L’adresse IP, la notion de téléchargement sont des expressions que l’actualité pose sur de nombreuses lèvres et sous de nombreuses plumes. Cet intérêt a été notamment nourri par le projet de dispositif répressif de la loi dite HADOPI.
La loi Création et Internet qui a été une nouvelle fois rejetée le 9 avril 2009 à l’occasion du vote de son texte final a pour ambition de responsabiliser et le cas échéant sanctionner les titulaires d’un accès internet. Le dispositif HADOPI entend sanctionner leur obligation légale existante de veiller scrupuleusement à ce qu’aucun téléchargement illégal ne soit réalisé depuis cet accès.
Le rejet de ce projet de loi sonne comme un coup de théâtre législatif dont l’issue finale sera déterminée avant la fin du premier semestre 2009. En tout état de cause, l’absence de véritable consensus avec les ayants droit et leurs représentants laissera envisager de futures tentatives de règlementation spécifique en matière de téléchargement.
En guise de rétrospective et dans l’optique de débats futurs, nous proposons de définir plus clairement la notion d’adresse IP, bien malmenée aux cours de ces dernières semaines. (La notion de téléchargement fera l’objet d’un article ultérieur sur ces pages.)…
A en croire de nombreux interlocuteurs, le concept d’adresse IP pourrait se définir comme une « sorte de plaque d’immatriculation des ordinateurs ». L’affirmation n’est pas un outrage à la réalité technique, mais mérite de considérables nuances pour permettre aux juristes de s’y retrouver.
L’adresse IP est un concept technique découlant de la notion d’ « Internet Protocol« (IP). L’ « Internet Protocol » est, comme son nom l’indique, un protocole élaboré pour permettre aux périphériques connectés à un réseau de communiquer entre eux. Plus précisément, l' »Internet Protocol » n’est pas un langage de programmation, mais un ensemble de règles techniques dont le respect permet aux données circulant sur les réseaux de ne pas s’égarer. Ce protocole règle en effet la question du destinataire et de l’émetteur de données numériques.
Transposé au courrier postal traditionnel, l' »Internet Protocol » pourrait être comparé aux normes de rédaction des enveloppes postales qui véhiculent des messages papier. Ces normes requièrent de faire figurer le nom du destinataire, son adresse locale (N° et rue), puis sa situation nationale (Ville et code postale), sa situation internationale (pays) et enfin les mêmes coordonnées pour l’expéditeur (pour simple information ou en cas d’impossibilité d’acheminement). L' »Internet Protocol » définit le même genre de règles pour les données transitant sur les réseaux numériques (indication des coordonnées du destinataire, de l’expéditeur).
Les règles définies par l' »Internet Protocol » supposent l’existence de coordonnées, autrement appelées : Adresses IP.
Ces adresses indiquent non seulement les coordonnées de localisation des ordinateurs (au sens commun) mais plus largement les coordonnées de tout périphérique qui a été connecté à un réseau. Les routeurs (périphériques qui gèrent le passage des données au point de rencontre d’une pluralité de réseaux) disposent par exemple d’une adresse IP sur chaque réseau auquel ils sont connectés. Il en va de même pour de nombreux autres périphériques comme les imprimantes, scanner, fax, caméra IP, téléphones IP, etc.
Le lien intellectuel entre adresse IP et périphérique au sens large est important à établir pour les juristes dans la mesure où le nombre de ces périphériques est amené à grandir de manière exponentielle avec le développement des technologies et des usages comme la domotique.
En conséquence, lier de manière exclusive l’adresse IP avec les seuls ordinateurs serait se priver d’une vigilance nécessaire, notamment en matière de responsabilité.
Comme autant de courriers postaux numériques, les paquets de données IP (fraction d’une information numérique plus volumineuse) circulant dans les réseaux incorporent deux adresses IP : l’une identifie le périphérique d’émission de l’information, l’autre le périphérique de destination de l’information. Ainsi estampillés, les données qui circulent sont moins susceptibles de se perdre et, le cas échéant, le périphérique d’émission pourra être contacté pour signaler une anomalie.
Cette définition proposée et illustrée permet d’aborder sous un jour plus clair certaines problématiques juridiques.
L’adresse IP est-elle une donnée à caractère personnel ?
