DROIT INFORMATIQUE

Jurisprudence

Cass. crim., 13 janvier 2009
pourvoi 08-84.088

droit informatique

Les grands arrêts de la jurisprudence en droit informatique : arrêt de la Cour de cassation, chambre commerciale, du 13 janvier 2009 (pourvoi 08-84.088)

Cour de cassation, chambre commerciale
13 janvier 2009, pourvoi 08-84.088

LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :

Statuant sur les pourvois formés par :

- LA SOCIÉTÉ DES AUTEURS, COMPOSITEURS ET EDITEURS DE MUSIQUE,
- LA SOCIÉTÉ POUR L'ADMINISTRATION DU DROIT DE REPRODUCTION MÉCANIQUE DES AUTEURS, COMPOSITEURS ET EDITEURS,
parties civiles

contre l'arrêt de la cour d'appel de RENNES, 3e chambre, en date du 22 mai 2008, qui, dans la procédure suivie contre Cyrille Y..., du chef de contrefaçon, a prononcé la nullité des poursuites ;

Joignant les pourvois en raison de la connexité ;

Vu le mémoire produit, commun aux demandeurs, le mémoire en défense, ainsi que les observations complémentaires ;

Sur le moyen unique de cassation, pris de la violation des articles 9, 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, tels que modifiés par la loi n° 2004-801 du 6 août 2004, L. 331-2 du code de la propriété intellectuelle, 593 du code de procédure pénale, défaut de motifs et manque de base légale ;

" en ce que l'arrêt attaqué a annulé le procès-verbal de constat du 5 janvier 2005, ses annexes et l'ensemble des actes subséquents d'enquête et de poursuite et, en conséquence, a relaxé Cyrille Y... des fins de la poursuite et débouté les parties civiles de leurs demandes, fins et conclusions ;

" aux motifs que, sur l'absence d'autorisation de la CNIL, outre les procès-verbaux des officiers de police judiciaire, la preuve de la matérialité des infractions aux dispositions du code de la propriété intellectuelle et de l'article 52 de la loi n° 85-660 du 3 juillet 1985 peut résulter des constatations émanant d'agents assermentés, conformément aux dispositions de l'article L. 331-2 du code ; que tel est le cas des agents désignés par la SACEM, qui fait partie des organismes habilités à mettre en oeuvre, en vertu de l'article 9, 4°, de la loi 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés, « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté » ; qu'il résulte cependant des dispositions combinées des articles 2, 9 et 25 de la loi susvisée que la mise en oeuvre des traitements automatisés ou non, portant sur les données relatives aux infractions, est soumise à autorisation préalable de la commission nationale de l'informatique et des libertés (CNIL) ; qu'il s'ensuit que, si l'article 9, 4°, de la loi permet à la SACEM, dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique, de rassembler des informations relatives à l'utilisation des réseaux d'échange « peer to peer » pour le téléchargement illicite des oeuvres protégées et de constituer ainsi des fichiers de données indirectement nominatives, la mise en oeuvre de ces traitements reste soumise, en raison de leur nature, à autorisation préalable de la CNIL ; que, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, l'agent assermenté a utilisé en l'espèce un logiciel de « peer to peer » et a sélectionné et saisi manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents ; qu'il a lancé une recherche qui lui a permis d'obtenir en réponse la liste de l'ensemble des fichiers correspondant à l'oeuvre sur laquelle portait la vérification, puis a sélectionné, parmi ces fichiers, l'un d'entre eux afin de recueillir ainsi différentes informations, dont l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage, le nom du fournisseur d'accès, le pays d'origine, etc., lesquelles informations ont été conservées et enregistrées afin d'être communiquées sous forme de « copies d'écran » ou de CD ROM lors du dépôt ultérieur de la plainte ; que le dispositif ainsi mis en oeuvre par l'agent constitue donc bien, au sens de l'article 2 de la loi du 6 janvier 1978, un traitement de données à caractère personnel dans la mesure où l'agent a procédé à la collecte, la consultation, la conservation et l'enregistrement de l'adresse IP de l'internaute, puis à la recherche et à l'identification de son fournisseur d'accès, conduisant directement à identifier le titulaire de l'abonnement à Internet ; que l'adresse IP de l'internaute constitue une donnée indirectement nominative car, si elle ne permet pas par elle-même d'identifier le propriétaire du poste informatique ni l'internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base de donnée détenue par le fournisseur d'accès à Internet ; qu'il n'est pas contestable, en conséquence, que l'ensemble des opérations mises en oeuvre par l'agent, dont l'utilisation de deux logiciels spécifiques : « Visual Route » et le parefeu « Kerio Personal Firewall », pour déterminer exactement le fournisseur d'accès correspondant à l'adresse IP, constituent un traitement automatisé de données à caractère personnel entrant dans les prévisions des articles 2 et 25 de la loi du 6 janvier 1978 modifiée, sans qu'il y ait lieu d'opérer une distinction, comme le prétendent les parties civiles, selon la nature des procédés et moyens auxquels l'agent a eu recours pour collecter ces informations ; qu'en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent et ayant pour finalité la constatation du délit de contrefaçon commis via les réseaux d'échanges de fichiers « peer to peer » portent atteinte aux droits et garanties des libertés individuelles que la loi du 6 janvier 1978 a pour but de protéger et aux intérêts du prévenu ; que l'exception de nullité du procès-verbal de constat servant de fondement aux poursuites sera donc accueillie ; que les actes subséquents d'enquête établis ultérieurement sur la plainte déposée par la partie civile, à savoir l'identification sur réquisition du titulaire de l'adresse IP, l'audition de Najat X... ainsi que du prévenu, Cyrille Y..., et les perquisitions et saisies opérées à son domicile, ont tous pour support nécessaire le procès-verbal de constat entaché d'irrégularité ;

