Mise en œuvre du droit en ligne: Deux changements dans le droit suisse que vous devriez connaître (1ère partie)

21 mars 2021

Série d'articles "Mise en œuvre du droit en ligne" (n° 7)

Le droit suisse a récemment été révisé à deux égards. Les deux changements concernent la protection des données et ont un impact direct sur la poursuite des infractions en ligne.

Premièrement, depuis le 1er avril 2020, les adresses IP peuvent (à nouveau) être traitées à des fins de lutte contre le piratage. Deuxièmement, à partir du 1er janvier 2021, aucune donnée personnelle n'est plus publiée dans le WHOIS pour les noms de domaine .ch. Cet article traite du premier changement. Le deuxième changement sera abordé dans la deuxième partie.

Partie 1: Le renforcement des outils pour la lutte contre le piratage dans la loi sur le droit d'auteur au détriment de la protection des données

La Loi fédérale sur le droit d'auteur (LDA) légalise la documentation des adresses IP des auteurs d’infractions au droit d'auteur, donnant ainsi aux titulaires de droits des moyens renforcés pour lutter contre le piratage. Cependant, le nouvel art. 77i LDA est déjà en retard sur la réalité (du streaming) d'aujourd'hui.

De quoi s'agit-il ?

Lorsqu'ils détectent une infraction au droit d'auteur en ligne, les titulaires de droits sont souvent confrontés à la difficulté d’identifier l’auteur de l’atteinte. Souvent, les sites web sur lesquels se trouve le matériel portant atteinte aux droits d'auteur ne comportent pas d’impressum (permettant d'identifier et d'avertir la personne responsable du contenu) ou s’ils en comportent un, les avertissements envoyés à l’adresse y figurant sont tout simplement ignorés.

Des difficultés similaires se posent lorsque les infractions ne sont pas commises par l'intermédiaire d'un site web, mais que des réseaux dits "peer-to-peer" (P2P) (ordinateurs privés mis en réseau directement les uns avec les autres à l'aide d'un logiciel spécifique) sont utilisés pour échanger des contenus de manière à porter atteinte au droit d'auteur.

Dans ces cas, le seul moyen pour les titulaires des droits d'identifier et de poursuivre les parties responsables est le droit pénal.

Le point de départ de l’identification est l'adresse de protocole internet (adresse IP). Cette adresse est attribuée aux appareils connectés à l'internet, ce qui les rend adressables et donc accessibles. Les adresses IP statiques sont attribuées de manière permanente à un ordinateur ou au serveur d'un site web et sont comparables au numéro de téléphone fixe ou à l'adresse postale d'une personne. Les adresses IP dynamiques, en revanche, peuvent changer constamment. Un routeur qui se connecte à l'internet se voit attribuer une adresse IP qui n'est pas utilisée à d'autres fins à ce moment-là. Si une nouvelle connexion est établie ultérieurement, une adresse IP différente (disponible à ce moment-là) peut lui être attribuée (dans certaines circonstances). Les fournisseurs d'accès à Internet (FAI) sont tenus par la loi d'enregistrer l'attribution des adresses IP à leurs clients, ce qui permet de déterminer à qui une adresse IP a été attribuée à un moment donné.

Étant donné qu'un fournisseur d'accès à Internet attribue généralement une adresse IP dynamique à un internaute privé et que cette adresse change régulièrement, les autorités chargées de l'application de la loi ont besoin non seulement de l'adresse IP associée à l'infraction, mais aussi d'informations sur la date et l'heure de l'infraction afin d'identifier l'abonné concerné (et, en fin de compte, de poursuivre une infraction spécifique au droit d'auteur).

Par conséquent, pour une mise en œuvre efficace, les titulaires de droits doivent non seulement identifier l'œuvre contrefaite, mais aussi documenter la date et l'heure de la contrefaçon et l'adresse IP correspondante.

Toutefois, cette documentation a récemment été entachée d'incertitudes, et les instruments juridiques de lutte contre la piraterie contenus dans la LDA se sont révélés insuffisants.

L'arrêt "Logistep" du Tribunal fédéral suisse et les inquiétudes du représentant américain pour le commerce

Selon l'arrêt du Tribunal fédéral du 8 septembre 2010 (ATF 136 II 508 ss, cons. 6.3.3, "Logistep"), la documentation des adresses IP par les titulaires de droits n'était pas conforme à la Loi fédérale sur la protection des données (LPD), et donc illicite. Par conséquent, les informations obtenues sur la base de ce traitement illégal des données ne pouvaient plus être utilisées dans le cadre d'une procédure pénale. Dans cet arrêt, le Tribunal fédéral suisse a clarifié que le seul moyen adéquat d'adapter le droit d'auteur aux nouvelles technologies serait la législation, et non la jurisprudence.

