Cf. N 550 et 551 (arrêts du TF dans cette affaire).

Sont des données personnelles (données), c'est-à-dire des informations qui se rapportent à une personne identifiée ou identifiable au sens de l'art. 3 lit. a LPD (et du droit européen [c. 3.6]), les adresses IP d'ordinateurs de personnes mettant à disposition des œuvres protégées par la LDA sur des réseaux P2P, car elles permettent en principe — dans le cadre d'une procédure pénale — d'identifier ces personnes (c. 3.2-3.8). La collecte et la transmission de données au sujet de participants à des réseaux P2P violent d'importants (c. 6.3.1) principes (Zweckbindung [art. 4 al. 3 LPD] et Erkennbarkeit [art. 4 al. 4 LPD]), car elles interviennent à leur insu (c. 4). Bien que, contrairement à l'art. 12 al. 2 lit. b et c LPD et à l'art. 12 al. 2 lit. a LPD, l'actuel art. 12 al. 2 lit. a LPD (2006) ne prévoie pas d'exception en cas de motifs justificatifs, il n'exclut pas que des motifs justificatifs (art. 13 LPD) — admis avec la plus grande retenue — permettent, dans un cas concret, de traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1 [LPD] (c. 5.1 et 5.2.1-5.2.4). Toutefois, en l'absence de réglementation en la matière, ni l'intérêt de l'entreprise qui collecte des adresses IP (dont l'activité est source d'insécurité sur Internet) ni l'intérêt de son mandant à déterminer qui viole ses droits d'auteur (ni d'ailleurs l'intérêt à une lutte efficace contre les violations de la LDA) ne permet de justifier une atteinte à la personnalité des personnes dont les adresses IP sont collectées (c. 6.3.1-6.3.3). Le présent arrêt n'accorde pas une primauté générale de la LPD sur la LDA (c. 6.4). Il revient au législateur et non au juge de prendre les mesures nécessaires pour garantir une protection du droit d'auteur adaptée aux nouvelles technologies (c. 6.4).

La recourante n'a plus d'intérêt à recourir contre l'arrêt du TAF (TAF, 27 mai 2009, A-3144/2008 [cf. N 549]), car le recours du Préposé fédéral à la protection des données et à la transparence (PFPDT) contre ce même arrêt du TAF a été admis par le TF (cf. N 550). En vertu de l'art. 32 al. 2 LTF, la procédure — devenue sans objet — doit être radiée du rôle (c. 1.2). Vu les art. 71 LTF et 72 PCF, la recourante, à qui la qualité pour recourir (art. 89 al. 1 LTF) n'aurait pas été reconnue, supporte les frais judiciaires et verse des dépens à l'intimée (c. 2.1-3).

Le TF a considéré que les adresses IP constituent des données personnelles au sens de la LPD et que leur collecte ainsi que leur communication étaient un traitement de données illicite (c. 2.2). Les preuves obtenues de manière illicite par des personnes privées ne sont du point de vue de la doctrine et de la jurisprudence actuelles a priori pas inutilisables (c. 2.3). Elles sont en particulier utilisables lorsqu'elles auraient aussi pu être réunies par les autorités de poursuite pénale et qu'une pesée des intérêts en présence (comme cela est prévu à l'art. 141 al. 2 CPP) parle en faveur de leur utilisation qui ne s'accompagnerait pas d'une violation grave d'un droit fondamental (c. 2.3). Il convient donc de déterminer si les adresses IP communiquées par la recourante auraient également pu être obtenues de manière licite et si l'intérêt public à l'établissement de la vérité l'emporte sur l'intérêt des particuliers, utilisateurs de la bourse d'échange en ligne, à la non-utilisation de ces preuves (c. 2.3). Comme les adresses IP sont des données personnelles, leur traitement porte atteinte à la garantie de la sphère privée et donc à un droit fondamental. C'est pourquoi les actes de procédure permettant de réunir ces données nécessitent une base légale et un soupçon suffisant laissant présumer une infraction, au sens de l'art. 197 al. 1 lit. a et b CPP (c. 2.4). Faute de base légale, l'art. 14 al. 4 LSCPT ne permettant en particulier d'obtenir des informations sur l'identification d'une personne que lorsqu'un délit est intervenu sur Internet et pour vérifier si tel est le cas et les motifs justificatifs de l'art. 13 LPD ne constituant pas non plus une base légale suffisante, le traitement d'adresses IP est illicite (c. 2.4). La recherche systématique d'informations en l'absence de soupçons concrets (fishing expedition) est également illicite, même si chacun sait que les bourses d'échange en ligne s'accompagnent fréquemment de violations du droit d'auteur (c. 2.4). En outre, comme le délit considéré n'est pas grave, les exigences de l'art. 141 al. 2 CPP ne sont pas remplies et il n'est pas possible d'admettre que l'intérêt de l'État à la découverte de la vérité l'emporterait sur celui des personnes à ce que les preuves recueillies illicitement ne soient pas utilisées (c. 2.5). Du moment que les adresses IP ne peuvent pas être exploitées comme preuves, elles ne peuvent pas non plus, par analogie avec l'art. 141 al. 4 CPP, servir à l'identification des participants à la bourse d'échange (c. 2.6).

