Bourses d’échange sur Internet et protection des données

Nous avons examiné le traitement des données effectué par entreprise suisse active dans le domaine de la lutte contre les violations du droit d’auteur et constaté que la collecte des données effectuée dans les réseaux d’échange pair à pair ne respectait pas les principes fondamentaux de la LPD. Ce faisant, nous ne remettons nullement en cause la légitimité des poursuites pénales contre les violations des droits d’auteur. Nous avons cependant constaté qu'en pratique, les détenteurs du droit d’auteur abusent de leur droit d’accès aux dossiers dans le cadre d’une procédure pénale afin d’obtenir les identités des détenteurs d’accès Internet, contournant ainsi le secret des télécommunications dans le domaine du droit privé. Nous estimons qu'une atteinte au secret des télécommunications dans le domaine civil nécessite une base légale expresse. Nous avons recommandé à l’entreprise concernée de cesser le traitement des données.

Mandatée par l’industrie des médias, une entreprise suisse effectue des recherches dans des réseaux pair à pair (P2P) dans le but de déceler des violations du droit d’auteur commises au sein des sites d’échange de fichiers musique et vidéo sur Internet. L’entreprise en question a développé spécialement à cet effet un logiciel qui collecte secrètement et de manière automatisée les traces électroniques laissées par l’utilisateur du logiciel P2P mettant illégalement à disposition les œuvres protégées par le droit d’auteur. Ces données, comprenant notamment les adresses IP, sont enregistrées à l’insu des personnes concernées (y compris du détenteur de l’accès Internet qui peut être de bonne foi) et communiquées à intervalles réguliers aux détenteurs des droits d’auteur de l’œuvre concernée ou à leurs représentants légaux, le plus souvent à l’étranger.

Les données relatives à l’adresse IP détenues par les fournisseurs de services de télécommunications (telles que le nom et l’adresse du détenteur de l’accès Internet) sont protégées par le secret des télécommunications. Ce n’est que dans le cadre d’une enquête pénale que les autorités d’instruction peuvent obtenir l’identité du détenteur de l’accès Internet. C’est pour cette raison que les détenteurs des droits d’auteur ou leurs représentants légaux déposent une plainte pénale contre inconnu auprès des autorités d’instruction compétentes, en fournissant les données collectées par la société X. SA. Ils accèdent alors au dossier dans le cadre de la procédure pénale et se procurent ainsi l’adresse du détenteur de l’adresse IP (qui n’est pas nécessairement la personne ayant commis l’infraction). Ils font alors valoir leurs prétentions civiles en exigeant des dommages-intérêts pour la mise à disposition de l’œuvre, avant même la condamnation pénale de l’auteur de l’infraction.

Les données collectées (en particulier l’adresse IP) sont des données personnelles dès lors qu’elles permettent d’identifier de façon indirecte des personnes déterminées. Le traitement de ces données est régi par la LPD. Les méthodes de traitement utilisées par la société X. SA pouvant porter atteinte à la sphère privée d’un grand nombre de personnes et à leur insu, nous avons procédé à un examen des faits.

Nous avons examiné si les principes de la protection des données étaient respectés, en particulier les principes de licéité, de finalité, de bonne foi et de transparence, ainsi que le principe de la proportionnalité. Nous avons également examiné s’il existait un motif - en particulier un intérêt privé prépondérant - justifiant une telle collecte de données.

Selon le principe de licéité, les données personnelles ne peuvent être traitées que de manière licite. La législation en vigueur ne permet pas expressément une collecte systématique d’adresses IP dans des bourses d’échange, ni ne l’interdit. Nous sommes toutefois d’avis qu’un tel traitement de données – effectué à l’insu des personnes concernées, de manière proactive, à des fins de procédures pénales - devrait faire l'objet d'une base légale explicite.

Selon le principe de finalité, les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. En l’occurrence, les données de connexion sont rendues accessibles afin de permettre l’échange des contenus. La collecte et l’enregistrement systématiques des données dans le but de traquer des violations du droit d’auteur ne sont pas conformes au but poursuivi à l’origine; ce changement de finalité n’est pas prévu par une loi et n’est pas non plus reconnaissable pour les utilisateurs du logiciel – et en aucun cas pour le détenteur de l’adresse IP. Ce faisant, la société X. SA ne respecte pas le principe de la finalité.