Avec l'article 77i de la Loi fédérale suisse sur le droit d'auteur (LDA), le législateur suisse a désormais créé une base juridique explicite pour autoriser le traitement des données susmentionnées.

Avec ce changement législatif, le législateur suisse répond également aux préoccupations exprimées par le représentant américain au commerce dans le Special-301-Report de 2016. Ce rapport annuel sur la protection mondiale des droits de propriété intellectuelle contient, entre autres, une liste dite de surveillance (« watch list ») qui énumère les pays qui, selon les USA, présentent des lacunes en matière de protection des droits de propriété intellectuelle. À la demande de l'industrie américaine du droit d'auteur, la Suisse (dans le contexte du piratage en ligne mentionnée au même titre que la Chine, la Russie, l'Ukraine, l'Inde, le Brésil et le Canada) a été placée sur cette liste de surveillance pour la première fois en 2016 et y est restée jusqu'en avril 2020. Bien que cela n'ait pas eu de conséquences juridiques, politiques ou économiques immédiates, cela a certainement affecté négativement les relations bilatérales entre la Suisse et les États-Unis. La Suisse a finalement été retirée de ladite liste de surveillance dans le dernier rapport spécial-301 de 2020.

La nouvelle base juridique

Avec le nouvel article 77i LDA, le législateur suisse fournit une base légale pour le traitement des données personnelles des auteurs d’infractions au droit d'auteur. Il est libellé comme suit:

¹ Le titulaire des droits qui subit une violation de son droit d’auteur ou d’un droit voisin est autorisé à traiter des données personnelles pour autant que cela soit nécessaire pour déposer une plainte ou une dénonciation pénale et qu’il puisse accéder légalement à ces données. Il peut également utiliser ces données pour faire valoir des conclusions civiles par voie d’adhésion ou pour les faire valoir au terme de la procédure pénale.

² Il est tenu de déclarer publiquement le but, le type de données traitées et l’étendue de leur traitement.

³ Il n’est pas autorisé à combiner les données personnelles visées à l’al. 1 avec des données qui ont été collectées dans d’autres buts.

Traitement des données personnelles

Sont des données personnelles au sens de l'art. 77i al. 1 LDA toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 lit. a LPD). Dans la mesure où les adresses IP peuvent être attribuées sans ambiguïté à un ordinateur et permettent ainsi d'identifier un utilisateur spécifique ou un groupe d'utilisateurs, elles sont généralement considérées comme des données personnelles.

Le terme "traitement" doit être compris au sens de l'art. 3 lit. e LPD. Il couvre toute manipulation de données personnelles, telle que la collecte, la conservation, l'utilisation, l'archivage ou la communication.

Les données personnelles peuvent également être traitées à d'autres fins et pour la poursuite d'autres violations de droits

L'art. 77i est une disposition spécifique pour le traitement des données personnelles par les titulaires de droits "aux fins de déposer une plainte pénale ou de signaler une infraction pénale en cas d'atteinte aux droits d'auteur et aux droits voisins". Si les exigences de cette disposition sont remplies, la violation des droits de la personnalité associée au traitement de données correspondant est "justifiée par la loi" selon l'art. 13 al. 1 LPD - il n'est donc pas nécessaire de procéder à la pesée des intérêts en présence prévue à l'art. 13 al. 2 LPD.

A l'inverse, cela ne signifie pas que le traitement des données personnelles à d'autres fins et pour la poursuite d'autres violations de droits soit exclu - ce (autre) traitement est simplement régi exclusivement par la LPD.

Collecte licite de données

Selon l'art. 77i al. 1 LDA, les titulaires de droits ne peuvent traiter que les données personnelles auxquelles ils peuvent "accéder légalement".

Il ne s'agit pas là d'un renvoi au traitement des données personnelles selon la LPD, mais signifie plutôt que les données personnelles ne doivent pas être collectées en violant des dispositions du droit suisse (autres que la LPD) et qui visent directement ou indirectement la protection de la personnalité (comme le hacking selon l'art. 143bis du Code pénal suisse (CP)).

