Attention, en cas d'abus le SELL peut être dangereux pour la contrefaçon de logiciels de jeux !

Une des originalités de la loi du 6 janvier 1978 relative à l'Informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 réside dans l'existence du nouvel article 9, 4°. Cette disposition vient de connaître sa première application concrète par l'autorisation délivrée par la Commission nationale de l'informatique et des libertés (CNIL) au Syndicat des éditeurs de logiciels de loisirs (SELL), lui permettant de mettre en œuvre rapidement des traitements automatisés de données personnelles pour lutter contre la contrefaçon des logiciels de jeux sur internet.
I – L'usage de la loi Informatique, fichiers et libertés pour le respect du droit d'auteur De manière particulière, les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du Code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II, et III du même Code, ont maintenant la possibilité, au titre de l'article 9, 4° de la loi du 6 janvier 1978 modifiée, de procéder à des traitements manuels ou automatisés de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté aux fins d'assurer la défense des droits visés. Les sociétés de perception et de répartition des droits d'auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes, constituées sous forme de sociétés civiles, les organismes de défense professionnelle régulièrement constitués, ont souhaité cette innovation législative pour lutter plus efficacement contre la contrefaçon, en particulier dans le cadre de l'internet. On sait que, par le biais spécialement des procédés du peer-to-peer, l'attention s'est focalisée sur la contrefaçon de la musique et du film, alors que la jurisprudence fait apparaître des positions contradictoires des juridictions saisies au fond sur la portée de l'exception de copie privée.
Dans sa décision n° 2004-499 DC du 29 juillet 2004, le Conseil constitutionnel a validé la constitutionnalité du 4° de l'article 9 de la loi du 6 janvier 1978 modifiée, estimant que la défense du droit d'auteur était un intérêt légitime, que la disposition législative répondait à un objectif d'intérêt général en raison du développement des pratiques de contrefaçon sur l'internet, et qu'il n'y avait pas un déséquilibre manifeste en défaveur de la protection des données personnelles, des droits et libertés fondamentaux des personnes. Mais dans une réserve interprétative, le Conseil constitutionnel avait précisé que les données collectives ne pourraient acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et que, en application de l'article 25, I, 3° de la loi Informatique, fichiers et libertés un tel traitement de données concernant des infractions était subordonné à un régime d'autorisation délivrée par la CNIL (1).
Une fois le cadre juridique mis en place, les organismes de défense du droit d'auteur ont rapidement manifesté leur volonté de mettre en place des traitements automatisés pour lutter contre le délit de contrefaçon sur le net. Parti avant l'industrie musicale dès décembre 2004, le SELL, regroupant une quarantaine d'éditeurs de logiciels de jeux vidéos (dont Sony, Ubisoft, Atari, Nitendo, Sega…) a présenté à la CNIL une demande d'autorisation pour lancer des actions variées reposant sur des traitements automatisés, dans le cadre d'une large campagne de communication contre la contrefaçon. Il est vrai que le “piratage” des jeux, moins médiatisé que celui de la musique, est un fléau répandu en dehors et sur l'internet. Les enjeux économiques sont considérables : selon le SELL, en 2004, le marché du loisir interactif a dépassé un milliard d'euros, il s'est vendu plus de 33 millions de logiciels de jeux, cette industrie employant directement ou indirectement 12000 personnes, ce qui est supérieur à l'industrie du cinéma (2).
Délibérant le 24 mars 2005, la CNIL a délivré sans surprise au SELL, le 11 avril 2005, l'autorisation de procéder à une application à double détente, reposant sur deux traitements destinés à lutter contre la contrefaçon de logiciels de jeux sur internet. Comme il s'agit de la première autorisation

délivrée au titre de l'article 9, 4° de la loi modifiée de 1978 et que la CNIL sait que d'autres organismes, comme la SACEM, la SCPP, déjà en négociation avec elle vont rapidement présenter d'autres demandes d'autorisation, la Commission a entendu soigner le dossier, en précisant sa doctrine en matière de surveillance des réseaux peer-topeer où s'opère la contrefaçon d'œuvres variées protégées par le droit d'auteur. Elle souhaite ainsi établir un équilibre raisonnable et praticable entre celui-ci et les droits et libertés (vie privée, liberté de communication, présomption d'innocence, etc.) des internautes.
