L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.
Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.
15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).
L’association LQDN a considéré devant le Conseil d’Etat que « la riposte graduée est doublement contraire au droit de l’Union européenne ». « D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par l[‘]Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave » (5). A ces griefs portés par LQDN à l’encontre de la réponse graduée s’ajoute le fait que ce même décret oblige les opérateurs télécoms – Orange, SFR, Bouygues Telecom et Free principalement – et les hébergeurs à conserver pendant une durée d’un an les données de connexion de l’ensemble des internautes, à savoir leurs identifiants, la date, l’heure et l’objet de leurs consultations. C’est par cette conservation généralisée des données de connexion – en particulier de l’adresse IP considérée comme une donnée personnelle depuis une décision (6) de la Cour de cassation en 2016 (subordonnant leur collecte à une déclaration préalable auprès de la Cnil) – que l’Hadopi (devenue Arcom) peut identifier les internautes « flashés » sur le Net. Rappelons que depuis près de quinze ans maintenant, ce sont les organisations de la musique (SCPP, Sacem/SDRM et SPPF) et du cinéma (Alpa) qui fournissent à l’Hadopi-Arcom les millions d’adresses IP collectées par la société nantaise Trident Media Guard (TMG) sous le contrôle de la Cnil (7).
Or, n’a cessé de rappeler LQDN, ce régime de conservation généralisée des données de connexion est contraire au droit de l’Union européenne puisque la CJUE elle-même s’est opposées – dans quatre arrêts différents (2014, 2016, 2020 et 2022) – à toute conservation généralisée et indifférenciée des données de connexion, sauf à deux conditions cumulatives : qu’il s’agisse d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante. LQDN avait « enfoncé le clou », selon sa propre expression, en posant lors de sa saisine du Conseil d’Etat une question prioritaire de constitutionnalité (QPC) pour demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci (loi Hadopi de 2009 et son décret « Traitement automatisé de données à caractère personnel ») est cruciale pour la résolution d’un litige.
Adresse IP : « Petit couac », grande procédure
Dans une décision alambiquée rendue le 20 mars 2020, le Conseil constitutionnel a censuré le mot « notamment » jugé anticonstitutionnelle dans l’article 5 de la loi dite « Hadopi 1 » (8). Les juges du Palais-Royal avaient ainsi ordonné à l’Hadopi de s’en tenir aux seules données personnelles que sont « l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques » de l’abonné concerné (9). Or dans cette énumération, il n’y a pas l’adresse IP parmi les données personnelles. « Petit couac pour la Hadopi », s’était alors félicitée LQDN. Les quatre associations françaises ont profité de cette brèche pour remonter au créneau juridictionnel en affirmant que l’accès par l’Hadopi- Arcom aux adresses IP des internautes contrevenants est illégal (car il n’y a pas de criminalité grave au sens de la CJUE) et que le décret permettant d’enregistrer ces adresses IP serait sans fondement depuis cette censure partielle du Conseil constitutionnel (l’adresse IP n’étant pas mentionné).
Deux mêmes conclusions de l’avocat général
Pour une nouvelle audience publique organisée précipitamment par Conseil d’Etat le 3 mai 2021 dans le cadre de cette même affaire (n°433539), les associations LQDN, FDN, FFDN et Franciliens.net ont déposé un nouveau mémoire (10) développant ces deux points susceptibles de « faire tomber » l’Hadopi. « Le Conseil d’Etat a décidé de botter en touche et de transmettre à la CJUE une “question préjudicielle” (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation », avait pointé LQDN. Le mémoire, déposé par l’avocat des associations, Alexis Fitzjean Ó Cobhthaigh, conclut que « le décret [“Traitement automatisé de données à caractère personnel” du 5 mars 2010] attaqué a été pris en application de dispositions législatives contraires à la Charte des droits fondamentaux de l’Union européenne […], ainsi qu’à […] la directive [“ePrivacy”] du 12 juillet 2002 en ce qu’il organise l’accès par [l‘Hadopi] à des données de connexion ».