Titulaires de droits

Selon le libellé de l'art. 77i al. 1 LDA, seuls "le titulaire des droits qui subit une violation de son droit d’auteur ou d’un droit voisin" peut invoquer cette disposition.

Toutefois, au-delà de cette formulation, un titulaire de droits peut déléguer le traitement à un tiers (art. 10a LPD). En outre, selon l'interprétation téléologique (le but de la loi est de lutter efficacement contre le piratage), les représentants légaux des titulaires de droits - qui sont eux-mêmes des responsables (conjoints) du traitement au sens de la loi sur la protection des données - doivent également pouvoir traiter les données personnelles des auteurs d’infractions au droit d'auteur.

Obligation de divulgation

Selon l'art. 77i al. 2 LDA, les titulaires de droits doivent "déclarer publiquement le but, le type de données traitées et l’étendue de leur traitement".

Pour la personne concernée, chaque type de collecte de données et de traitement ultérieur des données doit être évident. Cela signifie que les personnes concernées doivent s’attendre, eu égard aux circonstances, à la collecte de données ou être informées en conséquence.

Selon le Message du Conseil fédéral suisse du 22 novembre 2017 relatif à la modification de la loi sur le droit d’auteur, à l’approbation de deux traités de l’Organisation Mondiale de la Propriété Intellectuelle et à leur mise en oeuvre  (ci-après "Message LDA 2017"; p. 58), la communication sur le site Internet du responsable du traitement des données (à savoir dans le cadre de la politique de confidentialité) devrait être suffisante, bien que de cette façon, il paraisse douteux que les pirates voient cette information (ce que l'objectif de l'art. 77i al. 2 LDA exigerait en fait).

En vertu de la LPD révisée (dont l'entrée en vigueur est prévue en 2022), les responsables du traitement sont soumis à une obligation d'information plus étendue lors de la collecte de données personnelles (art. 19 LPD révisée). Toutefois, sur la base de l'art. 19 al. 1 lit. b revLPD, cette obligation d'information ne s'applique pas en cas de traitement de données à caractère personnel effectué en vertu de l'art. 77i LDA. Même dans le cas où des données personnelles sont traitées dans le cadre de la lutte contre la piraterie, mais en dehors de l'art. 77i LDA, on pourrait toujours faire valoir que l'information irait à l'encontre de la finalité du traitement et que, par conséquent, il n'y a pas d'obligation d'informer en vertu de l'art. 19 revLPD (art. 19 al. 3 lettre b revLPD).

Principe de proportionnalité

Selon l'art. 77i al. 1 LDA, le traitement des données personnelles doit être  nécessaire pour déposer une plainte pénale ou pour dénoncer une infraction pénale.

Selon le Message LDA 2017, les ayants droit ne peuvent donc traiter que les données dont ils ont effectivement besoin et qui sont raisonnablement proportionnées au regard de la finalité du traitement et de la violation des droits de la personne.

Tout d'abord, il convient de noter que cette disposition s'applique exclusivement au traitement des données personnelles destinées à être utilisées dans le cadre de procédures pénales. Le traitement des données personnelles en dehors de cette finalité est régi par la LPD.

Par exemple, les titulaires de droits peuvent collecter les adresses IP des réseaux P2P afin de documenter les infractions au droit d'auteur commises et fournir ensuite ces données aux autorités chargées des poursuites.

La question de savoir quel traitement de données est encore "nécessaire" en ce sens (et lequel ne l'est pas) est à concrétiser dans la pratique - il appartiendra en définitive aux autorités/juridictions chargées des poursuites de peser soigneusement les intérêts contradictoires et de décider de la proportionnalité (et donc de l'utilisation des données collectées dans le cadre de la procédure pénale). Cependant, il semble clair que le fait que les autorités pénales se basent ou non sur les données personnelles en question dans le cadre de leurs activités d'enquête ne devrait pas avoir d'importance. Il semble également clair que les titulaires de droits doivent limiter autant que possible leur traitement des données à caractère personnel aux auteurs présumés des infractions.

Interdiction d'établir des liens avec d'autres données

L’art. 77i al. 3 LDA consacre le principe d’une finalité limitée. En conséquence, les titulaires de droits ne doivent pas relier les données personnelles traitées en vertu de cette disposition avec des données collectées à d'autres fins.

Si un titulaire de droits collecte des données dans le même contexte, mais pas en vue de procédures pénales et des demandes civiles associées, il doit en outre conserver ces données séparément des données personnelles traitées en vertu de l'art. 77i LDA.

