Internet et données personnelles
lundi 2 novembre 2009 par : admin1. Une adresse IP est-elle une données à caractère personnel ?
Dans un jugement du 24 juin 2009, le Tribunal de Grande Instance de Paris a jugé qu’une adresse IP est une donnée à caractère personnel :
– « Le tribunal considère que l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui détient obligatoirement les données nominatives du responsable du contenu, c’est-à-dire son adresse et ses coordonnées bancaires. Au regard de la technique existante, cette adresse apparaît être le seul élément permettant de retrouver la personne physique ayant mis en ligne le contenu. Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limité à ce jour ne sauraient disqualifier cette adresse comme donnée permettant l’identification personnelle des fournisseurs de contenu ».
La question de la qualification, ou non, de données à caractère personnel d’une adresse IP est substantielle dès lors qu’elle détermine si la loi Informatique et Libertés de 1978 doit s’appliquer à la collecte et au traitement de ces informations. Ce d’autant que les opérateurs de communication électronique (opérateurs télécom, Fai, et personnes assimilées telles que les cybercafés ou les hôtels offrant une connexion)[1] et les hébergeurs[2] ont l’obligation légale de collecter et de conserver les adresses IP.
Rappelons que cette loi Informatique et Libertés dispose en son article 2 que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Si la Cnil affirme depuis longtemps que l’adresse IP est une donnée à caractère personnel, la jurisprudence est en revanche plus hésitante. Ainsi, deux arrêts de 2007, rendus par la Cour d’appel de Paris[3]considéraient que l’adresse IP ne pouvait pas être assimilé à une donnée personnelle.
Au regard de l’enjeu de la question, un rapport d’information déposé au Sénat le 27 mai 2009 relatif à « La vie privée à l’heure des mémoires numériques »[4] préconise que la loi Informatique et Liberté soit modifiée afin d’affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel.
2. adoption de la loi favorisant la diffusion et la protection de la création sur internet
La loi favorisant la diffusion et la protection de la création sur internet, dite loi Hadopi du nom de la « Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet » qu’elle instaure, a été adoptée le 12 juin 2009.
Après censure du Conseil constitutionnel[5], la version de la loi adoptée ne prévoit plus de « riposte graduée » en cas de téléchargement illégal d’œuvres protégées par le droit d’auteur, mais uniquement le mécanisme suivant :
Aux termes de l’article L. 336-3 du Code de la propriété intellectuelle, la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits, lorsqu’elle est requise[6]. Cependant, le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.
La Haute Autorité a notamment pour mission de veiller à la protection, sur internet, des œuvres et objets auxquels est attaché un droit d’auteur ou un droit voisin[7]. La Haute Autorité est composée d’une commission de protection des droits[8].
La commission de protection des droits peut, une fois saisie, pour mettre un terme au manquement à l’obligation pesant sur le titulaire d’un accès internet définie ci-dessus :
– envoyer à l’abonné, par voie électronique et par l’intermédiaire de son FAI, une recommandation lui rappelant les dispositions de l’article L. 336-3 et lui enjoignant de respecter l’obligation qu’elles définissent[9] ;
– en cas de renouvellement, dans un délai de six mois, adresser une nouvelle recommandation comportant les mêmes informations[10].
La commission de protection des droits peut être saisie par des agents assermentés désignés par les organismes de défense professionnelle régulièrement constitués, les sociétés de perception et de répartition des droits et le Centre national de la cinématographie. Elle peut également agir sur la base d’informations qui lui sont transmises par le procureur de la République.
Ce dispositif n’entrera en vigueur à la date de la première réunion de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet et au plus tard le 1er novembre 2009.
Après la censure du conseil constitutionnel, un nouveau texte complémentaire est en préparation. Le 8 juillet 2009, le Sénat a ainsi adopté un projet de loi en première lecture[11], lequel sera examiné par les députés en septembre.
3. nouvelles modalités d’informations relatives aux prix des appels téléphoniques à des services à valeur ajoutée
Au titre des principes essentiels du droit de la consommation figure l’obligation d’information due par le professionnel au consommateur.
