CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2011:753

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. NIILO JÄÄSKINEN

présentées le 17 novembre 2011 (1)

Affaire C‑461/10

Bonnier Audio AB,

Earbooks AB,

Norstedts Förlagsgrupp AB,

Piratförlaget Aktiebolag,

Storyside AB

contre

Perfect Communication Sweden AB («ePhone»)

[demande de décision préjudicielle formée par le Högsta domstolen (Suède)]

«Droit d’auteur et droits voisins — Droit à une protection effective de la propriété intellectuelle — Directive 2004/48/CE — Article 8 — Protection des données à caractère personnel — Communications électroniques — Conservation de certaines données générées — Transmission de données à caractère personnel à des particuliers — Directive 2002/58/CE — Article 15 — Directive 2006/24/CE — Article 4 — Audiolivres — Partage de fichiers — Injonction judiciaire adressée à un fournisseur d’accès à Internet de divulguer le nom et l’adresse d’un utilisateur d’adresse IP»

I – Introduction

1. La demande de décision préjudicielle porte sur l’interprétation des articles 3 à 5 et 11 de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (2), ainsi que sur celle de l’article 8 de la directive 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle (3).

2. Cette demande a été présentée par le Högsta domstolen (Cour suprême, Suède) dans le cadre d’un litige opposant les sociétés Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag et Storyside AB (ci-après, ensemble, «Bonnier Audio e.a.») à Perfect Communication Sweden AB (ci-après «ePhone») au sujet de la contestation opposée par cette dernière à une demande d’injonction de communication de données introduite par Bonnier Audio e.a., aux fins d’identifier un abonné déterminé.

3. La protection des données à caractère personnel est un domaine transversal qui ne cesse de soulever un certain nombre de questions dans différents domaines. Elle constitue un droit fondamental [article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la «charte des droits fondamentaux»)] à l’instar du droit au respect de la vie privée et familiale (article 7 de la charte des droits fondamentaux), qui doit être souvent mis en balance avec un autre droit fondamental garanti par l’ordre juridique de l’Union, tel que la protection de la propriété intellectuelle (article 17 de la charte des droits fondamentaux) (4). En droit dérivé, deux directives constituent les textes de référence, à savoir la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (5), et la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (6). Lesdites directives ont été complétées par la directive 2006/24.

4. Le caractère novateur et souvent délicat des questions relatives à la protection des données à caractère personnel ressort également du fait qu’un grand nombre des affaires portées devant la Cour ont donné lieu à un arrêt de la grande chambre, notamment en ce qui concerne l’interprétation de la directive 95/46 (7).

5. La Cour a déjà eu plusieurs occasions de se prononcer sur l’interprétation de la directive 2006/24. La question juridique soulevée par la présente affaire se distingue toutefois de celles qui sous-tendaient les affaires jusqu’à présent tranchées (8). En l’espèce, la juridiction de renvoi s’interroge en particulier sur la question de savoir s’il y a lieu de compléter l’interprétation donnée dans les affaires ayant donné lieu à l’arrêt Promusicae, précité, et à l’ordonnance LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, précitée (9), à la suite de l’adoption de la directive 2006/24.

II – Le cadre juridique

A – Le droit de l’Union

1. Les droits de propriété intellectuelle

6. La directive 2004/48 établit des normes relatives au respect des droits de propriété intellectuelle.

7. L’article 8 de la directive 2004/48 est libellé comme suit:

«1. Les États membres veillent à ce que, dans le cadre d’une action relative à une atteinte à un droit de propriété intellectuelle et en réponse à une demande justifiée et proportionnée du requérant, les autorités judiciaires compétentes puissent ordonner que des informations sur l’origine et les réseaux de distribution des marchandises ou des services qui portent atteinte à un droit de propriété intellectuelle soient fournies par le contrevenant et/ou toute autre personne qui:

a) a été trouvée en possession des marchandises contrefaisantes à l’échelle commerciale;

b) a été trouvée en train d’utiliser des services contrefaisants à l’échelle commerciale;

c) a été trouvée en train de fournir, à l’échelle commerciale, des services utilisés dans des activités contrefaisantes; ou

d) a été signalée, par la personne visée aux points a), b) ou c), comme intervenant dans la production, la fabrication ou la distribution des marchandises ou la fourniture des services.

