Droit d’auteur et RGPD : le recueil systématique d’adresses IP est licite
La société chypriote Mircom dispose de certains droits pour un grand nombre de films pornographiques. Ayant constaté que certains de ces films étaient téléchargés illégalement sur des réseaux de peer-to-peer à l’aide du protocole BitTorrent, la société Mircom a récolté les adresses IP ayant été utilisées pour partager les contenus sur ces réseaux. Cette société a ensuite présenté, devant le tribunal de l’entreprise d’Anvers, une demande d’information à l’encontre du fournisseur d’accès belge Telenet BVBA visant à se faire communiquer les données d’identification correspondant aux adresses IP collectées, ce à quoi le fournisseur de données s’opposait. Dans le cadre de ce litige, la juridiction belge a posé à la Cour de justice de l’Union européenne (CJUE) plusieurs questions préjudicielles touchant à trois points distincts.
Tout d’abord, il s’agissait de préciser ce qui constitue, selon la directive 2001/29/CE du 22 mai 2001, un acte de communication au public. En particulier, la CJUE devait déterminer si les internautes individuels qui participent à un réseau de peer-to-peer effectuent un acte de communication.
Ensuite, la juridiction belge demandait si les titulaires de droits qui n’utilisent pas leurs droits pour exploiter les œuvres peuvent tout de même se prévaloir des mesures prévues par la directive 2004/48/CE du 29 avril 2004 relative au respect des droits de propriété intellectuelle.
Enfin, la juridiction de renvoi s’interrogeait sur la licéité du recueil des adresses IP et de la demande d’information de la société Mircom au regard du droit de l’Union sur la protection des données personnelles (le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016, dit RGPD, et la directive « vie privée et commerce électronique » 2002/58/CE du 12 juillet 2002).
La participation à un réseau de peer-to-peer est un acte de communication
La CJUE a d’abord examiné la question de savoir si la participation d’internautes individuels au partage de données en peer-to-peer à l’aide du protocole BitTorrent constitue un acte de communication au public. Cette question se posait particulièrement pour deux raisons.
Premièrement, la juridiction belge se demandait si la semaille (seeding) de segments de fichier ne constituait une communication au public qu’à partir d’un seuil minimal. En effet, dans les réseaux de peer-to-peer, les fichiers partagés sont décomposés en petits segments qui sont téléchargés en ordre aléatoire à partir des ordinateurs d’internautes semeurs (seeders). Ainsi, un semeur ne met pas à disposition l’œuvre entière, ni même une partie de l’œuvre, mais seulement des segments de fichier dont chacun est inexploitable individuellement.
La Cour ici a considéré qu’« il n’est pas nécessaire de prouver que l’utilisateur concerné a préalablement téléchargé un nombre de segments représentant un seuil minimal » (§ 46). Ainsi, chaque semeur, quel que soit le nombre de segments qu’il met à disposition des autres internautes, peut être coupable d’un acte de communication au public.
Deuxièmement, la juridiction belge souhaitait savoir si la circonstance que la semaille puisse se faire automatiquement (du fait des configurations du client BitTorrent), et donc à l’insu de l’utilisateur, pouvait avoir une incidence.
La Cour a de nouveau répondu par la négative. Elle estime que les utilisateurs d’un réseau peer-to-peer « doivent être considérés comme agissant en pleine connaissance de leur comportement et des conséquences que celui-ci peut avoir » dès lors qu’ils ont été informés des caractéristiques du logiciel BitTorrent et ont consenti à son utilisation, et que « le caractère délibéré de leur comportement n’est nullement infirmé par le fait que le téléversement est automatiquement généré par ce logiciel » (§ 49). Pour constater un acte de communication au public, les juridictions nationales n’ont donc pas à établir que le partage a été effectué manuellement par l’internaute, mais doivent seulement vérifier si ce dernier a consenti à l’utilisation du logiciel de partage en peer-to-peer.
