Il y a quelques jours, la Société civile des producteurs phonographiques (SCPP) lançait une vingtaine de plaintes contre des internautes français soupçonnés de téléchargement illégal de musique. Mais dans la jungle épaisse et complexe des serveurs informatiques, il est souvent difficile de remonter jusqu'à la source et donc de savoir qui se cachent derrière les téléchargements. Si la SCPP a pu engager des poursuites contre des utilisateurs des réseaux peer-to-peer, c’est parce qu’elle a pu trouver les adresses IP de ces internautes.

La Commission nationale de l’informatique et des libertés (Cnil) s’interroge aujourd’hui sur la manière dont ont été recueillies ces fameuses adresses IP. Rappelons qu’en France, l’adresse IP est une donnée personnelle. Le recueil d’adresses IP est donc «contraire aux règles de protection des données et plus précisément à l’article 25 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui interdit la collecte de données nominatives opérée par tout moyen frauduleux, déloyal ou illicite».

De fait, explique le secrétaire général aux affaires juridiques de la Cnil, Christophe Pallez, «collecter des adresses IP, c’est faire un traitement de données personnelles. En l’état actuel du droit, ce type de traitement de données par voie informatique ou manuelle doit faire l’objet d’une déclaration préalable à la Cnil. Or il n’y pas eu de demande auprès de nos services, d’où nos interrogations». De son côté, la SCPP affirme que les adresses IP ont été choisies au hasard par des officiers publics sur les réseaux peer-to-peer. Pour Christophe Pallez «que ce travail ait été effectué par des agents assermentés ne change rien à l’affaire.Soit ces données ont fait l’objet d’un traitement informatique ou manuelle, et la procédure entre dans l’illégalité. Soit ces données ont été relevées au hasard par simple consultation sur un écran, et ce mode de collecte pourrait -la question n'est pas tranchée- être néanmoins qualifié de traitement de données car la directive de 1995 définit la consultation comme un traitement».

En effet, à l’heure actuelle, il est impossible à une société d’auteur comme la SCPP de collecter des adresses IP. Seuls, les services de police sont habilités à obtenir ce type d’informations par le biais de réquisitions judiciaires aux prestataires techniques et sous couvert d’une enquête (flagrant délit, enquête préliminaire ou commission rogatoire d’un juge d’instruction). Pour preuve, six internautes français ont été condamnés en avril dernier par le tribunal de Vannes, à des peines d’un à trois mois de prison avec sursis et des amendes pour avoir téléchargé et échangé des films sur Internet. Mais ces internautes avaient été pris en flagrant délit de téléchargement par les gendarmes et d’autres avaient été retrouvés après laissé leur adresse sur le site permettant l’échange.

Pour la Cnil, l'initiative de la SCPP n'est pas entourée de toutes les garanties juridiques mais bien entendu c'est au juge pénal d'en décider. Dans un avenir proche, la réforme de la loi «informatique et libertés» de 1978 adoptée prochainement par le Parlement va mettre en place un nouveau dispositif juridique qui va autoriser les sociétés d’auteurs après assentiment de la Cnil à pratiquer ce type de collecte de données et à constituer des fichiers d’infractions.