Archives par mot-clé : Hébergeur

« Nintendo c/ DStorage » : la Cour de cassation appelle les hébergeurs à leurs responsabilités

Publié le par

La décision rendue le 26 février 2025 par la Cour de cassation – dans l’affaire opposant Nintendo à DStorage – marque la fin d’une saga judiciaire, qui permet de confirmer les contours du régime de responsabilité des hébergeurs, dans le contexte de l’entrée en vigueur du Digital Services Act (DSA).

Par Olivia Roche et Eva Naudon, avocates associées, Phaos Avocats

Le 26 février dernier, la Cour de cassation a rendu une décision dans le cadre de l’affaire « Nintendo c/ DStorage », mettant en lumière le renforcement des obligations pesant sur les hébergeurs de contenus en ligne. Cet arrêt (1) intervient dans le contexte plus global de l’évolution récente de la législation française et européenne visant à mieux encadrer le rôle des plateformes en ligne dans la lutte contre la diffusion des contenus portant atteinte aux droits d’auteur et aux droits voisins.

Hébergement de copies illicites de jeux vidéo
La société DStorage fournit, depuis 2009, des services d’hébergement et de stockage de données en ligne, notamment à travers le site Internet 1fichier.com, qui est ouvert au public. En 2018, différentes entités du groupe Nintendo ont constaté que des copies illicites de leurs jeux vidéo-phares, tels que « Super Mario Maker » ou « Pokémon Sun », étaient hébergées sur les serveurs de DStorage et mis à disposition du public notamment via ce site web. Les sociétés Nintendo – la maison mère japonaise Nintendo Co Ltd, la société The Pokemon Company, Creatures et Game Freak – ont ainsi entrepris de notifier à la société française DStorage l’existence de ces copies, ainsi que la reproduction servile de différentes de leurs marques. Et cette notification fut faite conformément au formalisme imposé par la loi « Confiance dans l’économie numérique » (LCEN) du 21 juin 2004 (2), dans sa version antérieure à la transposition du Digital Services Act (DSA) de 2022 (3).
En réponse, la société DStorage a invité les sociétés Nintendo à utiliser son outil de retrait dénommé « Takedown tool » ou bien à saisir un juge afin d’obtenir une ordonnance constatant le caractère manifestement illicite des contenus notifiés. Dans un second temps, la société DStorage a également indiqué aux sociétés Nintendo que les contenus violant des droits de propriété intellectuelle n’entreraient pas dans le périmètre des contenus manifestement illicites au sens de la LCEN. Face à l’inaction de la société DStorage, les sociétés Nintendo (suite)
ont engagé une action en responsabilité afin d’obtenir le retrait des contenus. Par un arrêt du 12 avril 2023, la cour d’appel de Paris a fait droit aux demandes des sociétés Nintendo. En n’agissant pas promptement pour retirer ces données, la société DStorage a engagé sa responsabilité en qualité d’hébergeur de contenus. Alors que Nintendo avait valablement suivi la procédure de notification. La cour d’appel a ordonné à la société DStorage de supprimer les contenus litigieux sous astreinte de 1.000 euros par jour, l’astreinte courant sur six mois, et de publier la décision sur son site Internet. Enfin, elle a condamné DStorage à payer à la société Nintendo la somme de 442.750 euros en réparation de son préjudice commercial.
La société DStorage s’est pourvue en cassation en invoquant l’absence de preuve du caractère manifestement illicite des contenus litigieux et que l’injonction de retrait faite par la cour d’appel de Paris reviendrait à imposer une obligation générale de surveillance.
Dans cette affaire, la question tranchée par les juridictions successivement saisies consistait ainsi à déterminer si la société DStorage avait rempli les conditions d’exonération de sa responsabilité, à savoir : la connaissance des contenus illicites résultant de la notification opérée par les sociétés Nintendo, et la diligence dans le retrait des contenus notifiés (4). La LCEN, transposant en droit français la directive européenne « E-commerce » de 2000, prévoit que la responsabilité des hébergeurs de contenus en ligne peut être engagée dès lors qu’ils ont eu connaissance de manière effective de l’existence de contenus manifestement illicites « ou de faits et circonstances faisant apparaître ce caractère », et qu’ils n’ont pas agi promptement pour les retirer ou rendre leur accès impossible (5).

