La CJUE juge licite le recueil systématique d’adresses IP
Dans une décision rendue le 17 juin 2021, la Cour de justice de l’Union européenne a estimé que le recueil systématique, par un titulaire de droits, des adresses IP des internautes prenant part à des réseaux de peer-to-peer était conforme au RGPD.
Une société disposant de droits sur des films a constaté que des utilisateurs téléchargeaient illégalement ces films sur des réseaux de peer-to-peer. Après avoir collecter les adresses IP relatives aux téléchargements illégaux, la société a présenté une demande d’information au fournisseur d’internet de ces adresses IP afin de se voir communiquer les données d’identifications, ce que le fournisseur a refusé.
C’est dans ce contexte que le tribunal belge compétent pour connaître de ce litige a posé à la CJUE plusieurs questions préjudicielles, dont une portait sur la licéité du recueil des adresses IP et de la demande d’information visant à se faire communiquer l’identité des détenteurs de ces adresses IP de la société titulaire des droits au regard du Règlement général sur la protection des données 2016/679 (RGPD) et de la directive « vie privée et commerce électronique » 2002/58/CE.
En se fondant sur l’article 6(1)(f) du RGPD, la CJUE a rappelé les trois conditions au traitement des données à caractère personnel :
(i) La poursuite d’un intérêt légitime ;
(ii) La nécessité à la réalisation de l’intérêt légitime poursuivi ;
(iii) Les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne doivent pas prévaloir, auquel cas le traitement sera illicite d’office.
La CJUE a ainsi appliqué ces conditions à l’espèce, en considérant préalablement que la défense des droits de propriété constitue un intérêt légitime. A ce titre, la collecte des adresses IP et la demande d’information subséquente peuvent être considérées comme nécessaire dans la mesure où « l’identification du détenteur de la connexion n’est souvent possible que sur la base de l’adresse IP et des informations fournies par le fournisseur d’accès à internet ». Enfin, « les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le règlement 2016/679 lui-même. »
En outre, la CJUE considère que le RGPD n’est pas incompatible avec « l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair (peer-to-peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58 »
Cette décision pose donc le principe de la recherche d’un équilibre entre la protection des données à caractère personnel et des droits de la propriété intellectuelle.
Par Xenia Bodiansky et l’équipe IP-IT du cabinet UGGC Avocats