2. Les informations visées au paragraphe 1 comprennent, selon les cas:

a) les noms et adresses des producteurs, fabricants, distributeurs, fournisseurs et autres détenteurs antérieurs des marchandises ou des services, ainsi que des grossistes destinataires et des détaillants;

b) des renseignements sur les quantités produites, fabriquées, livrées, reçues ou commandées, ainsi que sur le prix obtenu pour les marchandises ou services en question.

3. Les paragraphes 1 et 2 s’appliquent sans préjudice d’autres dispositions législatives et réglementaires qui:

[…]

e) régissent la protection de la confidentialité des sources d’information ou le traitement des données à caractère personnel.»

2. La protection des données à caractère personnel

8. Le cadre juridique pertinent, en la matière, consiste en trois directives, à savoir les directives 95/46, 2002/58 et 2006/24.

a) La directive 95/46

9. La directive 95/46 impose aux États membres d’assurer la protection des droits et des libertés des personnes physiques à l’égard du traitement de données à caractère personnel en établissant des principes directeurs déterminant la licéité dudit traitement.

b) La directive 2002/58

10. La directive 2002/58 traduit les principes énoncés dans la directive 95/46 en règles spécifiques destinées au secteur des communications électroniques.

11. Les dispositions de l’article 5, paragraphe 1, de la directive 2002/58 prévoient que les États membres doivent garantir la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public ainsi que des données relatives au trafic y afférentes, et doivent notamment interdire, en principe, à toute autre personne que les utilisateurs de stocker ces données sans le consentement des utilisateurs concernés. Les seules exceptions à ce principe sont celle en faveur des personnes légalement autorisées, au sens de l’article 15, paragraphe 1, de ladite directive et celle relative au stockage technique nécessaire à l’acheminement d’une communication. En outre, l’article 6, paragraphe 1, de la directive 2002/58 prévoit que les données relatives au trafic qui sont stockées doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sans préjudice des paragraphes 2, 3 et 5 du même article ainsi que de l’article 15, paragraphe 1, de cette directive.

12. Aux termes de l’article 15, paragraphe 1, de la directive 2002/58 les États membres peuvent adopter des mesures législatives visant à limiter la portée, notamment, de l’obligation de garantir la confidentialité des données relatives au trafic lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale — c’est-à-dire la sûreté de l’État —, la défense et la sécurité publique ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46.

c) La directive 2006/24

13. La directive 2006/24 concerne pour sa part la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

14. L’article 1^er, paragraphe 1, de la directive 2006/24 dispose comme suit:

«La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.»

15. Les dispositions de la directive 2006/24 tendent au rapprochement des législations nationales concernant l’obligation de conservation de données (article 3), les catégories de données à conserver (article 5), la durée de conservation des données (article 6), la protection et la sécurité des données (article 7) ainsi que les conditions de stockage de celles-ci (article 8).

16. L’article 3, paragraphe 1, de ladite directive est ainsi rédigé:

«Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.»

17. L’article 4 de la même directive précise:

«Les États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme.»

18. L’article 5 de la directive 2006/24 énonce:

«1. Les États membres veillent à ce que soient conservées en application de la présente directive les catégories de données suivantes:

[…]

2) en ce qui concerne l’accès à l’internet, le courrier électronique par l’internet et la téléphonie par l’internet:

i) le(s) numéro(s) d’identifiant attribué(s);

ii) le numéro d’identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public;

iii) les nom et adresse de l’abonné ou de l’utilisateur inscrit à qui une adresse IP (protocole internet), un numéro d’identifiant ou un numéro de téléphone a été attribué au moment de la communication;

b) les données nécessaires pour identifier la destination d’une communication:

[…]

c) les données nécessaires pour déterminer la date, l’heure et la durée d’une communication:

[…]

d) les données nécessaires pour déterminer le type de communication:

[…]

e) les données nécessaires pour identifier le matériel de communication des utilisateurs ou ce qui est censé être leur matériel:

[…]

f) les données nécessaires pour localiser le matériel de communication mobile:

[…]

2. Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la présente directive.»

19. Enfin, l’article 11 de la directive 2006/24 insère un nouveau paragraphe 1 bis à l’article 15 de la directive 2002/58. En vertu de cette disposition, l’article 15, paragraphe 1, de la directive 2002/58 est inapplicable aux données dont la conservation est spécifiquement exigée par la directive 2006/24.