Si la définition que nous proposons ne prétend pas répondre directement à la question, elle permet au moins de nuancer le débat. On voit difficilement comment l’adresse IP attribuée à un périphérique public (de type borne d’accès public WIMAX) pourrait répondre à la définition de donnée à caractère personnel. En revanche, l’adresse IP de l’ordinateur d’un réseau particulier correspond plus nettement à cette notion. Enfin, pour apprécier le caractère de donnée personnelle de l’adresse IP attribuée au modem ADSL des utilisateurs, peut-être conviendrait-il d’abord de s’interroger sur l’utilisation qui en est faite (en liaison avec un seul ordinateur sans activation de réseau « aérien », mise en place d’un réseau local complexe pour plusieurs utilisateurs) ?
Finalement, plutôt que d’attendre une réponse de principe, il serait peut-être plus pertinent de se poser deux questions d’espèce :
- dans quelles circonstances l’IP devient-elle une donnée à caractère personnel ? Ce qui suppose l’analyse de la configuration matérielle du réseau et des périphériques mis en question.
- L’identité de la personne identifiable par l’intermédiaire d’une adresse IP est-elle probante ? La qualification juridique de la situation impacte largement sur cette considération. Par exemple, l’exigence pénale d’une intention délictuelle est difficile à établir lorsque l’adresse IP ne désigne que le simple titulaire administratif d’un accès Internet, surtout quand cet accès connecte un large réseau privé doté d’une pluralité d’ordinateurs et de périphériques.
Les juristes prudents sont donc encouragés à mener leurs investigations techniques en profondeur, avec tous les mesures légitimes à leur disposition (constat d’huissiers, saisie contrefaçon, procédure d’enquête judiciaire, demande de communication de complément d’information en cours d’enquête, sollicitation des services douaniers etc.). L’idée étant de ne pas se satisfaire du recueil d’une simple adresse IP de « façade ».
L’adresse IP est-elle une donnée fiable pour désigner un périphérique émetteur/destinataire ?
De nombreux intervenants du projet de loi HADOPI semblent estimer que l’adresse IP est une coordonnée relativement fiable. C’est peut être oublier que les faussaires sont avant tout des techniciens. Internet offre à ces individus un formidable terrain d’expérimentation. Nous citerons pour exemple différentes actualités démontrant que la falsification d’adresse IP (IP Spoofing) est une technique relativement accessible et pratiquée.
Dans un premier temps, nombre de juristes et d’informaticiens alertent le grand public sur les méfaits des ordinateurs « zombie » ou « bot » (ordinateur infectés par des exécutables qui en permettent le contrôle à distance par des tiers). Ces armées de morts vivants numériques (estimés par certains à un quart du parc informatique mondial) sont notamment redoutées pour les attaques informatiques qu’elles peuvent déchaîner sur des serveurs informatiques. Les attaques de type « deni de service » en questions passent inévitablement par l’envoi massif de données. Ces données sont nuisibles justement parce que leur adresse IP de provenance a été falsifiée, en conséquence leur potentiel de saturation s’en trouve décuplé.
Ensuite, on reviendra sur les communiqués de la célèbre Pirate Bay (collectif suédois) qui menace de falsifier certaines adresses IP contenues dans leurs « trackers » (données facilitant la mise en relation d’utilisateurs du Peer to Peer). L’idée consiste à faire croire à qui s’y intéresse, qu’un périphérique lambda partage un contenu contrefaisant sur les réseaux P2P. C’est par ce genre de manipulation qu’on en arrive à soupçonner des imprimantes de contrefaçon d’oeuvres musicales !
Les exemples de falsification d’adresse IP sont bien plus nombreux et manifestement amenés à se multiplier à mesure des évolutions techniques et de la banalisation de ses méthodes auprès du grand public.
Il conviendra pour le praticien du droit, comme pour le législateur, de se forger une conception claire des concepts techniques qu’il est amené à manipuler, tel est le prix de son efficacité, de son potentiel d’anticipation et accessoirement de sa réelle crédibilité. Jusque là, les imprimantes n’ont qu’à bien se tenir…
1 Commentaire
Rappelons l’arrêt récent de la chambre criminelle de la Cour de cassation du 13 janvier 2009 :
« Les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »