Le Conseil d’Etat dans son arrêt du 23 mai 2007[1] a annulé quatre décisions de la CNIL du 18 octobre 2005 qui interdisaient à un certain
nombre de sociétés de gestion de droits d’auteurs (la SACEM, la SDRM, la SCPP et la SPPF) de mettre en oeuvre un traitement de données à caractère personnel ayant pour finalités, d'une part, la
constatation des délits de contrefaçon commis par l'intermédiaire des réseaux d'échange de fichiers peer to peer (P2P), d'autre part, l'envoi de messages pédagogiques informant les internautes
sur les sanctions prévues en matière de délit de contrefaçon.
S’agissant de la constatation des délits de contrefaçon, le Conseil d’Etat rappelle que les décisions de la CNIL du 18 octobre 2005
ont relevé que les traitements de données envisagés par les sociétés de gestion de droits d’auteurs étaient disproportionnés au regard de la finalité poursuivie, dans la mesure où ils n'avaient
pas pour objet de permettre la réalisation d'actions ponctuelles strictement limitées aux besoins de la lutte contre la contrefaçon, mais consistaient au contraire en une collecte massive de
données à caractère personnel sur Internet, et en une surveillance exhaustive et continue des réseaux P2P.
Le Conseil d’Etat dans son arrêt du 23 mai 2007 précise qu’il convient pour apprécier l'ampleur et la pertinence du dispositif
de traitement mis en place, de le rapprocher, d'une part, du nombre de titres musicaux dont les sociétés de gestion de droits d’auteurs ont pour mission d'assurer la protection et, d'autre part,
de l'importance de la pratique des échanges de fichiers musicaux sur Internet.
Sur cet aspect, le Conseil d’Etat souligne que les sociétés requérantes ont chacune la charge de la protection des droits de plusieurs
millions de titres musicaux.
Il rappelle que les sociétés de gestion de droits d’auteurs évaluent en France, annuellement, à plusieurs centaines de millions de
fichiers les échanges illégaux de titres musicaux dans le cadre des réseaux P2P.
En conséquence, la Conseil d’Etat considère que la CNIL a entaché sa décision d'une erreur d'appréciation en estimant que les
traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d'échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité
poursuivie.
Le Conseil d’Etat a ainsi validé la mise en place par les sociétés de gestion de droits d’auteurs de systèmes automatisés de
surveillance des téléchargements sur réseaux P2P, en décidant que ces dispositifs ne sont pas disproportionnés au regard de l'étendue du phénomène du piratage en
France.
A la suite de cette décision, les sociétés de gestion de droits d’auteurs vont sans nul doute, par application des dispositions des
l’article 25 3°[2] de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés, formuler à nouveau une demande d'autorisation de traitements à la CNIL, ce qui présage le retour des procédures judiciaires contre les internautes.
En revanche, concernant les messages d’information envoyés par les FAI aux internautes qui utilisent les réseaux P2P pour télécharger
des œuvres protégées, le Conseil d’État a retenu la position de la CNIL, en estimant que celle-ci « a relevé à bon droit que les traitements envisagés ayant pour finalité l’envoi de
messages pédagogiques étaient contraires aux dispositions précitées de l’article L 34-1 du code des postes et communications électroniques, telles qu’interprétées par la décision 2004-499 DC du
29 juillet 2004 du Conseil constitutionnel, en raison de ce qu’ils permettaient le traitement de données nominatives, conduisant seulement à la diffusion de messages à destination des auteurs
d’infractions, - sans avoir pour but la mise à disposition d’informations à l’autorité judiciaire pour le besoin de la poursuite des infractions pénales ».
[2] L’article 25 3° de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que : « Sont mis en oeuvre après autorisation de la Commission
nationale de l’informatique et des libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27 les traitements, automatisés ou non, portant sur des données relatives aux
infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes
concernées. »