B – Le droit national

1. Le droit d’auteur

20. En ce qui concerne le droit d’auteur, les dispositions de la directive 2004/48 ont été transposées en droit suédois par l’introduction de nouvelles dispositions dans la loi 1960:729 relative à la propriété littéraire et artistique [lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk, ci-après la «loi sur le droit d’auteur»]. Ces nouvelles dispositions sont entrées en vigueur le 1^er avril 2009 (10).

21. L’article 53 quater de la loi sur le droit d’auteur dispose:

«Si le demandeur peut établir l’existence d’indices réels d’une atteinte au droit de propriété intellectuelle sur une œuvre, visée à l’article 53, le tribunal peut ordonner sous astreinte à la ou les personne(s) visée(s) au deuxième alinéa ci-dessous de communiquer des informations sur l’origine et les réseaux de distribution des marchandises ou des services qui portent atteinte ou violent un droit (injonction de communiquer). Une telle mesure peut être ordonnée à la demande du titulaire du droit, de son ayant droit ou de quiconque qui jouit d’un droit légal d’exploitation de l’œuvre. Elle ne peut être ordonnée que si les informations demandées sont susceptibles de faciliter l’enquête sur la violation du droit ou l’atteinte au droit résultant desdites marchandises ou desdits services.

L’obligation de communiquer pèse sur toute personne:

1) auteur ou complice de la violation du droit ou de l’atteinte au droit;

2) qui a disposé à l’échelle commerciale d’une marchandise portant atteinte à un droit ou violant un droit;

3) qui a utilisé à l’échelle commerciale un service portant atteinte à un droit ou violant un droit;

4) qui a fourni à l’échelle commerciale un service de communications électroniques ou autre utilisé pour la commission de l’atteinte au droit ou la violation du droit,

5) a été identifiée par une personne visée aux points 2°) à 4°) ci‑dessus comme ayant participé à la production ou à la distribution d’une marchandise ou à la fourniture d’un service violant un droit ou portant atteinte à un droit.

Les informations sur l’origine et les réseaux de distribution des marchandises ou des services comprennent notamment:

1) les noms et adresses des producteurs, distributeurs, fournisseurs et autres détenteurs antérieurs des marchandises ou des services;

2) les noms et adresses des grossistes et des détaillants,

3) des renseignements sur les quantités produites, fabriquées, livrées, reçues ou commandées, ainsi que sur le prix obtenu pour les marchandises ou services en question.

Les dispositions qui précèdent sont applicables à la tentative ou à la préparation de violation ou de l’atteinte visée à l’article 53.»

22. L’article 53 quinquies de la loi sur le droit d’auteur dispose:

«L’injonction de communiquer ne peut être ordonnée que si les raisons la motivant sont d’un intérêt supérieur aux inconvénients ou autres préjudices qu’elle peut entraîner pour son destinataire ou tout intérêt qui s’y oppose.

L’obligation d’informer en application de l’article 53 quater ne vise pas les informations dont la communication contraindrait la personne visée à admettre sa propre participation ou celle de ses proches parents, au sens de l’article 3 du chapitre 36 du code de procédure judiciaire, à la commission d’une infraction.

La loi 1998:204 relative aux données à caractère personnel [personuppgiftslagen (1998:204)] impose des restrictions au traitement de ces informations.»

2. La protection des données à caractère personnel

23. La directive 2002/58 a été transposée en droit suédois notamment par la loi 2003:389 sur les communications électroniques [lagen (2003:389) om elektronisk kommunikation]. Selon l’article 20, premier alinéa, du chapitre 6 de ladite loi, il est interdit à quiconque de diffuser ou d’utiliser de manière non autorisée des informations relatives à des abonnés qui lui ont été communiquées ou auxquelles il a eu accès dans le cadre de la fourniture d’un réseau de communications électroniques ou d’un service de communications électroniques.

