Par Gérard Haas et Rodolphe Lavocat
A propos de CJUE, 17 juin 2021
La collecte systématique d’adresses IP d’internautes participant à un réseau peer to peer à l’aide du logiciel BitTorrent par un titulaire de droits de propriété intellectuelle constitue-t-elle un traitement licite au sens de l’article 6 du RGPD et autorise-elle ce titulaire à demander les noms et adresses desdits internautes au fournisseur d’accès à internet (FAI) pour engager un recours en indemnisation à leur encontre du fait d’activités contrefaisantes ?
Telle est la question à laquelle la Cour de Justice de l’Union Européenne (CJUE) par un arrêt du 17 juin 2021 a dû répondre aux confins du droit d’auteur et de la protection des données personnelles, et de la nécessaire mise en balance entre les intérêts des titulaires de droits de propriété intellectuelle et les droits fondamentaux au respect de la vie privée des internautes.
La collecte d'adresses IP d'internautes
En l’espèce, ayant constaté qu’un certain nombre d’œuvres faisaient l’objet de téléchargements illégaux en Belgique, la société Mircom – titulaire des droits – avait procédé en amont à la collecte de toutes les adresses IP des internautes contrevenants. Par la suite, Mircom a déposé auprès du tribunal d’entreprise d’Anvers une demande d’information prévue à l’article 8 de la directive 2004/48 tendant à ce que le FAI belge lui communique les données d’identification des internautes reliées aux différentes adresses IP, ce qu’il refusa.
C’est dans ce contexte que la CJUE fut saisie de trois questions préjudicielles.
Les deux premières ont conduit la CJUE à affirmer :
- d’une part, que la participation des internautes à un réseau peer to peer constitue une mise à disposition de l’œuvre au public (qui est une prérogative exclusive du titulaire des droits) et ce peu importe que l’œuvre n’ait pas été intégralement téléchargée par les internautes ayant « agi en pleine connaissance de leur comportement et conséquences que celui-ci peut avoir » (pt. 49) en installant le logiciel BitTorrent sur leurs ordinateurs ;
- d’autre part, qu’une personne contractuellement titulaire de droits de propriété intellectuelle bénéficie des mesures, procédures et réparations prévues par la directive 2004/28, peu importe que ce titulaire se borne à réclamer des dommages-intérêts à des contrevenants, sous réserve d’un abus de droit. Ainsi, il n’est pour l’instant pas démontré que Mircom agisse comme un copyright troller.
Concernant la troisième question préjudicielle, du fait de la collecte des adresses IP, Mircom effectue un traitement de données personnelles , ledit traitement étant en l’espèce licite au sens de l’article 6 du Règlement Général sur la Protection des Données (RGPD) puisque « le recouvrement des créances en bonne et due forme peut constituer un intérêt légitime justifiant le traitement des données à caractère personnel » (pt. 109), et ce d’autant plus que « l’identification du détenteur de la connexion n’est souvent possible que sur la base de l’adresse IP et des informations fournies par le fournisseur d’accès à internet » (pt. 110). On peut également relever que la CJUE fait référence à l’une de ses précédentes décisions où elle avait indiqué que, dans le cadre d’une demande d’information, le titulaire des droits peut se voir communiquer uniquement l’adresse postale de l’internaute à l’exclusion de son adresse courriel, son numéro de téléphone ou son adresse IP.
L'obligation de confidentialité des données relatives au trafic
Toutefois, la CJUE relève que les adresses IP sont également considérées comme des données relatives au trafic régies par la directive 2002/58. Or, ces données sont couvertes par une obligation de confidentialité des données à caractère personnel dans le secteur des communications électroniques prévue à l’article 5 de la directive précitée. Néanmoins, cette obligation de confidentialité n’est pas absolue dans la mesure où l’article 15 de cette directive énumère un certain nombre d’exceptions à cette obligation de confidentialité, lesquelles ont été reprises et complétées à l’article 23 du RGPD qui « vise désormais expressément l’exécution des demandes de droit civil doit être interprété comme exprimant la volonté du législateur de l’Union de confirmer la jurisprudence de la Cour selon laquelle la protection du droit de propriété et les situations dans lesquelles les auteurs cherchent à obtenir cette protection dans le cadre d’une procédure civile n’ont jamais été exclues du champ d’application de l’article 15 » (pt. 117).
Quant à la demande d’information formulée par Mircom au FAI, la CJUE indique qu’elle « est conforme à l’objectif d’établir un juste équilibre entre le droit d’information des titulaires de droits de propriété intellectuelle et le droit à la protection des données à caractère personnel de ces utilisateurs » (pt. 120). En revanche, la CJUE précise que la demande d’information ne prévoit aucune obligation de communication des données personnelles à la personne à l’origine de ladite demande. Ainsi, la CJUE considère que l’article 6 du RGPD ne s’oppose pas, en principe, ni à l’enregistrement systématique des adresses IP des internautes par le titulaire de droits, ni à la communication par le FAI de leurs noms et adresses postales à ce titulaire, sous réserve que cette communication repose impérativement sur une mesure législative au titre de l’article 15 de la directive 2002/58 et soit justifiée, proportionnée et non-abusive (pt. 132).
Ainsi, les deux apports significatifs de cet arrêt sont :
- d’une part, de rappeler qu’il existe des limitations aux droits et obligations prévues par le RGPD, ces limitations devant respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique dans les conditions prévues à l’article 23 du RGPD : ainsi, la collecte d’adresses IP d’internautes accomplissant des activités contrefaisantes par tout titulaire de droits de propriété intellectuelle est un traitement licite au sens de l’article 6 du RGPD puisque cette collecte vise à garantir « l’exécution des demandes de droit civil » ;
- d’autre part, de relever que la communication de données personnelles à un tiers doit reposer sur une demande justifiée, proportionnée et non abusive, et être fondée sur une mesure législative au sens de l’article 15 de la directive 2002/58 propre à chaque Etat membre: en l’espèce, il reste alors à la juridiction belge d’examiner si une telle mesure est prévue par le législateur belge. A défaut, la communication des noms et adresses postales des internautes à Mircom sera refusée.
***
Le Cabinet HAAS Avocats est spécialisé depuis plus de vingt ans dans le droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs dans le cadre de la défense de leurs droits de propriété intellectuelle et dans leur mise en conformité RGPD. Pour en savoir plus, contactez-nous ici.