Les constats d’agents assermentés, effectués sans une surveillance préalable automatisée des réseaux, ne sont pas des traitements de données à caractère personnel. Les agents n’ont donc pas l’obligation de demander l’autorisation de la CNIL pour recueillir l’adresse IP d’un internaute mettant à disposition des œuvres protégées sur des sites de peer-to-peer sans l’accord des ayants-droits. Par cette décision du 19 janvier 2009, la chambre criminelle de la Cour de cassation a cassé l’arrêt rendu le 22 mai 2008 par la cour d’appel de Rennes. Celle-ci avait annulé le procès-verbal d’un agent assermenté de la Sacem au motif qu’il n’avait pas demandé l’autorisation de la CNIL pour collecter, conserver et enregistrer l’adresse IP d’un internaute ayant mis à disposition des œuvres musicales sur internet. Les juges du fond avaient donc conclu à la relaxe de ce dernier puisque les poursuites étaient fondées sur le procès-verbal annulé.
La Cour de cassation a accueilli le pourvoi formulé par la SACEM à l’encontre de cette décision. Elle a détaillé la procédure suivie par l’agent qui ne fait qu’accéder manuellement à la liste des œuvres proposées au téléchargement par un internaute et dont il se contente de relever l’adresse IP. Elle en a déduit qu’aucun traitement de données personnelles n’était mis en place. L’article 25 de la loi Informatique et libertés qui impose l’autorisation de la CNIL pour collecter et traiter des données à caractère personnel relatives à des infractions ne s’appliquait donc pas à cette procédure.
La Cour de cassation ne s’est pas prononcée sur la question de la qualification de l’adresse IP. Elle n’a pas répondu au moyen de la SACEM selon lequel les adresses IP « ne présentent pas, en elles-mêmes, de caractère personnel ». La société de gestion collective expliquait que ce n’était pas le relevé de l’adresse IP qui permettait l’identification de l’internaute mais les réquisitions de l’autorité judiciaire auprès du fournisseur. La cour d’appel de Rennes l’avait, quant à elle, qualifiée de « donnée indirectement nominative », soumettant ainsi son traitement à la loi Informatique et libertés. La question reste donc soulevée.