24. La juridiction de renvoi note à cet égard que l’obligation de confidentialité à laquelle sont tenus notamment les fournisseurs d’accès Internet est ainsi conçue pour n’interdire que la divulgation ou l’utilisation non autorisée de certaines données. Toutefois, cette obligation de confidentialité est relative, dans la mesure où d’autres dispositions prévoient une obligation de divulgation qui a donc pour effet que celle-ci soit autorisée. Selon le Högsta domstolen, le droit à information instauré par l’article 53 quater de la loi sur le droit d’auteur, qui est applicable également aux fournisseurs d’accès Internet, a été jugé ne pas devoir nécessiter d’adaptations législatives particulières pour que ces nouvelles dispositions sur la divulgation prévalent sur le principe de l’obligation de confidentialité (11). La décision du juge de prononcer une injonction de divulgation éliminerait donc l’obligation de confidentialité.

25. La directive 2006/24, quant à elle, n’a pas été transposée en droit suédois dans le délai imparti à cet effet (12).

III – Le litige au principal, les questions préjudicielles et la procédure devant la Cour

26. Bonnier Audio e.a. sont des sociétés d’édition, titulaires notamment de droits exclusifs de reproduction, d’édition et de mise à disposition du public sur vingt-sept ouvrages se présentant sous la forme d’audiolivres.

27. Bonnier Audio e.a. affirment qu’il aurait été porté atteinte à leurs droits exclusifs, en raison de la diffusion au public de ces vingt-sept œuvres, sans leur consentement, par le biais d’un serveur FTP («file transfer protocol»), qui permet le partage de fichiers et le transfert des données entre ordinateurs connectés à Internet.

28. Le fournisseur d’accès à Internet par l’intermédiaire duquel le prétendu échange illicite de fichiers a eu lieu est ePhone.

29. Bonnier Audio e.a. ont saisi le Solna tingsrätt (tribunal de première instance de Solna) d’une demande d’injonction aux fins de communication des nom et adresse de la personne faisant usage de l’adresse IP à partir de laquelle il est présumé que les fichiers en question auraient été transmis, pendant la période comprise entre le 1^er avril 2009 à 03 h 28 et le 1^er avril 2009 à 05 h 45.

30. ePhone s’est opposée à cette demande en soutenant, notamment, que l’injonction sollicitée serait contraire à la directive 2006/24.

31. En première instance, le Solna tingsrätt a fait droit à la demande d’injonction aux fins de communication des données en cause.

32. ePhone a interjeté appel devant le Svea hovrätt (cour d’appel de Stockholm), concluant au rejet de la demande d’injonction de communiquer. Cette société a également demandé la saisine préjudicielle de la Cour aux fins de préciser si la directive 2006/24 s’oppose à ce que des informations concernant un abonné, à qui une adresse IP a été attribuée, soient communiquées à d’autres personnes qu’aux autorités visées par ladite directive.

33. Le Svea hovrätt a jugé qu’aucune disposition de la directive 2006/24 ne faisait obstacle à ce qu’il soit enjoint à une partie à un litige civil de communiquer, à d’autres personnes qu’une autorité publique, des données relatives à un abonné. Ladite juridiction a, en outre, rejeté la demande de saisine préjudicielle de la Cour.

34. Cette même juridiction a également constaté que les sociétés éditrices d’audiolivres n’avaient pas établi l’existence d’indices réels d’atteinte à un droit de propriété intellectuelle. Elle a donc décidé d’annuler l’injonction de communiquer rendue par le Solna tingsrätt. Bonnier Audio e.a. se sont alors pourvues devant le Högsta domstolen, la juridiction de renvoi.

35. Cette juridiction estime que, nonobstant l’arrêt Promusicae, précité, ainsi que l’ordonnance LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, précitée, il subsiste un doute sur la question de savoir si le droit de l’Union s’oppose à l’application de l’article 53 quater de la loi sur le droit d’auteur, dans la mesure où ni cet arrêt ni cette ordonnance ne se réfèrent à la directive 2006/24.

36. Dans ces circonstances, le Högsta domstolen a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:

«1) La directive 2006/24 […], plus spécialement ses articles 3 [à] 5 et 11, s’oppose-t-elle à l’application d’une disposition de droit national, instituée sur la base de l’article 8 de la directive 2004/48 […], qui, aux fins d’identification d’un abonné, permet d’enjoindre à un fournisseur d’accès Internet de communiquer au titulaire d’un droit d’auteur ou à son ayant droit, dans une procédure civile, l’identité de l’abonné à qui une adresse IP, qui aurait servi à l’atteinte audit droit, a été attribuée? Il est présumé, d’une part, que le demandeur de l’injonction a établi des indices réels de l’atteinte à un droit d’auteur et, d’autre part, que la mesure demandée est proportionnée.

