2. La protection des données à l'épreuve d'Internet
Quasiment inconnu lors de l'adoption de la loi « informatique et libertés » du 6 janvier 1978, d'utilisation encore confidentielle lors du vote de la directive 95/46/CE du 24 octobre 1995, Internet fait désormais partie de la vie quotidienne d'une majorité de nos concitoyens.
D'après l'étude réalisée et mise à jour en juin 2008 par le service des études et des statistiques industrielles du ministère de l'économie, des finances et de l'emploi 55 ( * ) , la proportion de ménages connectés à l'Internet à domicile a plus que doublé depuis 2001. Près de 60 % des Français disposent désormais d'une connexion à domicile ou sur leur lieu de travail ou d'études, et de plus en plus d'entre eux utilisent une connexion à haut débit 56 ( * ) leur permettant de télécharger des fichiers audio et vidéo, voire d'avoir accès à la téléphonie et à la télévision par le biais d'Internet. De fortes disparités persistent néanmoins en fonction de l'âge, du diplôme, de la profession et du milieu social : la « fracture numérique » demeure une réalité dans notre pays .
Cette tendance se retrouve largement au niveau mondial : le nombre d'internautes dans le monde aurait ainsi atteint 1,3 milliard à la fin de l'année 2007, soit près de 20 % de la population mondiale 57 ( * ) .
Largement entré dans le fonctionnement ordinaire des entreprises et des administrations comme dans la vie quotidienne de nos concitoyens, Internet offre des possibilités extrêmement riches d'échanges et de partages , selon un fonctionnement largement décentralisé qui fait fi des frontières.
Néanmoins, vos rapporteurs ont également pris conscience des menaces que pourrait faire peser sur les libertés, et en particulier sur le droit au respect de la vie privée, une utilisation totalement dérégulée d'Internet. En effet, par le nombre potentiellement illimité de données qui sont collectées, enregistrées et mémorisées à chaque instant de la navigation , Internet offre également des possibilités sans précédent de profilage, de traçage et in fine de contrôle sur l'ensemble des individus qui l'utilisent, et ce d'autant plus qu'il tend à rassembler en un réseau unique l'ensemble des technologies cloisonnées de télécommunications qui coexistaient jusqu'à présent (un réseau téléphonique, des satellites pour la télévision, un réseau « télex », des réseaux hertziens, etc.).
Ainsi, Internet présente, au regard de la protection des données, une spécificité fondamentale : alors que dans le monde réel, l'anonymat est la règle et le traçage l'exception, sur Internet, tous les actes de la navigation sont, par nature, enregistrés et mémorisés. L'enjeu, pour les Etats, consiste donc à réguler l'usage d'Internet afin d'y garantir, dans des conditions similaires à celles prévalant dans le « monde réel », le respect du droit à la vie privée, en vertu du principe de neutralité technologique .
a) Rester anonyme sur Internet : la délicate conciliation de principes parfois contradictoires
(1) L'anonymisation et l'effacement des données de connexion : principe et exceptions
De la même façon que, dans le monde réel, les individus doivent pouvoir se déplacer, s'exprimer et vivre en toute tranquillité, les internautes doivent pouvoir utiliser Internet sans que la moindre de leurs actions soit enregistrée, analysée et mémorisée. Telle est la raison pour laquelle, en France, le droit général applicable à la navigation et à la communication sur Internet repose sur un principe général d'anonymisation et d'effacement des données de connexion , posé à l'article L. 34-1 du code des postes et des communications électroniques (CPCE) 58 ( * ) .
Deux exceptions sont néanmoins apportées à ce principe général :
• D'une part, l'article L. 34-1 du même code reconnaît aux opérateurs le droit d'utiliser et de conserver un certain nombre de données techniques nécessaires à la facturation et au paiement des prestations de communications électroniques, jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement. Cette finalité tend néanmoins à perdre de son utilité avec le développement des offres d'accès illimité à Internet.
• D'autre part, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre la mise à disposition de l'autorité judiciaire d'informations, il peut être différé, pour une durée maximale d'un an , aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques.
Le champ d'application de cette disposition, introduite par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, a été étendu par la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme à l'ensemble des personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, ce qui inclut notamment les cybercafés. Une dérogation a également été introduite au principe selon lequel ces données ne peuvent être communiquées qu'à l'autorité judiciaire (voir supra ).
Ainsi, sous réserve de quelques exceptions, liées notamment à notre législation anti-terroriste, le traçage d'un internaute sur Internet ne peut être réalisé que via le recours à l'autorité judiciaire, et ce uniquement pour des motifs limitativement énumérés et sur une période n'excédant pas un an.
Néanmoins, quelle que soit la finalité retenue, les données conservées et traitées ne peuvent porter que sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.