" 1) alors que l'agent assermenté de la SACEM qui, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, utilise un logiciel de peer to peer, sélectionne et saisit manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents de la SACEM, lance une recherche, sélectionne parmi la liste des nombreux résultats affichés un fichier proposé par un internaute, relève l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage et le nom du fournisseur d'accès et conserve ou enregistre ces informations afin qu'elles puissent être communiquées sous forme de copies d'écran ou de CD ROM lors du dépôt ultérieur de la plainte, se contente, conformément à sa mission, au moyen de démarches et opérations personnelles et choisies et non de façon automatisée, de rechercher et constater l'existence de données figurant sur Internet et ne met pas en oeuvre un traitement automatisé de ces données ; qu'en retenant au contraire que « le dispositif ainsi mis en oeuvre » par l'agent constituerait un traitement « automatisé » de données à caractère personnel, au sens de l'article 2 de la loi du 6 janvier 1978 modifiée, la cour d'appel a violé par fausse application ledit texte ;

" 2) alors que l'identité de l'internaute à partir de son adresse IP ne peut être requise auprès du fournisseur d'accès que par l'autorité judiciaire ; que ce ne sont pas les relevés de l'adresse IP d'un internaute et l'identité de son fournisseur d'accès, librement accessibles à tous sur Internet, qui permettent l'identification dudit internaute mais les réquisitions de l'autorité judiciaire ; que ces données ne présentent donc pas, en elles-mêmes, de caractère personnel ; qu'en retenant que l'agent assermenté de la SACEM aurait procédé à un traitement automatisé de données à caractère personnel parce qu'il aurait recherché et constaté l'adresse IP de l'internaute et l'identité de son fournisseur d'accès, la cour d'appel a violé les textes susvisés " ;

Vu les articles 2, 9, 25 et 50 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée, ensemble les articles 226-19 et 226-23 du code pénal ;

Attendu qu'il résulte de la combinaison de ces articles que constitue un traitement de données à caractère personnel relatives aux infractions toute opération automatisée ou tout ensemble d'opérations automatisées portant sur de telles données ainsi que toute opération non automatisée ou tout ensemble d'opérations non automatisées portant sur de telles données contenues ou appelées à figurer dans des fichiers ;