2) Le fait que l’État membre concerné n’a pas encore transposé la directive 2006/24, alors que le délai pour ce faire est expiré, a-t-il une incidence sur la réponse à la première question?»

37. Des observations écrites ont été déposées par Bonnier Audio e.a., ePhone, les gouvernements suédois, tchèque, italien et letton, ainsi que par la Commission européenne.

38. Toutes les parties ayant présenté des observations écrites étaient représentées lors de l’audience, qui s’est tenue le 30 juin 2011, à l’exception des gouvernements tchèque et letton.

IV – Analyse

A – Sur la portée de la directive 2006/24

39. Par sa première question, la juridiction de renvoi cherche, en substance, à savoir si la directive 2006/24 s’oppose à l’application d’une disposition de droit national, instituée sur la base de l’article 8 de la directive 2004/48, qui, aux fins d’identification d’un abonné à Internet ou d’un utilisateur d’Internet, permet d’enjoindre à un fournisseur d’accès Internet de communiquer, au titulaire d’un droit d’auteur ou à son ayant droit, le nom et l’adresse d’un abonné attributaire d’une adresse IP qui aurait servi à l’atteinte audit droit.

40. La juridiction de renvoi pose cette question en partant de la prémisse selon laquelle, dans l’affaire au principal, d’une part, les demandeurs de l’injonction, Bonnier Audio e.a., disposent d’indices attestant qu’il a été porté atteinte à un droit d’auteur et, d’autre part, la mesure demandée est proportionnée.

41. Par ailleurs, ainsi qu’il ressort de la décision de renvoi, l’action que Bonnier Audio e.a. ont engagée, dans l’affaire au principal, aux fins de la communication des données à caractère personnel s’inscrit dans le cadre d’une procédure civile.

42. Il convient de commencer par la question de savoir si les données demandées sont des données à caractère personnel. En effet, pour que la législation concernant la protection des données à caractère personnel soit applicable, il faut qu’il s’agisse de telles données. Dans l’affaire au principal, il s’agit des nom et adresse d’un abonné, qui sont à identifier sur la base d’une adresse IP. Il s’ensuit que nous nous trouvons dans le champ d’application des règles relatives à la protection des données à caractère personnel.

43. Il convient néanmoins de rappeler que l’identité de la personne susceptible d’avoir commis une atteinte à des droits de propriété intellectuelle ne peut être établie sur la seule base de l’adresse IP lorsque plusieurs personnes peuvent utiliser l’accès au réseau identifié par cette même adresse IP. Cela est le cas concernant par exemple les réseaux sans fil dépourvus de protection efficace, le détournement d’ordinateurs connectés à Internet, ainsi que les situations dans lesquelles plusieurs personnes peuvent utiliser le même ordinateur. Toutefois, il me semble que dans certains États membres, une adresse IP peut être utilisée comme un indice de l’identité de la personne susceptible d’avoir commis une atteinte (13).

44. Ensuite, il convient de vérifier si la directive 2006/24 est bien applicable à l’affaire au principal. Dans l’affaire Promusicae, précitée, cette directive n’était pas applicable ratione temporis, ce pourquoi la Cour l’a écartée d’emblée (14).

45. En vue de la vérification de l’applicabilité ratione materiæ de la directive 2006/24 au cas d’espèce, il y a lieu de rappeler que selon son article 1^er, elle vise à garantir «la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne» (15). En outre, l’article 4 de cette directive oblige les États membres à prendre les mesures nécessaires pour veiller à ce que les données visées par ladite directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne.

46. Or, dans l’affaire au principal, il s’agit d’une procédure civile et les données sont demandées non pas par une autorité nationale compétente, mais par des particuliers.

47. Il me semble donc que la directive 2006/24 n’est pas applicable ratione materiæ à l’affaire au principal, quand bien même les données conservées pour des fins autorisées par ladite directive relèveraient du champ d’application des directives sur la protection des données personnelles, dans la mesure où l’opérateur les a conservées à d’autres fins.

48. Par conséquent, la seconde question, relative à l’incidence du défaut de transposition en droit suédois de la directive 2006/24 sur la réponse à donner à la première question, n’a plus d’objet.