Aucune base pour le traitement des données personnelles à des fins de droit civil

Le traitement controversé de données à caractère personnel par les titulaires de droits à des fins de droit purement civil n'a pas été inclus dans la LDA révisé. Cela aurait permis aux titulaires de droits d'utiliser les données personnelles collectées en dehors d'une procédure pénale pour identifier les personnes ayant commis des infractions graves au droit d'auteur. Or, l'utilisation dans le cadre d'une procédure pénale est bel et bien une condition préalable pour le traitement de données personnelles selon l’art 77i LDA.

En effet, une solution supplémentaire ou même purement civile impliquerait une violation du secret des télécommunications pour faire valoir des droits civils. En effet, dans le droit actuel, le secret des télécommunications ne peut être violé que pour faire valoir des prétentions de droit pénal.

Toutefois, l'utilisation des données à caractère personnel traitées pour faire valoir des conclusions civiles par adhésion, ou pour les faire valoir après la conclusion de la procédure pénale, est expressément autorisée. La condition préalable est donc toujours un rapport avec la procédure pénale, c'est-à-dire une base délictuelle pour l'action civile.

Problème (seulement) partiellement résolu

L'art. 77i LDA offre une marge de manœuvre supplémentaire pour la collecte secrète de données personnelles à des fins de lutte contre le piratage dans le domaine du droit d'auteur - toutefois, uniquement dans le cadre d'une procédure pénale.

En créant l'art. 77i LDA, le législateur avait surtout en tête l'arrêt "Logistep", et donc la lutte contre les atteintes au droit d'auteur dans les réseaux P2P.

Cependant, le cas d'utilisation de "Logistep" ne correspond plus à la réalité d'aujourd'hui: même si les réseaux P2P existent toujours, la distribution de contenus illégaux se fait aujourd'hui beaucoup plus fréquemment via des serveurs de streaming et des hébergeurs de partage (« sharehosters »).

Dans les réseaux P2P, les participants individuels peuvent être identifiés (via leur adresse IP) et tenus responsables des violations des droits d'auteur. À l'inverse, lors de la diffusion en continu ou du téléchargement via un hébergeur en un clic, les utilisateurs peuvent largement se cacher derrière les serveurs de diffusion en continu ou les hébergeurs de partage qui accumulent les adresses IP des utilisateurs. Ces serveurs/hébergeurs sont régulièrement éloignés de la juridiction suisse et les fournisseurs respectifs n'ont aucun intérêt à conserver les adresses IP plus longtemps que nécessaire.

Néanmoins, il existe d'autres cas dans lesquels le traitement des données personnelles peut être fondé sur l'art. 77i LDA - par exemple, le traitement de données dans le cadre de la lutte contre le piratage par un fournisseur privé de preuves numériques ou par une association industrielle.

Cependant, il est également un fait qu'il devient de plus en plus difficile pour les titulaires de droits d'identifier les auteurs d’infraction - notamment en raison de la récente modification de la loi concernant la non-publication des données personnelles dans le WHOIS (voir la deuxième partie de cet article - à suivre).

Pour plus d'informations:

• Special-301-Rapport 2016 du représentant américain au commerce
• Special-301-Rapport 2020 du représentant américain au commerce ;
• Message du Conseil fédéral suisse du 22 novembre 2017 sur la modification de la LDA et sur l'approbation de deux accords de l'OMPI et leur mise en œuvre .

Notre série "Mise en œuvre du droit en ligne" traite des particularités de la mise en oeuvre du droit sur Internet.

Autres articles dans cette série:

• Application de la loi en ligne: Le rôle du répertoire WHOIS (n° 1 ; en anglais)
• Le rôle des fournisseurs d'hébergement (n° 2, en anglais)
• Mise en œuvre du droit en ligne: Instruments contre la piraterie sur Internet dans la nouvelle loi suisse sur le droit d'auteur (n° 3 ; en anglais)
• Les atteintes en ligne aux droits de propriété intellectuelle dans l'UE et en Suisse (n° 4 ; en anglais)
• Défense contre l'importation de contrefaçons en Suisse: Quels sont les pièges ? (n° 5 ; en anglais)
• Contrefaçon et petits envois - procédure simplifiée de destruction (en français)
• Exécution en ligne: Deux changements dans le droit suisse que vous devriez connaître (n° 7 - 2ème partie; en français) 

Personnes de contact: Jonas D. Gassmann (Zurich) et Lorenz Ehrler (Genève)

Auteur: Jonas D. Gassmann