II – L'envoi de message d'information-avertissement Dans un premier temps, la CNIL autorise le SELL à mettre en place une application consistant grâce à un logiciel ad hoc, d'ailleurs déjà utilisé aux États-Unis par les producteurs de musique, à adresser un message d'informationavertissement, soit aux internautes faisant un téléchargement présumé illégal de jeu, soit au site mettant à disposition sans autorisation les logiciels de loisirs. Utilisant les fonctionnalités mêmes du système peer-to-peer, le logiciel employé peut automatiquement repérer sur le web les ordinateurs offrant sans autorisation des ayants droit les logiciels de jeu pour téléchargement; en se faisant passer pour un “client”, il collecte ensuite le numéro-adresse IP (internet- Protocol) de la machine du fournisseur connectée au réseau. Au surplus, le logiciel est en mesure de connaître l'adresse IP identifiant l'ordinateur de tous les internautes connectés au site fournisseur pour, a priori, faire un téléchargement illégal du jeu (3).
En l'espèce, il convient d'observer qu'il s'agit de la contrefaçon de créations intellectuelles qui ont la forme indubitable de logiciels. On sait que l'exception de copie privée prévue par l'article 122-5, 2° du CPI n'existe pas pour les logiciels en application de la même disposition et qu'il ne faut pas la confondre avec la copie de sauvegarde, seule autorisée par le Code de la propriété intellectuelle. Par conséquent, toutes les incertitudes doctrinales et jurisprudentielles sur la portée de la copie privée quant au téléchargement de musique sur des sites peer-to-peer n'ont pas lieu d'être évoquées pour le cas d'espèce, la contrefaçon étant évidente, quasi objective, pour le fournisseur et pour le téléchargeur; en matière de contrefaçon la mauvaise foi est présumée (4).
Les numéros IP pertinents, sitôt saisis de manière massive et automatique, sans qu'ils soient conservés – point à souligner – dans une base de données ni collectés pour dresser un procès verbal d'infraction, servent alors à adresser, à router instantanément un message indiquant que les logiciels de jeux en cause sont des œuvres de l'esprit bénéficiant du droit d'auteur, que leur mise à disposition sur internet sans autorisation ou que leur copie sont des actes de contrefaçon, que le contrefacteur s'expose à des sanctions civiles et pénales, qu'en cas de récidive les choses ne resteraient pas au stade d'une simple information perçue comme un avertissement et que des poursuites pourraient être engagées. Le SELL ayant présenté à la CNIL le contenu du message adressé, celle-ci a demandé qu'il précise que les données IP ne seront pas conservées. La Commission a aussi imposé que le message d'information soit seulement adressé aux utilisateurs des œuvres cataloguées appartenant aux éditeurs membres du SELL, ce syndicat professionnel n'étant pas habilité légalement à intervenir pour la défense de n'importe quel ayant droit.
À l'évidence l'application autorisée, qui ne débouche sur aucune sanction ou engagement d'action judiciaire, comme a souhaité le préciser la CNIL, a pour objectif de faire prendre conscience aux internautes des risques et de modifier les comportements des fournisseurs et des téléchargeurs de logiciels contrefaits en faisant naître un sentiment de crainte : la personne recevant le message pourra penser qu'elle est entrée dans le collimateur, qu'elle est repérée voire identifiée et s'expose alors à des poursuites, même si le SELL parle d'objectif pédagogique… Sans engager une discussion approfondie on constatera que la CNIL considère, en se reconnaissant compétente, que le numéro IP, adresse identifiant une machine et non son utilisateur humain, constitue une donnée indirectement personnelle au sens de l'article 2 de la loi Informatique, fichiers et liberté. En interdisant, à ce stade, d'utiliser le numéro IP pour identifier la personne “fournisseur” ou “téléchargeur”, il s'agit d'une donnée indirectement personnelle maintenue obligatoirement à un stade non nominatif mais pas réellement anonyme (ce qui rendrait la loi de 1978 inapplicable).
En effet, par le fournisseur d'accès par exemple, on peut faire ensuite le lien entre la machine identifiée et l'identité civile précise de l'abonné ; celui-ci n'est d'ailleurs pas forcément la personne qui fait réellement le téléchargement illégal. On constate que la distinction entre données directement ou indirectement personnelles et données apparemment ou réellement anonymes devient ambiguë : il y a un changement d'état en fonction de l'évolution de la finalité d'usage. Pour nous le numéro IP est bien une donnée indirectement personnelle comme le numéro de téléphone : le message est adressé non pas à l'ordinateur repéré mais en réalité à son utilisateur humain qui est seul à en comprendre le sens; mais cette personne reste éventuellement imprécise, ce qui peut être gênant en cas de poursuite civile ou pénale, à moins d'établir une présomption de responsabilité de l'abonné pour tous les actes illégaux accomplis à partir de sa machine identifiée.