Ainsi, l’article L113-3 du code de la consommation stipule que :
– « Tout vendeur de produit ou tout prestataire de services doit, par voie de marquage, d’étiquetage, d’affichage ou par tout autre procédé approprié, informer le consommateur sur les prix, les limitations éventuelles de la responsabilité contractuelle et les conditions particulières de la vente, selon des modalités fixées par arrêtés du ministre chargé de l’économie, après consultation du Conseil national de la consommation. »
Un nouvel arrêté du ministre de l’économie du 10 juin 2009 est venu préciser les modalités de l’information relative au prix des appels téléphoniques aux services à valeur ajoutée.
Les services à valeur ajoutée sont des services accessibles via des numéros à dix chiffres commençant par 08 (sauf les 087), les numéros à quatre chiffres commençant par 3 ou par 1, ou encore des numéros 118 utilisés pour les services de renseignements, permettant l’accès à différents types de services tels que des informations préenregistrées (météo, trafic, horoscope), ou personnalisées (renseignements, achats de billets, services administratifs…), mais aussi l’accès à l’Internet bas débit.
A compter du 1er janvier 2010 pour les numéros dont la tarification depuis un poste fixe est supérieure à 0,15 € par minute ou par appel, et à compter du au 1er janvier 2011 pour les autres numéros concernés, tout consommateur devra être informé du prix global susceptible de lui être facturé au moyen d’un message gratuit en début d’appel, d’une durée qui ne peut être inférieure à 10 secondes.
L’arrêté prévoit également qu’un signal sonore matérialise la fin de cette information et la mise en application des conditions de prix annoncées, et que le consommateur pourra renoncer à entre l’annonce en appuyant sur la touche « # » par exemple.
Enfin, il convient de noter que le texte, réservé à la protection des consommateurs, ne s’applique pas à des appels passés par des non consommateurs ou vers des services réservé à un usage professionnel, pas plus qu’à des appels sans intervention humaine, dits « de machine à machine », tels que les opérations de télésurveillance (sous réserve que ces services aient donnés lieu à un contrat écrit préalable et dont l’information quant aux prix est conforme à la réglementation en vigueur).
4. Réseaux sociaux sur internet et protection des données personnelles
Le 12 juin dernier, le Groupe de l’article 29[12] a adopté un avis relatif aux réseaux sociaux dans le but de fournir des lignes de conduite aux éditeurs de ces sites sur les mesure à mettre en place afin d’assurer le respect du droit européen sur la protection des données personnelles[13].
Le Groupe de l’article 29 définit les réseaux sociaux comme des sites de communication en ligne qui permettent à quiconque de rejoindre ou de créer un réseau d’utilisateurs liés entre eux, et recense un certain nombre de caractéristiques communes à ces sites : profil descriptif des personnes, possibilité de mise en ligne de contenus personnels (photo, agenda, music, vidéo, etc.) et liste des contacts sur le réseau de chacun des utilisateurs.
Après avoir rappelé que la directive relative à la protection des données personnelles est applicable aux sites de réseaux sociaux, y compris lorsque leur siège social est situé hors de l’Europe, en se référant à son avis sur les aspects de la protection des données liés aux moteurs de recherche[14], le Groupe de l’article 29 recherche qui porte la responsabilité des traitements de données à caractère personnel effectués dans le cadre des réseaux sociaux.
En effet, la définition des personnes responsables des traitements est essentielle dans la mesure où la règlementation fait peser sur eux le respect des dispositions applicables aux traitements des données personnelles (formalités préalables, informations des personnes, confidentialité, sécurité, etc.).
Pour mémoire, l’article 3 de la loi de française du 6 janvier 1978, transposant la directive de 1995, dispose que : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».
Dans son avis, le Groupe de l’article 29 considère qu’il existe trois types de responsable de traitements : les « prestataires des services de réseaux sociaux » (i.e. les sites internet), les développeurs d’applications utilisées sur les réseaux en plus de celle fournies par les sites eux-mêmes, voire les utilisateurs des réseaux lorsque l’utilisation qu’ils en font sort de la sphère privée et familiale par exemple.