49. Nonobstant la non-applicabilité de la directive 2006/24 en l’espèce, il convient de s’interroger sur la question de savoir quel pourrait être son apport dans l’affaire au principal. Avant de revenir sur cette question, il me faut tout d’abord traiter des dispositions relatives à la protection données à caractère personnel.

B – Sur les limitations à la protection des données à caractère personnel

50. Il y a lieu de rappeler ici quelques principes de base régissant la protection des données à caractère personnel dans le droit de l’Union.

51. Le principe fondamental énoncé par l’article 6, paragraphe 1, sous b), de la directive 95/46 est le suivant, à savoir les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. La collecte des données à caractère personnel et ses modalités, ainsi que les finalités, doivent être décidées au préalable. Un traitement ultérieur qui serait incompatible avec les finalités prédéfinies est interdit.

52. Il convient donc de vérifier si des dispositions correspondant à ces exigences ont été adoptées au niveau de l’Union européenne ou au niveau national en ce qui concerne la conservation des données à caractère personnel et leur transmission à des tiers en cas d’atteintes présumées à un droit de propriété intellectuelle invoquées par des particuliers.

1. Sur les limitations prévues au niveau de l’Union

53. S’agissant du droit de l’Union portant sur les données relatives aux télécommunications, c’est la directive spécifique 2002/58, telle qu’elle a été complétée par la directive 2006/24, qui précise le cadre général prévu par la directive 95/46. Or, l’examen des directives 2002/58 et 2006/24 montre bien qu’elles ne comportent aucune disposition spécifique en ce qui concerne la conservation ou l’utilisation des données de télécommunications dans le cadre de la lutte contre les atteintes aux droits de propriété intellectuelle à l’initiative de particuliers. La directive 2002/58 est axée sur les droits et les obligations de fournisseurs des services de communications électroniques. La directive 2006/24 vise pour sa part la conservation des données par les autorités publiques en vue de la détection d’infractions graves. S’agissant d’atteintes à des droits de propriété intellectuelle invoquées par les particuliers, il y a lieu de constater que ni la directive 2002/58 ni la directive 2006/24 ne prévoient la possibilité ou l’obligation de conserver ou d’utiliser lesdites données pour une telle finalité, ou de se servir des données déjà existantes, qui sont conservées à d’autres fins.

54. Quant à la directive 2004/48, la seule mention visant les données à caractère personnel se trouve à l’article 8, paragraphe 3, sous e), de celle-ci. Selon cette disposition, les paragraphes 1 et 2 dudit article 8, régissant l’accès aux informations qui peuvent concerner les atteintes à un droit de propriété intellectuelle, s’appliquent sans préjudice à d’autres dispositions législatives et réglementaires qui régissent le traitement des données à caractère personnel. La directive 2004/48 indique donc qu’il y a lieu de respecter les dispositions législatives et réglementaires qui régissent le traitement des données à caractère personnel. En revanche, elle ne spécifie ni les données à caractère personnel susceptibles d’être conservées, ni le but de leur conservation, ni la durée de cette dernière, ni encore les personnes pouvant y avoir accès en cas d’atteinte à des droits de propriété intellectuelle.

55. Même si, au niveau de l’Union, on pourrait envisager une directive qui compléterait la directive 2002/58 en prévoyant une obligation de conservation en ce qui concerne les atteintes portées à un droit de propriété intellectuelle et qui définirait à la fois la finalité de ladite conservation, les données à conserver, la durée, et les personnes pouvant y avoir accès, force est de constater qu’une telle directive n’existe pas à l’heure actuelle (16).

56. Au vu de ces éléments, il y a lieu de constater que la législation actuelle de l’Union ne prévoit pas les modalités nécessaires pour la conservation et la transmission des données à caractère personnel qui sont générées lors des communications électroniques en vue de leur transmission en cas d’atteinte à des droits de propriété intellectuelle invoquée par des particuliers.

2. Sur les limitations prévues au niveau des États membres

57. S’agissant du droit des États membres, il convient de constater que l’article 15 de la directive 2002/58 permet de limiter l’applicabilité des principes qui sous-tendent ladite directive.

