Conseil d'État - 288149

Visas
Vu 1°), sous le n° 288149, la requête sommaire et le mémoire complémentaire, enregistrés les 15 décembre 2005 et 13 avril 2006 au secrétariat du contentieux du Conseil d’Etat, présentés pour La société des auteurs, compositeurs et éditeurs de musique (SACEM), dont le siège est 225, avenue Charles de Gaulle à Neuilly-sur-Seine (92200) représentée par son représentant légal ; la société des auteurs, compositeurs et éditeurs de musique (SACEM) demande au Conseil d’Etat :
 * 1) d’annuler la délibération n° 2005-235 du 18 octobre 2005 de la Commission nationale de l’informatique et des libertés (CNIL) refusant de l’autoriser à mettre en œuvre un traitement de données à caractère personnel ayant pour finalités, d’une part, la constatation des délits de contrefaçon commis par l’intermédiaire des réseaux d’échange de fichiers dénommés peer to peer, d’autre part, l’envoi de messages pédagogiques informant notamment les internautes sur les sanctions prévues en matière de délit de contrefaçon ;
 * 2) de mettre à la charge de l’Etat le versement de 3 000 euros en application des dispositions de l’article L. 761-1 du code de justice administrative ;

Vu 2°) sous le n° 288150, la requête sommaire et le mémoire complémentaire, enregistrés les 15 décembre 2005 et 13 avril 2006 au secrétariat du contentieux du Conseil d’Etat, présentés pour la Société pour l’administration du droit de reporduction mécanique des auteurs, compositeurs et éditeurs (SDRM), dont le siège social est 225, avenue Charles de Gaulle à Neuilly-sur-Seine (92200), représentée par son représentant légal ; la Société pour l’administration du droit de reporduction mécanique des auteurs, compositeurs et éditeurs (SDRM) demande au Conseil d’Etat :
 * 1) d’annuler la délibération n° 2005-238 du 18 octobre 2005 de la Commission nationale de l’informatique et des libertés refusant de l’autoriser à mettre en œuvre un traitement de données à caractère personnel ayant pour finalités, d’une part, la constatation des délits de contrefaçon commis par l’intermédiaire des réseaux d’échange de fichiers dénommés peer to peer, d’autre part, l’envoi de messages pédagogiques informant notamment les internautes sur les sanctions prévues en matière de délit de contrefaçon ;
 * 2) de mettre à la charge de l’Etat le versement de 3 000 euros en application des dispositions de l’article L. 761-1 du code de justice administrative ;

Vu, 3°) sous le n° 288215, la requête sommaire et le mémoire complémentaire, enregistrés les 19 décembre 2005 et 18 avril 2006 au secrétariat du contentieux du Conseil d’Etat, présentés pour la Société civile des producteurs phonographiques (SCPP), dont le siège social est 14, boulevard du Général-Leclerc, à Neuilly-sur-Seine (92527 cedex), représentée par ses représentants légaux ; la Société civile des producteurs phonographiques (SCPP) demande au Conseil d’Etat :
 * 1) d’annuler la délibération n° 2005-236 du 18 octobre 2005 de la Commission nationale de l’informatique et des libertés refusant de l’autoriser à mettre en œuvre un traitement de données à caractère personnel ayant pour finalités, d’une part, la constatation des délits de contrefaçon commis par l’intermédiaire de réseaux d’échange de fichiers dénommés peer to peer, d’autre part, l’envoi de messages pédagogiques informant notamment les internautes sur les sanctions prévues en matière de délit de contrefaçon ;
 * 2) de mettre à la charge de l’Etat le versement de 3 000 euros en application des dispositions de l’article L. 761-1 du code de justice administrative ;