Le Groupe de l’article 29 conclu donc son avis par un résumé des droits et obligations des acteurs des réseaux en ligne. Les sites de réseaux sociaux doivent notamment :
– informer les internautes de leur identité et leur fournir des informations claires et compréhensibles sur les moyens et les objectifs des traitements de données qu’ils réalisent ;
– définir des paramètres par défaut limitant la diffusion des données des internautes ;
– informer les internautes des risques liées à la mise en ligne de données personnelles en termes de vie privée ; les informer également que toutes photos ou informations relative à une autre personne ne peut être mise en ligne qu’avec l’accord de cette personne ;
– mettre en ligne, sur leur page d’accueil accessible aux membres et aux non membres, un lien permettant à tous de signaler des abus relatifs à la vie privée.
5. Quelle protection en cas de copie servile de tout ou partie du contenu d’un site internet ?
Le contenu d’un site internet, ainsi que son apparence ou son architecture, peut être protégé par le biais de plusieurs fondements, permettant à la victime de tels agissements d’agir sur le terrain de la contrefaçon de droit d’auteur ou encore sur celui de la concurrence déloyal ou du parasitisme.
En effet, l’action en contrefaçon de droit d’auteur prévue par le Code de la propriété intellectuelle est parfaitement applicable dans le cadre de la reproduction d’un site internet dès lors que le code protège les droits des auteurs sur toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination[15].
Cependant, pour qu’une œuvre soit protégée par le droit d’auteur, il est nécessaire que celle-ci soit originale, c’est-à-dire porte l’empreinte de la personnalité de son auteur. Et c’est là que réside tout l’enjeu du débat en cas de contentieux relatif à la reproduction de sites internet dans la mesure où ces « œuvres » ont par nature des contraintes techniques fortes et répondre le plus souvent à des standards de lisibilité et de présentation conforme aux habitudes des internautes.
Ainsi, dans une affaire où un site de vente en ligne avait reproduit quasi intégralement les conditions générales de vente en ligne d’un site internet concurrent, la Cour d’appel de Paris[16] a rejeté leur protection par le droit d’auteur jugeant que lesdites conditions générales étaient certes, le produit d’un travail intellectuel qui dénotait une compétence technique et un savoir-faire, mais ne révèleraient en rien l’effort créatif qu’aurait accompli son auteur pour le marquer du sceau de sa personnalité.
Plus récemment, le Tribunal de Grande instance de Paris[17] rejetait également des demandes fondées sur la contrefaçon de site internet en l’absence de preuve de l’originalité du site : « faute pour Monsieur S. de démontrer que son site est révélateur de sa personnalité et dépasse la mise en œuvre d’un savoir-faire d’informaticien, il n’y a pas lieu de faire application des règles de la propriété intellectuelle et de considérer que la reproduction de certains de ses éléments par le site www.parole-experts.com porte atteinte à des droits patrimoniaux et moral d’auteur ».
Dans cette espèce, le demandeur reprochait la contrefaçon de son par reproduction du plan, de la structure, de l’agencement des rubriques, et du contenu, et le tribunal avait effectivement constaté que certaines pages du site du demandeur étaient sont la copie exacte du site du défendeur tant dans la forme que dans le contenu.
Néanmoins, en l’absence de protection par le droit d’auteur, la personne à l’origine de la copie peut être poursuivie sur le fondement de la concurrence déloyale, si les sociétés sont en situation de concurrence, ou du parasitisme.
Ces deux notions ne sont pas définies par les textes, mais sont issues du droit commun de la responsabilité délictuelle. Les deux décisions récentes précédemment citées en donnent des définitions intéressantes.