(2) La position du Conseil constitutionnel et de la CJCE
Le cadre juridique ainsi défini a d'emblée fait l'objet de contestations , émanant en particulier de la société des auteurs, compositeurs et éditeurs de musique (SACEM) et du syndicat national de l'édition phonographique (SNEP), qui l'ont considéré comme insuffisamment protecteur du droit de la propriété intellectuelle . Ces deux organisations ont ainsi souligné la nécessité, dans le cadre de leurs actions de lutte contre le piratage sur Internet, de disposer de moyens efficaces pour repérer les transmissions illicites diffusées sur le réseau et connaître l'ampleur du trafic et de la fréquentation des sites offrant des oeuvres protégées dans des conditions illicites.
Face à ces contestations, la loi n° 2004-801 du 6 août 2004 modifiant la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a élargi la liste des personnes autorisées, en application de l'article 9 de cette loi, à mettre en oeuvre des « traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ». Cette possibilité est désormais ouverte, en l'état actuel du droit, sous réserve de l'autorisation de la CNIL et aux seules fins d'assurer la défense des droits de leurs adhérents, aux sociétés de perception et de gestion des droits d'auteur et des droits voisins ainsi qu'aux organismes de défense professionnelle.
Dans sa décision n° 2004-499 DC du 29 juillet 2004 , le Conseil constitutionnel a validé, avec des réserves d'interprétation, cette disposition, en considérant que :
- cette disposition tend à « lutter contre les nouvelles pratiques de contrefaçon qui se développent sur le réseau Internet » et répond ainsi à « l'objectif d'intérêt général qui s'attache à la sauvegarde de la propriété intellectuelle et de la création culturelle » ;
- néanmoins, « les données ainsi recueillies ne pourront , en vertu de l'article L. 34-1 du code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an » ;
- en application des dispositions de la loi du 6 janvier 1978, « la création des traitements en cause est subordonnée à l'autorisation de la CNIL » ;
- « compte tenu de l'ensemble de ces garanties et eu égard à l'objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n'est pas manifestement déséquilibrée ».
La Cour de justice des communautés européennes a fait valoir une position similaire lorsque elle a été appelée à se prononcer sur la possibilité, pour une association de gestion de droits d'auteur, d'obtenir la communication auprès d'un fournisseur d'accès à Internet, de données personnelles d'abonnés dans le cadre d'une procédure civile.
Dans sa décision Productores de Musica de España (Promusicae) du 29 janvier 2008 , la Cour a ainsi souligné le fait que « la présente demande de décision préjudicielle [soulevait] la question de la conciliation nécessaire des exigences liées à la protection de différents droits fondamentaux, à savoir, d'une part, le droit au respect de la vie privée, et, d'autre part, les droits à la protection de la propriété et à un recours effectif ».
En l'espèce, la Cour a jugé que le droit communautaire n'imposait pas aux Etats-membres de prévoir l'obligation de communiquer des données à caractère personnel en vue d'assurer la protection effective du droit d'auteur dans le cadre d'une procédure civile. Elle a néanmoins considéré que la directive « vie privée et communications électroniques » n° 2002/58 du 12 juillet 2002 ouvrait la possibilité aux Etats-membres de prévoir des exceptions à l'obligation de garantir la confidentialité des données à caractère personnel , la protection du droit de propriété et les situations dans lesquelles les auteurs cherchent à obtenir cette protection dans le cadre d'une procédure civile pouvant entrer dans le cadre de ces exceptions.
Le projet de loi favorisant la diffusion et la protection de la création sur Internet adopté les 12 et 13 mai 2009 par le Parlement s'inscrit dans le prolongement de ces jurisprudences. Le champ de l'article L. 34-1 du code des postes et des communications électroniques serait étendu au « manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle 59 ( * ) » et les données de connexion pourraient être communiquées à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet. Cette Haute Autorité, dotée du statut d'autorité administrative indépendante, disposerait de garanties d'impartialité et d'indépendance, et les titulaires des droits n'auraient pas accès aux données personnelles des internautes 60 ( * ) . Ce texte est actuellement en cours d'examen par le Conseil constitutionnel.
(3) Le débat sur le statut de l'adresse IP
Les débats qui accompagnent la conciliation du droit à la vie privée et des autres droits fondamentaux dans le cadre de l'utilisation d'Internet ont donné lieu à une controverse sur le statut juridique de l'adresse IP .