58. La Cour a interprété cet article dans son arrêt Promusicae, précité, et dans l’ordonnance LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, précitée. Elle a alors considéré que la directive 2002/58 n’excluait pas la possibilité, pour les États membres, de prévoir l’obligation de divulguer, dans le cadre d’une procédure civile, des données à caractère personnel, mais que le droit de l’Union n’exigeait pas des États membres qu’ils prévoient une telle obligation (17). La Cour a aussi établi un lien entre l’article 15, paragraphe 1, de ladite directive et l’article 13, paragraphe 1, de la directive 95/46 (18).

59. L’arrêt Promusicae, précité, évoque la divulgation des données à caractère personnel et, in fine, l’obligation des États membres, lors de la transposition des directives concernées, de veiller à se fonder sur une interprétation de ces dernières qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique de l’Union (19). J’interprète cette constatation en ce sens que les principes de base de chaque domaine — à savoir la protection de la confidentialité des communications électroniques et la protection du droit d’auteur et des droits voisins — doivent être pleinement respectés.

60. Pour qu’une divulgation des données à caractère personnel soit possible, le droit de l’Union exige qu’une obligation de conservation soit prévue par la législation nationale, afin de préciser les catégories de données à conserver, la finalité de conservation, la durée de la conservation et les personnes qui peuvent y avoir accès. Il serait contraire aux principes de la protection des données à caractère personnel de faire usage des bases de données qui existent à d’autres fins que celles ainsi définies par le législateur.

61. Par conséquent, pour que la conservation et la transmission de données à caractère personnel soient compatibles avec l’article 15 de la directive 2002/58, dans une situation telle que celle décrite dans l’affaire au principal, la législation nationale doit prévoir, au préalable et d’une manière détaillée, les limitations, introduites par voie législative, à la portée des droits et des obligations prévus aux articles 5, 6, 8, paragraphes 1 à 4, et 9 de ladite directive (20). Une limitation ainsi établie doit constituer une mesure nécessaire, appropriée et proportionnée. Or, une obligation de divulgation, imposée au fournisseur d’accès à Internet et portant sur des données à caractère personnel conservées à une autre fin, ne suffit pas à satisfaire à ces exigences (21).

62. En guise de conclusion, il y a lieu de souligner que les droits fondamentaux en matière de protection des données à caractère personnel et de la vie privée, d’une part, ainsi qu’en matière de protection de la propriété intellectuelle, d’autre part, doivent bénéficier d’une égale protection. Il n’y a donc pas lieu de privilégier les titulaires de droits de propriété intellectuelle, en leur permettant de se servir de données à caractère personnel qui ont été légalement recueillies ou conservées à des fins étrangères à la protection de leurs droits. La collecte et l’utilisation desdites données à de telles fins dans le respect du droit de l’Union en matière de protection des données à caractère personnel impliquerait l’adoption préalable, par le législateur national, de dispositions détaillées, conformément à l’article 15 de la directive 2002/58 (22).

V – Conclusion

63. Au vu des considérations qui précèdent, je propose à la Cour de répondre de la manière suivante aux questions préjudicielles posées par le Högsta domstolen:

«1) La directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, ne s’applique pas au traitement des données à caractère personnel à d’autres fins que celles visées à l’article 1^er, paragraphe 1, de cette directive. Par conséquent, ladite directive ne s’oppose pas à l’application d’une disposition nationale au titre de laquelle, dans le cadre d’une procédure civile, aux fins d’identifier un abonné déterminé, le juge enjoint à un fournisseur d’accès à Internet de divulguer au titulaire de droits d’auteur, ou à son ayant droit, des informations relatives à l’identité de l’abonné à qui ledit opérateur a attribué une adresse IP qui aurait servi à l’atteinte audit droit. Toutefois, ces informations doivent avoir été conservées pour pouvoir être divulguées et utilisées à cette fin conformément à des dispositions législatives nationales détaillées, qui ont été adoptées dans le respect du droit de l’Union en matière de protection des données à caractère personnel.

2) Eu égard à la réponse apportée à la première question, la seconde question devient sans objet.»

1 — Langue originale: le français.

2 — JO L 105, p. 54.

3 — JO L 157, p. 45.

4 — En ce qui concerne les liens avec la protection de la propriété intellectuelle, voir arrêt du 29 janvier 2008, Promusicae (C‑275/06, Rec. p. I‑271); ordonnance du 19 février 2009, LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C‑557/07, Rec. p. I‑1227), et conclusions de l’avocat général Cruz Villalón dans l’affaire Scarlet Extended (C‑70/10), pendante devant la Cour.