Attendu qu'il appert de l'arrêt attaqué et des pièces de procédure que, le 4 janvier 2005, un agent assermenté de la société des auteurs, compositeurs et éditeurs de musique (SACEM) et de la société pour l'administration du droit de reproduction mécanique des auteurs, compositeurs et éditeurs (SDRM) a procédé, conformément à l'article L. 331-2 du code de la propriété intellectuelle, à la constatation d'actes de contrefaçon d'oeuvres musicales commis sur le réseau internet, par téléchargement et mise à disposition d'oeuvres protégées sans l'autorisation des titulaires des droits sur celles-ci ; qu'a cet effet, en se livrant à des opérations que tout internaute peut effectuer, après avoir ouvert une session sur un logiciel de pair à pair et s'être connecté à un réseau, l'agent verbalisateur a lancé, sur internet, une requête portant sur une oeuvre musicale du répertoire de la SACEM avant de sélectionner, dans la liste des nombreux résultats affichés, l'offre émanant d'un internaute puis de lire, dans la rubrique " parcourir l'hôte ", son adresse IP (Internet Protocol) qui s'est affichée spontanément ainsi que le nombre total d'oeuvres musicales mises à disposition des autres internautes dans le dossier de partage de l'internaute concerné ; que l'agent a, ensuite, procédé, à titre d'échantillon, au téléchargement de dix-neuf de ces oeuvres musicales, encodées au format Mp3, avant de déterminer les coordonnées du fournisseur d'accès correspondant à l'adresse IP susvisée et de s'assurer de l'exactitude de cette adresse ; que, sur la base du procès-verbal ensuite dressé, la SACEM a porté plainte auprès des services de gendarmerie ; que ces services ont, après autorisation du parquet, adressé une réquisition au fournisseur d'accès pour identifier l'abonné utilisant l'adresse IP relevée par l'agent assermenté ; que les vérifications effectuées ont révélé que l'ordinateur portable de cet abonné était utilisé par Cyrille Y... qui a reconnu qu'il avait procédé au téléchargement de nombreuses oeuvres musicales avant de les mettre à disposition d'autres internautes ; que Cyrille Y..., poursuivi pour contrefaçon par reproduction d'une oeuvre de l'esprit au mépris des droits de l'auteur, n'a pas comparu devant le tribunal ;

Attendu que, par conclusions régulièrement déposées en cause d'appel, l'avocat du prévenu a, avant toute défense au fond, excipé de la nullité du procès-verbal de constat et de tous les actes subséquents en soutenant qu'il avait été identifié et donc son nom révélé, à cause de son adresse IP et du nom du fournisseur d'accès, c'est à dire par les informations recueillies par l'agent assermenté lors de ses sessions sur internet ;

Attendu que, pour prononcer l'annulation sollicitée, renvoyer le prévenu des fins de la poursuite et débouter par voie de conséquences les parties civiles de toutes leurs demandes, l'arrêt prononce par les motifs repris au moyen ;

Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés ;

D'où il suit que la cassation est encourue ;

Par ces motifs :

CASSE et ANNULE, en toutes ses dispositions, l'arrêt susvisé de la cour d'appel de Rennes, en date du 22 mai 2008, et pour qu'il soit à nouveau jugé, conformément à la loi,

RENVOIE la cause et les parties devant la cour d'appel de Paris, à ce désignée par délibération spéciale prise en chambre du conseil ;

ORDONNE l'impression du présent arrêt, sa transcription sur les registres du greffe de la cour d'appel de Rennes et sa mention en marge ou à la suite de l'arrêt annulé ;

Ainsi jugé et prononcé par la Cour de cassation, chambre criminelle, en son audience publique, les jour, mois et an que dessus ;

Etaient présents aux débats et au délibéré : M. Pelletier président, M. Le Corroller conseiller rapporteur, MM. Farge, Blondet, Palisse, Mme Radenne conseillers de la chambre, Mme Agostini, MM. Chaumont, Delbano conseillers référendaires ;

Avocat général : M. Fréchède ;

Greffier de chambre : Mme Krawiec ;

En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre ;

 

Retour à la liste des décisions