Vu 4°) sous le n° 288449, la requête sommaire et le mémoire complémentaire, enregistrés les 23 décembre 2005 et 24 avril 2006 au secrétariat du contentieux du Conseil d’Etat, présentés pour la Société civile des producteurs de phonogrammes en France (SPPF), dont le siège social est 22-24, rue de Courcelles à Paris (75008), représentée par son gérant en exercice ; la Société civile des producteurs de phonogrammes en France (SPPF) demande au Conseil d’Etat :
 * 1) d’annuler la délibération n° 2005-237 du 18 octobre 2005 de la Commission nationale de l’informatique et des libertés refusant de l’autoriser à mettre en œuvre un traitement de données à caractère personnel ayant pour finalités, d’une part, la constatation des délits de contrefaçon commis par l’intermédiaire de réseaux d’échange de fichiers dénommés peer to peer, d’autre part, l’envoi de messages pédagogiques informant notamment les internautes sur les sanctions prévues en matière de délit de contrefaçon ;
 * 2) de mettre à la charge de l’Etat le versement de 3 500 euros en application des dispositions de l’article L. 761-1 du code de justice administrative ;

Vu les autres pièces des dossiers ; le code des postes et des communications électroniques, notamment son article L. 34-1 ; le code de la propriété intellectuelle, notamment ses articles L. 321-1 et L.331-1 ; la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée ; la décision n° 2004-499 DC du 29 juillet 2004 du Conseil constitutionnel ; le code de justice administrative ;

Motifs
Considérant que les requêtes de la société des auteurs, compositeurs et éditeurs de musique (SACEM), de la Société pour l’administration du droit de reporduction mécanique des auteurs, compositeurs et éditeurs (SDRM), de la Société civile des producteurs phonographiques (SCPP) et de la Société civile des producteurs de phonogrammes en France (SPPF) présentent à juger les mêmes questions ; qu’il y lieu de les joindre pour statuer par une seule décision ;

Considérant qu’aux termes des dispositions de l’article L. 34-1 du code des postes et des communications électroniques : ''« (…) II. - Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques (…) V. - Les données conservées et traitées dans les conditions définies aux II, III et IV portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux (…)./ La conservation et le traitement de ces données s’effectuent dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés »'' ;

Considérant qu’aux termes de l’article 6 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (…) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » ; que l’article 9 de cette même loi dispose que : « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par : (…) 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits » et qu’aux termes de l’article 25 de la même loi : « I. Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés (CNIL), à l’exclusion de ceux mentionnés aux articles 26 et 27 : (…) 3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées » ;

Considérant que, sur la base de ces dispositions, les quatre sociétés requérantes, personnes morales telles que mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, ont sollicité de la Commission nationale de l’informatique et des libertés (CNIL) l’autorisation de mettre en œuvre des traitements de données à caractère personnel ayant pour finalité principale la constatation des délits de contrefaçon d’œuvres musicales commis sur « internet » via les réseaux d’échange de fichiers dénommés « peer to peer » et permettant également l’envoi de messages pédagogiques informant les internautes des sanctions prévues en matière de délit de contrefaçon d’œuvres musicales ; que les traitements prévus à cette fin par les sociétés requérantes comportaient deux phases ; que la première phase dite de « calibrage/ciblage », se déroulant pendant une période de 24 heures, avait pour objet d’identifier les internautes mettant gratuitement de manière régulière à disposition de tiers des fichiers musicaux ; qu’à l’issue de cette première phase, les internautes ayant gratuitement mis à disposition moins de 50 fichiers musicaux pendant la période de référence avaient seulement vocation à recevoir un message d’avertissement leur signalant les conséquences juridiques de la pratique de la contrefaçon ; qu’en revanche, les internautes ayant pendant cette première phase mis à disposition plus de 50 fichiers musicaux à des tiers étaient sélectionnés pour faire l’objet d’un contrôle renforcé pendant une seconde phase dite de « ciblage avancé »consistant pendant une période de quinze jours, en une surveillance des intéressés ; qu’au terme de cette période, les internautes ayant gratuitement mis à disposition de tiers entre 500 et 1000 fichiers musicaux avaient vocation à faire l’objet de poursuites devant le juge civil ; que les internautes ayant gratuitement mis à disposition plus de 1000 fichiers musicaux étaient susceptibles de faire l’objet de poursuites pénales ;

Considérant que la Commission nationale de l’informatique et des libertés, par les quatre décisions attaquées en date du 18 octobre 2005, a refusé d’accorder les autorisations demandées ;