Qu'est-ce qu'une adresse IP ? Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP ( Internet Protocol ), qui utilise des adresses numériques , appelées adresses IP. Ces adresses sont composées de quatre nombres entiers compris chacun entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Chaque ordinateur relié à un réseau dispose d'une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau. De même, chaque site Internet dispose d'une adresse IP, qui peut être convertie en nom de domaine. L'attribution des adresses IP publiques relève de l'ICANN ( Internet Corporation for Assigned Names and Numbers ). Concrètement, chaque transmission de données sur le web donne lieu à l'envoi d'un « paquet de données » comprenant, quel que soit le type de communication (navigation sur le web, messagerie, téléphonie par Internet, etc.) l'adresse IP de l'expéditeur ainsi que celle du destinataire. Ainsi, lorsqu'un internaute consulte un site Internet, le serveur de ce dernier enregistre dans un fichier la date, l'heure et l'adresse IP de l'ordinateur à partir duquel la consultation a été effectuée, ainsi que les fichiers qui ont pu être envoyés. Le propriétaire du site a ainsi accès aux adresses IP des ordinateurs qui se sont connectés à son site. Dans le cas particulier des logiciels de « peer-to-peer » (logiciels permettant le partage de fichiers entre internautes), des tiers peuvent également récupérer assez facilement les adresses IP des internautes se livrant à la mise en ligne de fichiers piratés. |
En soi, et contrairement à un numéro de téléphone par exemple, l'adresse IP ne permet pas, la plupart du temps, d'identifier directement l'internaute. En effet, à la différence des entreprises ou des grandes institutions (type universités) qui disposent en général d'une adresse IP fixe, les particuliers se voient en général attribuer, par leur fournisseur d'accès, une adresse IP différente à chaque connexion. Aussi, seul le fournisseur d'accès sera capable de relier une adresse IP à une personne physique, et à condition de disposer également de l'heure et de la date de connexion 61 ( * ) .
Cette particularité de la distribution aléatoire des adresses IP par les fournisseurs d'accès à Internet a conduit la treizième chambre de la cour d'appel de Paris à considérer que l'adresse IP ne pouvait pas être considérée comme une donnée personnelle :
- dans un premier arrêt en date du 15 mai 2007, les juges ont considéré que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon » ;
- puis, dans un arrêt daté du 27 avril 2007, la cour a estimé que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ».
Ces deux décisions ont donné lieu à un certain nombre de critiques fortes. En effet, considérer que l'adresse IP ne constitue pas une donnée personnelle aboutirait à exclure du champ d'application de la loi informatique et libertés du 6 janvier 1978 modifiée et du contrôle de la CNIL l'ensemble des traitements réalisés à partir de la collecte d'adresses IP.
Ces deux décisions ont suscité la réaction du G29, qui, dans un avis du 20 juin 2007, a rappelé qu'il considérait que l'adresse IP attribuée à un internaute lors de ses communications devait être regardée comme une donnée à caractère personnel.
Cette dernière position a été suivie par la CJCE lorsque celle-ci a été appelée à se prononcer sur une affaire relative à la lutte contre le piratage (arrêt Promusicae du 29 janvier 2008 précité) 62 ( * ) .
Cette solution a enfin été confirmée à l'occasion de la révision de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : la directive 2006/24/CE 63 ( * ) dispose désormais dans son article 2 que les données à caractère personnel incluent les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur , ce qui inclut donc l'adresse IP.
En France, néanmoins, la question demeure confuse. Dans une décision rendue le 13 janvier 2009, la Chambre criminelle de la Cour de cassation a considéré que, lorsque la collecte des adresses IP s'effectue « à la main », et non au moyen d'un traitement informatique automatisé, l'autorisation de la CNIL n'est pas requise. Ce faisant, la Chambre criminelle n'a pas tranché le débat relatif au statut de l'adresse IP, ce qui semble particulièrement regrettable au regard du flou juridique qui subsiste sur cette question.
* 55 Disponible à l'adresse suivante : www.industrie.gouv.fr/sessi .
* 56 Fin mars 2008, la France comptait 16,2 millions d'abonnements à l'Internet à haut débit.
* 57 Chiffres Union internationale des télécommunications (UIT) et Cnuced.
* 58 L'article L. 34-1 du code des postes et des communications électroniques dispose, dans son paragraphe I, que les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, sont tenues d'effacer ou de rendre anonyme toute donnée relative au trafic.
* 59 Article nouveau, créé par la loi, aux termes duquel la personne titulaire de l'accès à des services de communication au public en ligne aurait l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'oeuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise.
* 60 Rapport n° 53 (2008-2009) de M. Michel Thiollière, fait au nom de la commission des affaires culturelles, déposé le 22 octobre 2008, page 45.
* 61 Tout cela sous réserve que l'adresse IP n'ait pas fait l'objet d'une usurpation de la part d'internautes malveillants, ce que permettent malheureusement à l'heure actuelle certains logiciels.
* 62 Dans cette décision, la Cour a estimé que « la communication, sollicitée par Promusicae, des noms et des adresses de certains utilisateurs de KaZaA implique la mise à disposition de données à caractère personnel, c'est-à-dire d'informations sur des personnes physiques identifiées ou indentifiables, conformément à la définition figurant à l'article 2, sous a), de la directive 95/46 ».
* 63 Relative à la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications et modifiant la directive 2002/58/CE.