5 — JO L 281, p. 31.

6 — JO L 201, p. 37.

7 — En ce qui concerne la directive 95/46, voir, notamment, arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C-465/00, C‑138/01 et C‑139/01, Rec. p. I‑4989); du 6 novembre 2003, Lindqvist (C‑101/01, Rec. p. I‑12971); du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, Rec. p. I‑9831), ainsi que du 9 novembre 2010, Volker und Markus Schecke et Eifert (C‑92/09 et C‑93/09, Rec. p. I‑11063).

8 — Voir, notamment, arrêt du 10 février 2009, Irlande/Parlement et Conseil (C‑301/06, Rec. p. I‑593), ainsi que recours en manquement ayant donné lieu aux arrêts du 26 novembre 2009, Commission/Irlande (C‑202/09); Commission/Grèce (C‑211/09); du 4 février 2010, Commission/Suède (C‑185/09), et du 29 juillet 2010, Commission/Autriche (C‑189/09). Voir, aussi, affaire Commission/Suède (C‑270/11), encore pendante devant la Cour.

9 — Voir note en bas de page 4 des présentes conclusions.

10 — Loi 2009:109, portant modification de la loi 1960:729 relative à la propriété littéraire et artistique [Lag (2009:10) om ändring i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk], du 26 février 2009.

11 — Le Högsta domstolen se réfère sur ce point aux travaux préparatoires (proposition 2008/09:67, p. 143) de la loi 2009:109, susmentionnée.

12 — Voir arrêt Commission/Suède, précité, et affaire C‑270/11, précitée.

13 — Le représentant d’ePhone a indiqué lors de l’audience que certains fournisseurs d’accès à Internet radiaient systématiquement les informations concernant les adresses IP pour empêcher que ces informations ne soient utilisées contre leurs clients.

14 — La Cour ne mentionne pas la directive 2006/24 dans l’arrêt Promusicae, précité, contrairement à l’avocat général Kokott qui la mentionne (voir, notamment, points 122 et suiv. de ses conclusions dans l’affaire Promusicae, précitée).

15 — Sur l’interprétation de la notion d’«infraction grave» dans les États membres, voir rapport d’évaluation de la Commission sur la directive 2006/24 [COM(2011) 225 final].

16 — C’est ce que l’avocat général Kokott avait déjà relevé au point 110 de ses conclusions dans l’affaire Promusicae, précitée .

17 — Voir arrêt Promusicae, précité (points 54 et 59).

18 — Voir ordonnance LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, précitée (point 26), selon laquelle, «[e]n effet, au point 53 de l’arrêt Promusicae, précité, la Cour a jugé que, parmi les exceptions prévues à l’article 15, paragraphe 1, de la directive 2002/58, qui se réfère expressément à l’article 13, paragraphe 1, de la directive 95/46, figurent les mesures indispensables à la protection des droits et libertés d’autrui. Dès lors que la directive 2002/58 ne précise pas les droits et libertés concernés par cette exception, elle doit être interprétée comme exprimant la volonté du législateur communautaire de ne pas exclure de son champ d’application la protection du droit de propriété ni les situations dans lesquelles les auteurs cherchent à obtenir cette protection dans le cadre d’une procédure civile» (souligné par nos soins).

19 — Voir arrêt Promusicae, précité (point 68).

20 — Il y a toutefois lieu de rappeler qu’une absence totale de limitation de la confidentialité peut aussi constituer une violation de l’article 8 de la CEDH (voir Cour eur. D. H., arrêt K.U. c. Finlande du 2 décembre 2008, requête n^o 2872/02).

21 — C’est à la juridiction nationale qu’il appartient de vérifier l’existence de telles mesures et de s’assurer de leur conformité auxdites exigences.

22 — La voie législative est indiquée pour telles ingérences: «Il découle de l’article 8, paragraphe 2, de la CEDH et de l’article 52, paragraphe 1, de la charte des droits fondamentaux [...] qu’une ingérence soit prévue par la loi, qu’elle serve un but légitime et qu’elle soit nécessaire dans une société démocratique pour atteindre ce but légitime» [voir point 8 de l’avis du Contrôleur européen de la protection des données sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE) (JO 2011, C 279, p. 1)].