Pour que la loi de 1978 s'applique, il ne suffit pas que l'on soit en présence de données directement ou indirectement personnelles au sens de la loi ; il faut au surplus que les données soient traitées manuellement ou automatiquement.

En l'espèce, la CNIL, qui peut s'appuyer sur l'article 2 de la loi de 1978 modifiée (qui reprend sur ce point la directive du 24 octobre 1995) définissant la notion de traitement, autorise un traitement automatisé du numéro IP qui est bien saisi, gardé, un court instant, une petite fraction de seconde, seulement le temps nécessaire pour livrer techniquement le message à la bonne adresse. Or le tribunal de grande instance de Paris, dans un jugement du 7 décembre 2004 concernant l'usage du logiciel Freeprospect envoyant un message indésiré à partir d'adresses électroniques détectées automatiquement à l'insu des intéressés sur le web et non gardées ou enregistrées, comme dans l'application du SELL, a estimé sur la base du texte originaire de la loi de 1978 qu'il n'y avait pas de collecte : « collecter des données signifie les recueillir et les rassembler, ce qui implique leur enregistrement ou leur conservation dans un fichier»; faute de collecte, il n'est pas possible alors de prétendre à une collecte déloyale sanctionnée par l'article 226-18 du Code pénal, le juge prononçant la relaxe sur ce point. À la demande de la CNIL, le parquet a fait appel de ce jugement qui, poussé à fond, devrait aboutir à estimer que faute de collecte il n'y a pas du tout de traitement (5). Mais sur la base des termes de l'article 2, al. 3, de la loi de 1978 modifiée, on peut maintenant estimer que l'application du SELL est un traitement au sens de la loi parce qu'il y a “consultation” ou “utilisation” du numéro IP, donnée indirectement personnelle; peu importe s'il n'y a pas préalablement collecte ou conservation des données au sens du tribunal parisien. La saisie ne serait pas collecte mais une utilisation.
III – La collecte de l'adresse IP pour dresser un procès verbal d'infraction L'autorisation de la CNIL délivrée au SELL couvre une seconde possibilité de traitement du numéro IP qui est dans le prolongement de la première ou peut s'en distinguer. Le syndicat professionnel est autorisé cette fois-ci avec les logiciels de capture adéquats, à collecter et à mémoriser les adresses IP des internautes-fournisseurs mettant à disposition sur le web, sans autorisation, les logiciels de loisirs appartenant au catalogue d'un éditeur membre de l'organisme.
Cette action permettant ensuite au SELL d'engager des poursuites devant le juge compétent pour contrefaçon, ne pourra être effectuée que par des agents assermentés désignés par le syndicat et agréé par le ministère de la Culture en application de l'article L. 331-2 du Code de la propriété intellectuelle. Le constat de l'agent assermenté établissant la matérialité de l'infraction peut être reçu en preuve.
Pour maintenir un relatif équilibre, le SELL s'est engagé à ne collecter l'adresse IP que dans des cas limités, caractérisés par la gravité de l'infraction (critères de la fréquence, du nombre ou de la nouveauté des logiciels contrefaits, capacité technique et commercialisation de la fourniture etc.). Le SELL a fourni ses critères et a fixé des seuils acceptés par la CNIL; on ne souhaite pas les divulguer pour des raisons compréhensibles, mais le SELL a déclaré publiquement qu'il ne s'agissait que de s'attaquer «aux gros poissons ». La CNIL a aussi fait connaître son intention de surveiller de près le respect des conditions attachées à l'autorisation, pour éviter tout excès, détournement de finalités ou connexions ou échanges avec des fichiers relatifs à la lutte contre la contrefaçon de musique ou de film.
Le constat établi par l'agent assermenté, comportant l'adresse IP, le jour, l'heure, les modalités de connexion, la nature du logiciel de jeu contrefait etc., peut être ensuite présenté au juge pour engager l'action en contrefaçon. Mais, conformément à l'exigence du Conseil constitutionnel, la mise d'un nom derrière l'adresse IP ne sera possible que dans le cadre d'une procédure judiciaire par le truchement, par exemple, de la police judiciaire ou d'un fournisseur d'accès. C'est pourquoi la CNIL limite la durée de conservation des données qui ne seraient pas utilisées pour engager une action ; par contre on pourra garder les données tant que l'action sera en cours. Il n'a pas été publiquement précisé par la CNIL si, sur la base de l'article 6 point 8 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique, l'éditeur du logiciel du jeu vidéo pourra présenter le constat, avec l'adresse IP, établissant la contrefaçon à l'autorité judiciaire pour qu'elle prescrive en référé ou sur requête, à tout hébergeur ou, à défaut, à tout fournisseur d'accès, toutes mesures propres (une déconnexion imposée par exemple) à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne. A priori on ne voit rien qui s'y oppose. Cela pourrait ouvrir des perspectives intéressantes s'il était impossible d'identifier le titulaire de l'adresse IP en raison de l'utilisation sur le net de sites-miroirs, de possibilités d'anonymisation, ou de cascades d'adresses, ou dans le cas où le contrefacteur serait à l'étranger, même si des possibilités de contournement existent là aussi sur le réseau.