Concernant la concurrence déloyale, l’élément essentiel est, outre l’état de concurrence, la confusion dans l’esprit de la clientèle entre les entreprises en concurrence :
– « le principe de la liberté du commerce implique qu’un produit qui ne fait pas l’objet de droits de propriété intellectuelle, puisse être librement reproduit, sous certaines conditions tenant, notamment, à l’absence de faute par la création d’un risque de confusion dans l’esprit de la clientèle sur l’origine du produit, préjudiciable à l’exercice paisible et loyal du commerce » ;
– « la copie du site vww.experts-univers.com par le site www.parole-experts.com crée un risque de confusion dans la mesure où l’internaute qui se trouve face à des pages absolument identiques, ne sera plus en mesure de faire de distinction. Un tel risque de confusion entraîne nécessairement une diminution du caractère attractif du site conçu par Jérôme S. ».
Quant au parasitisme, il est caractérisé en cas d’appropriation du travail et du ce savoir-faire d’un tiers, sans autorisation et sans frais :
– « lorsqu’une personne physique ou morale, à titre lucratif et de façon injustifiée, s‘inspire ou copie une valeur économique d’autrui, individualisée et procurant un avantage concurrentiel, fruit d’un savoir-faire, d’un travail intellectuel et d’investissements ».
Dans les deux espèces précitées, les défendeurs ont ainsi été condamnés sur le fondement du parasitisme à payer pour l’un 10.000 euros et pour l’autre 20.000 euros à titre de dommages et intérêts.
6. Projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure
Un projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure (dit LOPSI 2 ou
LOPPSI) a été présenté en conseil des ministres le 27 mai 2009.
Ce projet de loi comporte des dispositions relatives à la cybercriminalité et notamment[18] :
– une nouvelle incrimination d’utilisation frauduleuse de données à caractère personnel de tiers sur un réseau de télécommunication (art. 2). Le nouvel article 222-16-1 due code pénal serait rédigé comme suit : « Le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Est puni de la même peine le fait d’utiliser, sur un réseau de communication électronique, l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération » ;
– une obligation à la charge des fournisseurs d’accès à Internet d’empêcher l’accès à une liste de site internet établie par arrêté du ministre de l’intérieur. Ces interdictions viseraient notamment les contenus liés à la pornographie enfantine (article 4) ;
– un aménagement du régime de la vidéosurveillance, appelée vidéoprotection, en étendant les finalités pour lesquelles les personnes privées peuvent recourir à la vidéoprotection : pour prévenir des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression ou de vol (article 17 et 18) ;
– la possibilité de procéder, sans le consentement des intéressés, à la captation de données informatiques à distance en permettant aux enquêteurs de capter en temps réel les données informatiques telles qu’elles s’affichent à l’écran d’un ordinateur ou telles qu’elles sont introduites lors d’une saisie de caractères (article 23).
Alice COLLIN [alice.collin@collin-avocats.fr]
Françoise COLLIN [f.collin@fcollin-avocat.com]
Avocats
[1] Article L34-1 Code des postes et des communications électroniques.
[2] Article 6.II de la Loi pour la confiance dans l’économie numérique du 21 juin 2004, qui vise également les FAI.
[3] CA Paris, 13e Ch., 15 mai 2007 et 27 avril 2007.
[6] Art. L336-3 nouveau du Code de la propriété intellectuelle.
[7] Art. L331-13 nouveau du Code de la propriété intellectuelle.
[8] Art. L331-15 nouveau du Code de la propriété intellectuelle.
[9] Cette recommandation contient également une information de l’abonné sur l’offre légale de contenus culturels en ligne, sur l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 ainsi que sur les dangers pour le renouvellement de la création artistique et pour l’économie du secteur culturel des pratiques ne respectant pas le droit d’auteur et les droits voisins.
[10] Art. L331-26 nouveau du Code de la propriété intellectuelle.
[12] Groupe de travail institué par les articles 29 et 30 de la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, réunissant les représentants des « Cnil européenne ».
[15] Art. L112-1 CPI.
[16] CA Paris, 4e Ch. A, 24 septembre 2008 : Vente Privée.com c/ Kalypso.
[17] TGI Paris, 3e Ch, 4e Sect., 28 mai 2009 : Jérôme S. c/ Association Lexeek.