En août dernier, la Commission nationale de l’informatique et des libertés avait publié un communiqué dans lequel elle s’inquiétait de la position prise par la cour d’appel de Paris sur le statut de l’adresse IP. Dans deux arrêts des 27 avril et [15 mai 2007->?page=jurisprudence-decision&id_article=1955], la cour avait estimé que la Société civile des producteurs phonographiques (SCPP) ne devait pas demander d’autorisation à la Cnil pour le processus de constatation de la contrefaçon sur internet et d’identification de son auteur, car l’agent assermenté n’avait pas procédé à un traitement de données personnelles.

Dans un jugement du 6 septembre 2007, le TGI de Saint-Brieuc vient de prendre le contre-pied de ce raisonnement. Il a, au contraire, annulé l’ensemble de la procédure d’enquête et par conséquent les actes de poursuites contre un internaute qui avait téléchargé près de 149 000 fichiers, via un logiciel de peer-to-peer.
L’agent assermenté de la SCPP avait constaté la mise à disposition massive de fichiers par un internaute se faisant connaître sous le pseudo La plume. Grâce au firewall Kerio Personal, il avait obtenu l’adresse IP de la machine opérant ces téléchargements et le nom du fournisseur d’accès via le logiciel Visual Route. Avec ces éléments, les officiers de police judiciaire avaient pu identifier l’internaute disposant de cette IP.

La loi « Informatique et libertés » a soumis à autorisation préalable de la Cnil la mise en œuvre de traitement de données personnelles portant sur des infractions, effectué par des sociétés de gestion de droits au titre des articles L 321-1 et L 331-1 du CPI.
Pour déterminer la nécessité pour la SCPP d’obtenir une telle autorisation, les juges ont commencé par reconnaître que l’adresse IP constitue bien une donnée « à caractère personnel ayant indirectement permis l’identification de monsieur J. P. par les officiers de police judiciaires qui n’ont eu qu’à contacter le fournisseur d’accès Wanadoo pour avoir son identité ». Encore fallait-il que l’agent ait procédé à un traitement de données personnelles. Pour le tribunal, c’est « l’utilisation associée des logiciels permettant d’obtenir les données nominatives à caractère personnel associées aux internautes proposant des fichiers de partage » qui constitue un tel traitement.

Dans une décision du 14 décembre 2006, le TGI de Bobigny avait suivi le même raisonnement. Un appel a été interjeté. Et l’affaire sera jugée par la cour de Paris dont on connaît la position. Le jugement de Saint-Brieuc fait également l’objet d’un appel devant la cour de Rennes. La jurisprudence est donc loin d’être stabilisée. Craignant qu’une vision trop restrictive de la notion d’adresse IP ne s’impose, la Cnil a demandé au Garde des sceaux d’introduire un pourvoi en cassation dans l’intérêt de la loi. La Chancellerie est en train d’examiner la question.