Les copyright trolls bénéficient des mesures de la directive 2004/48/CE
La Cour s’est penchée ensuite sur la deuxième question, que la juridiction belge posait en ces termes : « La personne contractuellement titulaire de droits d’auteur (ou de droits voisins) qui ne les utilise pas elle‑même, mais se borne à réclamer une indemnité à des contrevenants présumés et dont le mode économique de revenu dépend dès lors de l’existence du piratage au lieu de le combattre, peut-elle jouir des mêmes droits que ceux que le chapitre II de la directive 2004/48 confère aux auteurs ou aux licenciés qui utilisent des droits d’auteur d’une manière normale ? »
Cette question visait donc explicitement les copyright trolls, les entités titulaires de droits qui, sur le modèle des patent trolls, n’utilisent pas les droits dont ils disposent pour organiser l’exploitation des œuvres mais uniquement pour réclamer, parfois de manière abusive, des dommages-intérêts à de potentiels contrevenants.
La Cour répond qu’en principe, tous les titulaires de droits, y compris ceux qui n’utilisent pas ces droits eux-mêmes, bénéficient des mesures, procédures et réparations prévues par la directive 2004/48. En effet, exclure certains titulaires de droits du bénéfice de ces mesures « irait à l’encontre de l’objectif général de la directive 2004/48 qui est, ainsi qu’il ressort de son considérant 10, notamment d’assurer un niveau de protection élevé de la propriété intellectuelle dans le marché intérieur » (§ 75).
En revanche, la Cour rappelle que, conformément à l’article 3 de la directive, les demandes abusives doivent être refusées. Il revient en l’occurrence à la juridiction de renvoi de déterminer, en fonction d’un examen global et circonstancié des faits du litige, si la société Mircom fait un usage abusif de ses droits.
Le recueil des adresses IP est conforme au RGPD
Enfin, la Cour répond aux troisième et quatrième questions de la juridiction belge, concernant la protection des données à caractère personnel. La CJUE devait se prononcer sur la licéité de la collecte des adresses IP des internautes par Mircom et sur celle de la demande de la société visant à se faire communiquer l’identité des détenteurs de ces adresses IP.
La Cour de justice dégage, de l’article 6(1)(f) du RGPD, trois conditions auxquelles le traitement de données à caractère personnel est licite. Premièrement, ce traitement doit avoir pour objectif la poursuite d’un intérêt légitime. Deuxièmement, le traitement des données à caractère personnel doit être nécessaire à la réalisation de l’intérêt légitime poursuivi. Troisièmement, les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne doivent pas prévaloir.
En l’occurrence, la défense de ses droits de propriété constitue un intérêt légitime (§ 108). De plus, le recueil des adresses IP et la demande d’information peuvent être considérés comme nécessaires puisque « l’identification du détenteur de la connexion n’est souvent possible que sur la base de l’adresse IP et des informations fournies par le fournisseur d’accès à internet » (§ 110). En ce qui concerne la troisième condition, « les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le règlement 2016/679 lui-même » (§ 112).
La Cour note par ailleurs que le traitement des adresses IP doit également respecter la directive 2002/58 (§ 113). En effet, la CJUE fait référence à sa décision La Quadrature du Net (CJUE 6 oct. 2020, aff. C-511/18, C-512/18 et C-520/18, Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ) pour affirmer que cette directive « concrétis[e], pour les utilisateurs des moyens de communications électroniques, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » (§ 118). Or l’article 15(1) de la directive 2002/58 énonce que, pour prévenir ou poursuivre les utilisations non autorisées du système de communications électroniques, les États membres peuvent adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée.
La Cour considère finalement que l’article 6(1)(f) du RGPD ne s’oppose « ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair (peer-to-peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58 » (§ 132).
Cette décision donne des indications importantes sur l’équilibre que le juge national doit rechercher entre protection des droits de propriété intellectuelle et protections des données à caractère personnel des internautes. Elle est bienvenue dans le cadre de la mise en œuvre de la nouvelle directive (UE) 2019/790 du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (dite « DAMUN ») puisque ce nouveau texte prévoit explicitement, dans son article 28, que « le traitement des données à caractère personnel effectué dans le cadre de la présente directive est effectué dans le respect de la directive 2002/58/CE et du règlement (UE) 2016/679 ».