Enfin, on observera que l'application par la CNIL de l'article 9, 4° et de l'article 25, 3° de la loi modifiée Informatique, fichiers et libertés (imposant une autorisation pour les traitements automatisés ou non portant sur des données relatives aux infractions, condamnations ou mesures de sûreté) montre que la Commission a une conception très large, certains diront élastique, du terme « relatif à». Faut-il que les données se rapportent indirectement, de manière éloignée, à des infractions supposées mais non judiciairement établies, ou s'agit-il des données se rapportant directement aux infractions explicitement reconnues? En cas de contentieux le juge, en particulier le juge pénal, partagera-t-il l'interprétation de la CNIL? Cela n'est pas certain. Sur ce point, le traitement permettant l'envoi de message d'information paraît encore plus concerné que celui collectant des données permettant de saisir le juge.
L'article 25, 3° ne vise en outre que les infractions, ce qui renvoie impérativement au droit pénal ; il concerne aussi les condamnations, mais cela suppose alors que le juge se

soit préalablement prononcé. Il n'est pas sûr que l'interprétation retenue par la CNIL soit conforme dans tous les cas à l'ensemble des garanties que notre État de droit offre au justiciable… IV – Et après? Bien entendu l'autorisation délivrée au SELL par la CNIL n'a pas été appréciée par tous. La ligue Odebi qui regroupe six associations de défense des internautes haut-débit s'est insurgée, accusant la CNIL «de parjurer sa mission en privatisant la police du net », parlant de «décision juridiquement intenable et politiquement dérangeante », faisant même référence à certains travaux. Il est vrai que le groupe dit de “l'article 29”, sous entendu de la directive du 24 octobre 1995 sur la protection des données personnelles, organe consultatif indépendant constitué de représentants des institutions de protection des pays de l'Union européenne, a élaboré un “document de travail sur les questions de protection des données liées aux droits de propriété intellectuelle” au contenu mi-chèvre-michou (6) ; le texte n'apparaît pas nettement en contradiction avec l'article 9, 4° de la loi de 1978 et la position de la CNIL. Des voix nombreuses (partis et hommes politiques par exemple) s'élèvent aussi pour demander que la lutte légitime contre la contrefaçon ne débouche pas sur la répression peu populaire en période électorale. La transposition prochaine devant le Parlement de la directive n° 2001/29/CE du 22 mai 2001, sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information, contribue aussi à créer un climat d'attente puisqu'il sera forcément question de copie privée et de téléchargement. Il en est de même à l'étranger. Un projet de loi soulève les passions actuellement en Suède et aux États-Unis, l'International Federation of Phonographie Industry vient de lancer cinq cents nouvelles procédures judiciaires contre des utilisateurs du peer-to-peer. Cette première autorisation délivrée par la CNIL pour la protection du droit d'auteur sera suivie rapidement par d'autres ; il sera intéressant d'observer si, de manière durable, ces nouveaux traitements de données personnelles alliant la carotte et le bâton se révéleront efficaces, ce qui est une autre affaire. Ils peuvent aussi bien accélérer sur le web l'apparition de nouveaux modes techniques et organisationnels de contournement.
Nous pensons que nous vivons plutôt une période transitoire de recherche de nouveaux équilibres et qu'il reste à démontrer l'efficacité dans le temps d'une répression de la contrefaçon, certes légitime et nécessaire dans son principe, mais se faisant selon des modalités peu adaptées aux réalités techniques, économiques et sociologiques de l'internet. L'arrivée par exemple de logiciels comme Station Ripper, qui permet de télécharger de manière tout à fait légale sur internet de la musique MP3 à partir de centaines de programmes de radio diffusés numériquement, traités ensemble, détectant automatiquement un air recherché et isolé, ouvre des perspectives encore insoupçonnées.
Qui sait? Certains finiront peut-être par regretter l'époque du peer-to-peer…