Selon le principe de transparence, un traitement de données doit être reconnaissable pour la personne concernée; la personne concernée doit en être informée ou doit s’y attendre au vu des circonstances. Dans le cas d’espèce, la collecte des données est effectuée à l’insu des personnes concernées (que ce soit le détenteur de l’accès Internet ou la personne mettant effectivement à disposition les fichiers protégés) et ceux-ci ne peuvent en principe pas s’y attendre. Dans ces conditions, la société X. SA ne respecte donc pas non plus le principe de la transparence.

Un traitement de données doit également respecter le principe de la bonne foi. En l’espèce, les données sont collectées par la société X. SA dans le but d’identifier le détenteur de l’accès Internet pour formuler ensuite à son encontre des revendications civiles. Les données relatives à l’adresse IP sont protégées par le secret des télécommunications et une identification du détenteur d’un tel accès n’est actuellement possible que dans le cadre d’une procédure pénale. En déposant une plainte pénale dans le seul but de constater l’identité du détenteur de l’accès Internet (qui, rappelons-le, peut être de bonne foi), afin lui réclamer des dommages-intérêts, les détenteurs des droits d’auteur ou leurs représentants légaux contournent le secret des télécommunications valable dans le domaine civil. Nous avons estimé qu’une telle démarche devait être considérée comme contraire au principe de la bonne foi. Dans la pratique, les titulaires des droits d’auteur utilisent le droit d’accès au dossier de la procédure pénale pour faire valoir des prétentions civiles envers le détenteur de l’adresse IP, sans même attendre la fin de la procédure pénale et la condamnation de l’auteur de l’infraction. Nous avons estimé que cette pratique constituait un abus de droit. La législation ne prévoit pas la possibilité de lever le secret des télécommunications en droit privé et cette lacune n’a pas été comblée lors de la dernière révision de la loi sur le droit d’auteur.

En ce qui concerne l’examen du principe de proportionnalité, un traitement de données peut être considéré comme proportionné s’il est nécessaire et approprié au but poursuivi et si les mesures prises sont raisonnables par rapport à l’atteinte à la personnalité de la personne concernée. En l’occurrence, le traitement effectué par la société X. SA est une mesure propre à délimiter le cercle des personnes suspectées de violer le droit d’auteur et à établir les faits d’une telle infraction afin de pouvoir ensuite déposer une plainte qui aie de bonnes chances de succès. Cette mesure est également nécessaire pour constater qu’une violation du droit d’auteur a été commise et pour pouvoir démontrer l’infraction. Les détenteurs des droits d’auteur ne doivent cependant pas forcément connaître l’identité du détenteur de l’accès Internet de bonne foi pour exercer leurs droits de partie dans le cadre d’une procédure pénale et dans ces circonstances seule la collecte de données personnelles à des fins de procédure pénale peut être estimée comme proportionnée.

Seul un intérêt prépondérant privé pourrait permettre de justifier le traitement de données effectué par la société X. SA. Le traitement des données entrepris par les titulaires des droits d’auteur (en l’espèce par la société X. SA) oppose d’une part l’intérêt des détenteurs des droits d’auteur à poursuivre en justice les personnes violant leurs droits, d’autre part les intérêts des personnes concernées au respect des droits de la personnalité.

En l’occurrence, il apparaît que dans la pratique, le droit d’accès est utilisé de façon abusive pour faire valoir des prétentions civiles contre les détenteurs d’accès Internet de bonne foi, L’abus de droit ne peut être justifié par aucun motif justificatif. Etant donné qu’il n’est pas possible de garantir que la collecte et le traitement de données effectué par la société X. SA soient limités à la poursuite pénale et aux revendications civiles des seuls auteurs de l’infraction, nous avons estimé qu’il fallait faire cesser le traitement des données.

En conclusion, nous avons constaté que le traitement de données effectué par la société X. SA ne respecte pas les principes fondamentaux de la LPD et que l’intérêt privé légitime des titulaires de droit d’auteur ne peut pas être considéré comme un motif justificatif suffisant tant qu’il n’est pas garanti que les identités des détenteurs d’accès Internet qui sont de bonne foi sont protégées dans le cadre d’une procédure pénale.

Nous avons recommandé à la société X. SA de mettre fin immédiatement au traitement de données qu’elle effectue, aussi longtemps qu’une base légale appropriée n’est pas élaborée. L’entreprise suisse a communiqué dans le délai imparti qu’elle n’acceptait pas notre recommandation. Nous avons alors porté l’affaire devant le Tribunal administratif fédéral pour décision.

Informations complémentaires

Documents

informations complémentaires

Dernière modification 30.06.2008

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activite/anciens-rapports/15eme-rapport-d-activites-2007-2008/bourses-d_echange-sur-internet-et-protection-des-donnees.html