Une décision par laquelle l’autorité d’instruction ordonne de produire des pièces est une décision incidente, qui ne peut faire l’objet d’un recours au TF que si elle peut causer un préjudice irréparable. Tel est le cas lorsque l’ordre de production est assorti de la menace des peines prévues à l’art. 292 CP (c. 1.1). Le droit d’être entendu implique notamment l’obligation pour l’autorité de motiver sa décision. Il suffit que le juge mentionne, au moins brièvement, ses motifs. Il peut se limiter à l’examen des questions décisives pour l’issue du litige. En l’espèce, l’autorité n’a pas commis de déni de justice formel (c. 2.1 et 2.2). Le champ d’application de l’art. 269 CPP (surveillance de la correspondance par poste et télécommunication) est défini à l’art. 1 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT, RS 780.1). Un simple fournisseur de messagerie électronique n’est pas un fournisseur d’accès à internet au sens de cette disposition. Dans leur teneur actuelle, les art. 269 ss CPP ne s’appliquent donc pas à ce genre de services. En revanche, en cas d’infractions au droit d’auteur commises au moyen d’un compte de messagerie électronique Gmail, les autorités de poursuite pénale peuvent se fonder sur l’art. 265 CPP (obligation de dépôt) pour ordonner la production de l’identité du détenteur du compte, les adresses IP utilisées pour créer ce compte, les logs de connexions et les adresses IP en relation avec ces logs (c. 3.1). La Convention de Budapest sur la cybercriminalité (CCC, RS 0.311.43) repose sur le principe de la territorialité : un Etat n’est pas habilité à prendre des mesures d’instruction et de poursuite pénale sur le territoire d’un autre Etat. Pour ce faire, l’Etat demandeur doit agir par le biais de l’entraide internationale (c. 3.2). Selon l’art. 18 CCC, chaque Etat partie doit habiliter ses autorités à ordonner à une personne présente sur son territoire de communiquer les données informatiques en sa possession ou sous son contrôle. Le lieu de stockage de ces données n’est à lui seul pas déterminant (c. 3.3). En l’espèce, la filiale suisse de Google conteste intervenir, à un titre ou à un autre, lors de l’ouverture ou de l’exploitation d’un compte Gmail, le système de messagerie étant du seul ressort de la société américaine. De plus, le pouvoir de représentation de cette dernière par la société suisse peut être reconnu dans d’autres matières du droit comme la protection des données (cf. ATF 138 II 346), mais non dans le cadre d’une procédure pénale nécessitant l’accès aux données de la messagerie (c. 3.5). Il n’est donc pas démontré que la société suisse ait un accès aux données litigieuses ou une maîtrise sur celle-ci. Or il découle tant de l’art. 18 CCC que de l’art. 265 CPP que la personne visée par l’injonction doit être le possesseur ou le détenteur des données visées, ou tout au moins en avoir le contrôle. La cause doit donc être renvoyée à la cour cantonale pour complément d’instruction sur ce point. S’il devait s’avérer que la société suisse ne peut effectivement pas, en fait et en droit, disposer des données litigieuses, l’autorité n’aurait pas d’autre choix que de recourir à l’entraide judiciaire internationale (c. 3.6). [VS]