Une collecte d’IP opérée sur les réseaux P2P par une société de défense est-elle compatible avec le règlement européen ? La question a été posée à la Cour de justice de l’Union européenne depuis la Belgique.

Mircom International détient des droits sur des films pornos édités aux États-Unis. Cette société chypriote a collecté une masse d’adresses IP. Autant d’abonnés soupçonnés d’avoir téléchargé en P2P des fichiers issus des catalogues qu’elle se doit de défendre contractuellement.

L’entreprise a donc réclamé leur identité auprès des FAI, dont le belge Telenet. L’étape d’après est connue : les individus sont contactés directement pour se voir proposer un règlement amiable et surtout financier (voir cet article de TorrentFreak).

Telenet s’est visiblement opposé à cette communication. Le dossier a pris une direction judiciaire devant la cour de première instance d’Anvers. À cette occasion, les juridictions belges ont adressé une série de questions préjudicielles à la Cour de justice de l’Union européenne.

Ce dossier pourrait, selon le sens des réponses attendues, avoir d’importantes répercussions en Europe pour le traitement juridique des échanges en pair-à-pair.

Il est en effet demandé aux juges européens si l’ « upload », concomitant à un téléchargement descendant, équivaut à une « communication au public » s’agissant des petites briques de chaque fichier, inexploitables tant que l’œuvre n’a pas été entièrement reconstituée.

De même, les juges belges veulent savoir s’il existe un minimum à partir duquel une telle dissémination devient « communication ». Dès le premier octet ? Une qualification importante puisqu'elle conditionne juridiquement la possibilité de diligenter ensuite des actions beaucoup plus rugueuses, notamment pour contrefaçon.

D’ailleurs, ils souhaitent déterminer si cette qualité doit également être retenue lorsque la mise en partage est proposée automatiquement, sans que l’utilisateur à l’origine n’en ait finalement connaissance.

Les autres questions touchent à l’indemnisation du préjudice, mais surtout au règlement général sur la protection des données personnelles. Reprenons : la société chypriote aspire des masses d’adresses IP. Les personnes concernées, détentrices de ces IP, n’ont évidemment pas consenti à ces traitements.

Comment justifier sa licéité au regard du RGPD ?

L’article 6 du texte pose qu’un traitement de données personnelles n’est licite que dans une série de cas. En particulier lorsqu’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ».

La disposition est cependant mise en balance : l’intérêt légitime du responsable s’efface dès lors « que ne prévalent les intérêts ou les libertés et droits fondamentaux » des personnes physiques concernées.

Dans un tel cas, comment doit s’opérer cette proportionnalité ? Réponse dans quelques mois.