La Commission nationale de l'informatique et des libertés (Cnil) a refusé de donner son feu vert aux dispositifs présentés par quatre organisations: la Sacem (Société des auteurs, compositeurs et éditeurs de musique), la SDRM (Société pour l'administration du droit de reproduction mécanique), la SCPP (Société civile des producteurs phonographiques), la SPPF (Société civile des producteurs de phonogrammes en France).
Ces demandes de surveillance s'appuyaient toutes sur le même prestataire, la société Advestigo, et portaient sur des volets pédagogique et répressif. Le premier consistait à transmettre aux fournisseurs d'accès les adresses IP des internautes repérés en train de télécharger des morceaux protégés par le droit d'auteur. Les FAI devaient ensuite retrouver l'abonné correspondant à l'adresse IP en question, et lui envoyer sur son e-mail un message d'avertissement concocté par les ayants droit.
Or, pour la Cnil, «l'envoi de messages pédagogiques pour le compte de tiers ne fait pas partie des cas de figure où les FAI sont autorisés à conserver les données de connexion des internautes». Et la Commission s'appuie aussi sur une décision du 29 juillet 2004 du Conseil Constitutionnel. Qui indique que les données contenues dans les fichiers d'infraction aux droit d'auteur «ne peuvent acquérir un caractère nominatif que sous le contrôle de l'autorité judiciaire». En clair: seul le juge est autorisé à demander au FAI de faire le lien entre une adresse IP et le nom d'un abonné.
Surprise totale pour la SCPP
Le volet répressif a également déplu à la Cnil. Les sociétés d'auteurs et les producteurs voulaient collecter directement et conserver les adresses IP des internautes ayant mis à disposition un grand nombre de fichiers protégés par le droit d'auteur. L'étape suivante étant de les poursuivre en justice.
Ces dispositifs ne sont pas «proportionnés à la finalité poursuivie», juge sévèrement la Cnil. Selon elle, ils dépassent le cadre d'actions ponctuelles strictement limitées à la lutte contre la contrefaçon. Pire, ils peuvent aboutir «à une collecte massive de données à caractère personnel» et permettent «la surveillance exhaustive et continue» des réseaux P2P.
Mais le point le plus important, aux yeux de la Commission, réside dans la sélection des internautes susceptibles d'être poursuivis par les ayants droit. Car elle s'effectue selon le nombre de fichiers mis à disposition. Mais ce seuil est «déterminé uniquement par les sociétés d'auteurs, et celles-ci se réservent la possibilité de le réviser unilatéralement à tout moment».
«C'est une surprise totale pour nous», affirme à ZDNet.fr Marc Guez, directeur général de la SCPP. «Nous avions reçu des demandes précises de la Cnil, auxquelles nous avions répondu favorablement pour modifier nos dispositifs». En particulier sur le volet pédagogique: selon lui, les ayants droit s'étaient engagés à ne conserver aucune adresse IP, et à ne réclamer aux FAI aucune information sur l'identité du destinataire des messages d'avertissement.
Désaccord sur comment caractériser l'infraction
Par ailleurs, les FAI devaient eux aussi effacer toute trace des messages envoyés. «Ainsi, la constatation de la mise à disposition illicite du fichier musical, effectuée pour générer le message d'avertissement, ne devait pouvoir donner lieu à aucune poursuite judiciaire de la part de la SCPP», écrit la société dans un communiqué.
«Cette décision n'est pas claire pour nous, notre dossier est le même que celui présenté par le Syndicat des éditeurs de logiciels de loisirs (SELL), mais adapté à la musique», poursuit Marc Guez. Le SELL a effectivement reçu le feu de la Cnil, en avril dernier, pour traquer les internautes qui s'échangent illégalement des jeux vidéo.
La seule différence, concède Marc Guez, porte sur le critère de l'infraction, qui fera ensuite l'objet de poursuites. Le Sell a promis de ne collecter les adresses IP que dans un nombre de cas limité, «caractérisés par la gravité de l'infraction». La SCPP, elle, s'appuie sur les volumes. «C'est le critère que retiennent les tribunaux pour décider ou non de poursuivre», rappelle Marc Guez. «Les critères retenus pour les jeux vidéo ne fonctionnent pas pour la musique», martèle-t-il.
Les actions judiciaires se poursuivent quand même
À la différence des ayants droit de la musique, le SELL utilise directement les fonctionnalités des réseaux P2P pour envoyer des messages aux contrefacteurs pris sur le fait, rappelle de son côté Christophe Pallez, le secrétaire général de la Cnil. Il ne sollicite jamais les FAI dans ce volet. En revanche, les ayants droit de la musique demandent que leur message d'avertissement soit envoyé à l'abonné, qui n'est pas forcément celui qui a téléchargé, souligne Christophe Pallez.
Le représentant de la Cnil se dit prêt à faire de nouvelles réunions avec les ayants droit, si nécessaire sous l'égide du ministère de la Culture, pour parvenir à un accord sur ce sujet. Marc Guez, lui, estime que les producteurs ont fait toutes les concessions nécessaires, et envisage plutôt un recours devant le Conseil d'État. Cette possibilité est actuellement à l'étude, nous a-t-il expliqué.
En revanche, les plaintes contre les internautes qui téléchargent frauduleusement vont se poursuivre. Comme c'était déjà le cas avant le refus par la Cnil des dispositifs automatisés, les ayants droit peuvent toujours opérer une surveillance manuelle des réseaux. Plus de 160 actions judiciaires ont été menées par la SCPP de cette manière, rappelle-t-elle.
Par Estelle Dumout
ZDNet France
Mardi 25 octobre 2005