Considérant, en premier lieu, que la Commission nationale de l’informatique et des libertés a relevé que les traitements envisagés étaient disproportionnés au regard de la finalité poursuivie dans la mesure où ils n’avaient pas pour objet de permettre la réalisation d’actions ponctuelles strictement limitées aux besoins de la lutte contre la contrefaçon mais consistaient au contraire en une collecte massive de données à caractère personnel sur internet et en une surveillance exhaustive et continue des réseaux d’échanges de fichiers dénommés « peer to peer » ;

Considérant qu’il ressort toutefois des pièces du dossier que les traitements envisagés par les sociétés requérantes ne portaient simultanément que sur quelques-uns des protocoles « peer to peer » permettant l’échange des fichiers musicaux sur internet ; que si les sociétés requérantes s’étaient engagées à constituer une base commune de contrôle portant simultanément sur 10 000 titres musicaux, faisant l’objet d’une actualisation hebdomadaire à hauteur de 10 % des titres composant la base, il convient ; pour apprécier l’ampleur et la pertinence de ce dispositif de traitement, de le rapprocher, d’une part, du nombre de titres musicaux dont les sociétés requérantes ont pour mission d’assurer la protection et, d’autre part, de l’importance de la pratique des échanges de fichiers musicaux sur « internet » ; que les sociétés d’auteurs, compositeurs requérantes ont chacune la charge de la protection des droits de plusieurs millions de titres musicaux ; que les sociétés requérantes évaluent en France, annuellement, sans être contredites sur ce point, à plusieurs centaines de millions de fichiers les échanges illégaux de titres musicaux dans le cadre de ces réseaux ; que par suite, en estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d’échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité poursuivie, la CNIL a entaché sa décision d’une erreur d’appréciation ;

Considérant, en deuxième lieu, qu’en l’absence de toute disposition législative en ce sens, la CNIL ne pouvait légalement refuser d’accorder les autorisations sollicitées au motif que les traitements envisagés reposaient uniquement sur des critères quantitatifs ; qu’elle a également commis une erreur d’appréciation en estimant que ces critères quantitatifs étaient dépourvus de pertinence eu égard à la finalité du traitement envisagé ;

Considérant, enfin, que si la Commission nationale de l’informatique et des libertés a relevé à bon droit que les traitements envisagés ayant pour finalité l’envoi de messages pédagogiques étaient contraires aux dispositions précitées de l’article L. 34-1 du code des postes et communications électroniques, telles qu’interprétées par la décision 2004-499 DC du 29 juillet 2004 du Conseil constitutionnel, en raison de ce qu’ils permettaient le traitement de données nominatives, conduisant seulement à la diffusion de messages à destination des auteurs d’infractions, - sans avoir pour but la mise à disposition d’informations à l’autorité judiciaire pour le besoin de la poursuite des infractions pénales, ce motif de refus ne porte que sur une partie des traitements envisagés, lesquels revêtent chacun un caractère indivisible ; que par suite, il ne saurait justifier à lui seul les décisions attaquées ;

Considérant qu’il résulte de ce qui précède que les sociétés requérantes sont fondées à demander l’annulation des quatre délibérations attaquées de la CNIL rejetant leur demande d’autorisation de mise en œuvre de traitements de données à caractère personnel ;

Sur les conclusions tendant à l’application des dispositions de l’article L. 761-1 du code de justice administrative :

Considérant qu’il y a lieu, dans les circonstances de l’espèce, de mettre à la charge de l’Etat le versement à chacune des quatre sociétés requérantes d’une somme de 3 000 euros en application des dispositions de l’article L. 761-1 du code de justice administrative…(Annulation des décisions n° 2005-235, n° 2005-236, n° 2005-237 et n° 2005-238 de la Commission nationale de l’informatique et des libertés en date du 18 octobre 2005 ; Condamnation de l’État à verser la somme de 3 000 euros en premier lieu à la société des auteurs, compositeurs et éditeurs de musiqueS (SACEM), en deuxième lieu à la Société pour l’administration du droit de reporduction mécanique des auteurs, compositeurs et éditeurs, en troisième lieu à la Société civile des producteurs phonographiques et enfin à la Société civile des producteurs de phonogrammes en France en application des dispositions de l’article L. 761-1 du code de justice administrative.)