Donc, « le refus, opposé par le Premier ministre, d’abroger ces dispositions, est illégal et ne pourra ainsi qu’être annulé ». A la question préjudicielle transmise par le Conseil d’Etat, l’avocat général de la CJUE Maciej Szpunar avait une première fois – le 27 octobre 2022 (affaire n°C-470/21) – présenté ses conclusions : « L’article 15, paragraphe 1, de la directive [“ePrivacy”], lu à la lumière […] de la Charte des droits fondamentaux de l’Union européenne, […] ne s’oppose pas à une réglementation nationale [la loi Hadopi et son décret contesté en France, ndlr] permettant la conservation […] des données d’identité civile correspondant à des adresses IP […] lorsque ces données constituent le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction » (11). Fermez le ban ? Or coup de théâtre, la grande chambre de la CJUE a demandé le 7 mars 2023 le renvoi de cette affaire à l’assemblée plénière. Par cette réouverture de la procédure pour poser des questions orales, notamment sur l’identité civile correspondant à une adresse IP (12) et en présence cette fois du Contrôleur européen de la protection des données (CEPD) et de l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’avocat général Maciej Szpunar a dû « approfondir certains éléments de [son] raisonnement ». Mais ses deuxièmes conclusions présentées le 28 septembre 2023 s’avèrent identiques (13) aux premières du 27 octobre 2022.
Tout ça pour ça, pourrait-on dire. La réponse graduée est donc sur le point – sans préjuger du verdict final de la CJUE – d’être confortée au regard du droit de l’Union européenne, alors que le traitement automatisé de données à caractère personnel de la loi Hadopi de 2009 et de son décret du 5 mars 2010 semblaient « hors-la-loi ». Faut-il rappeler le fonctionnement de la réponse graduée :
• Dans un premier temps, et sans contrôle préalable par une juridiction ou une entité administrative, l’adresse IP (donnée personnelle) de l’internaute collectées par les ayants droit est transmise au FAI (14) par l’Arcom (ex-Hadopi) pour obtenir d’eux (Orange, SFR, Bouygues Telecom et Free) l’identité civile de l’internaute présumé « pirate du Net » ;
• Dans un second temps, l’Arcom (ex-Hadopi) adresse à ce dernier une recommandation lui enjoignant de s’abstenir de tout nouveau manquement, suivie d’un nouvel avertissement en cas de renouvellement de l’atteinte. S’il n’est pas tenu compte des deux premiers avertissements et qu’une troisième atteinte a lieu, l’Arcom (ex-Hadopi) peut saisir l’autorité judiciaire compétente en vue d’engager des poursuites pénales.
La réponse graduée porte-t-elle atteinte à la vie privée de l’internaute ? Réponse de Maciej Szpunar : « Ainsi que je l’ai souligné, la gravité de l’ingérence que suppose la mise en relation d’une donnée d’identité civile et d’une adresse IP est bien moindre que celle résultant de l’accès à l’ensemble des données de trafic et de localisation d’une personne, dans la mesure où cette mise en relation n’apporte aucun élément permettant de tirer des conclusions précises sur la vie privée de la personne visée ». Ce à quoi l’avocat général ajoute : « Ainsi que je l’ai déjà souligné, (…) l’obtention des données d’identité civile correspondant à une adresse IP est le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction en cause ».
Mise en cause de la jurisprudence existante ?
Pour convaincre la CJUE, il précise tout de même que « la solution qu[‘il] propose vise non pas à remettre en cause la jurisprudence existante, mais à permettre, au nom d’un certain pragmatisme, son adaptation en des circonstances particulières et très étroitement circonscrites ». L’affaire semble entendue. A moins que la CJUE ne suivent pas les conclusions de son avocat général, comme cela est le cas dans plus de 20 % des affaires tout de même… A suivre. @
Charles de Laubier
Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.
