée que la mise en oeuvre des traitements automatisés ou non, portant sur les données relatives aux infractions, est soumise à autorisation préalable de la commission nationale de l'informatique et des libertés (CNIL) ; qu'il s'ensuit que, si l'article 9, 4°, de la loi permet à la SACEM, dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique, de rassembler des informations relatives à l'utilisation des réseaux d'échange « peer to peer » pour le téléchargement illicite des oeuvres protégées et de constituer ainsi des fichiers de données indirectement nominatives, la mise en oeuvre de ces traitements reste soumise, en raison de leur nature, à autorisation préalable de la CNIL ; que, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, l'agent assermenté a utilisé en l'espèce un logiciel de « peer to peer » et a sélectionné et saisi manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents ; qu'il a lancé une recherche qui lui a permis d'obtenir en réponse la liste de l'ensemble des fichiers correspondant à l'oeuvre sur laquelle portait la vérification, puis a sélectionné, parmi ces fichiers, l'un d'entre eux afin de recueillir ainsi différentes informations, dont l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage, le nom du fournisseur d'accès, le pays d'origine, etc., lesquelles informations ont été conservées et enregistrées afin d'être communiquées sous forme de « copies d'écran » ou de CD ROM lors du dépôt ultérieur de la plainte ; que le dispositif ainsi mis en oeuvre par l'agent constitue donc bien, au sens de l'article 2 de la loi du 6 janvier 1978, un traitement de données à caractère personnel dans la mesure où l'agent a procédé à la collecte, la consultation, la conservation et l'enregistrement de l'adresse IP de l'internaute, puis à la recherche et à l'identification de son fournisseur d'accès, conduisant directement à identifier le titulaire de l'abonnement à Internet ; que l'adresse IP de l'internaute constitue une donnée indirectement nominative car, si elle ne permet pas par elle-même d'identifier le propriétaire du poste informatique ni l'internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base de donnée détenue par le fournisseur d'accès à Internet ; qu'il n'est pas contestable, en conséquence, que l'ensemble des opérations mises en oeuvre par l'agent, dont l'utilisation de deux logiciels spécifiques : « Visual Route » et le parefeu « Kerio Personal Firewall », pour déterminer exactement le fournisseur d'accès correspondant à l'adresse IP, constituent un traitement automatisé de données à caractère personnel entrant dans les prévisions des articles 2 et 25 de la loi du 6 janvier 1978 modifiée, sans qu'il y ait lieu d'opérer une distinction, comme le prétendent les parties civiles, selon la nature des procédés et moyens auxquels l'agent a eu recours pour collecter ces informations ; qu'en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent et ayant pour finalité la constatation du délit de contrefaçon commis via les réseaux d'échanges de fichiers « peer to peer » portent atteinte aux droits et garanties des libertés individuelles que la loi du 6 janvier 1978 a pour but de protéger et aux intérêts du prévenu ; que l'exception de nullité du procès-verbal de constat servant de fondement aux poursuites sera donc accueillie ; que les actes subséquents d'enquête établis ultérieurement sur la plainte déposée par la partie civile, à savoir l'identification sur réquisition du titulaire de l'adresse IP, l'audition de Najat X... ainsi que du prévenu, Cyrille Y..., et les perquisitions et saisies opérées à son domicile, ont tous pour support nécessaire le procès-verbal de constat entaché d'irrégularité »
Il peut sembler illusoire, en l'absence d'aveu, ou d'une autre preuve matérielle de considérer en effet qu'une adresse IP révèle automatiquement l'utilisateur de la machine.
De ce point de vue la Cour de Cassation a parfaitement cerné la question.
Mais à contrario, s'il est possible de scanner les ports et d'effectuer toutes les manipulations dénoncées par la Cour d'Appel en se passant de l'autorisation de la Commission Nationale Informatique et libertés, l'internaute se retrouve plus que jamais exposé à l'arbitraire ou à la privatisation du réseau...
Du coup, la question d'un code de procédure pénale des autoroutes de l'information se reposerait...
Une décision fort intéressante, mais à suivre...
Pas de contribution, soyez le premier