Notification de contenus illicites : formalisme
La LCEN – dans sa version applicable aux faits, soit avant la modification résultant de l’entrée en vigueur du DSA – disposait par ailleurs que « la connaissance des faits litigieux est présumée acquise lorsque la notification est faite conformément à certaines exigences, impliquant notamment une description des faits litigieux et leur localisation précise » (6). Concrètement, le prestataire doit recevoir des éléments permettant à un « opérateur économique diligent » de constater aisément et sans examen juridique approfondi l’existence du caractère manifestement illicite des contenus litigieux. La société DStorage reprochait notamment à la notification effectuée par les sociétés Nintendo de ne pas prouver la titularité des droits d’auteur sur les jeux, ainsi que le caractère contrefaisant des copies diffusées via le site « 1fichier.com », ainsi que de ne pas avoir utilisé leur outil « Takedown tool ». La cour d’appel a confirmé d’une part que les sociétés Nintendo pouvaient se prévaloir des présomptions légales, tant pour la titularité de leurs droits que pour l’originalité des jeux vidéo, en particulier au regard de leur renommée mondiale. Elle rappelle que ces exigences ne sont pas requises par la LCEN, sur la base de laquelle elles engageaient la responsabilité délictuelle de la société DStorage, contrairement à une action en contrefaçon imposant en effet ces démonstrations.

Le DSA n’était pas applicable en 2018
La société DStorage invoquait également le fait que le DSA prévoit que les hébergeurs doivent désormais fournir des outils de notification des contenus illicites, tels que « Takedown tool », permettant d’alléger les obligations mises à la charge des hébergeurs. Néanmoins, comme le rappelle la cour d’appel, ces dispositions n’étaient pas applicables en 2018 et n’étaient donc pas de nature à exonérer la société DStorage de sa responsabilité en raison du non-retrait des contenus litigieux qui lui avaient été notifiés selon les exigences de la LCEN, dans sa version alors applicable. La plus haute juridiction française a rejeté le pourvoi de DStorage et confirmé qu’en l’absence de contestation sur ces points, les demandeurs n’avaient pas à démontrer l’originalité ni la titularité des droits des jeux en cause. Par ailleurs, elle a retenu que les notifications effectuées par les sociétés Nintendo étaient suffisantes au regard des exigences de la LCEN pour permettre d’établir le caractère manifestement illicite des contenus et donc imposer leur prompt retrait par la société DStorage, compte tenu notamment de l’identification précise des contenus et de leur localisation.
La société DStorage considérait que l’injonction de la cour d’appel de retirer les contenus litigieux revenait à lui imposer une obligation générale de surveillance, laquelle est pourtant prohibée par la LCEN (7), et désormais du DSA (8). Néanmoins, la Cour de cassation a également rejeté le pourvoir sur ce fondement. Dans son arrêt, elle rappelle en effet que si les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus qu’ils stockent ou transmettent, ni à une obligation générale de rechercher des faits ou circonstances révélant des activités illicites, ils peuvent se voir imposer une activité de surveillance ciblée et temporaire. La mesure ordonnée par la cour d’appel visant des contenus précis et étant limitée à une durée temporaire de six mois, la plus haute juridiction a considéré que le cadre légal de la LCEN et du régime de responsabilité limitée des hébergeurs était respecté. Cette décision s’inscrit dans la continuité de la décision de la chambre commerciale de la Cour de cassation qui, dans une décision de mars 2024, avait rappelé qu’un hébergeur n’est pas susceptible d’être condamné à déployer un dispositif permettant de bloquer l’accès à des contenus illicites de manière illimitée dans le temps et portant sur les éventuels contenus à venir (9).
Bien que le DSA, entrée en vigueur le 17 février 2024, n’ait pas été directement applicable dans cette affaire dont les faits remontent à avant, son influence est perceptible dans les arguments déployés par la société DStorage ou les motifs de la décision de la Cour de cassation. De fait, le DSA vise à renforcer la régulation des grandes plateformes numériques en précisant les obligations de transparence et de diligence imposées en matière de gestion des contenus illicites diffusés grâce à leurs services.
Les hébergeurs sont désormais tenus d’instaurer des systèmes de modération et de notification des contenus illicites. Le DSA prévoit en effet que les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant à tout particulier ou toute entité légale de leur signaler la présence de contenus illicites (10), à l’instar de l’outil « Takedown tool » dont se prévalait la société DStorage. Le DSA instaure également des mécanismes pour améliorer le traitement de ces notifications et renforcer leurs obligations à l’égard des injonctions des autorités compétentes, en lien avec des contenus illicites. Le non-respect de ces obligations est susceptible de donner lieu à des amende d’un montant maximum de 6 % du chiffre d’affaires mondial annuel de la grande plateforme numérique concernée.
L’un des enseignements majeurs de l’arrêt du 26 février 2025 réside dans la réaffirmation du principe selon lequel l’hébergeur, pour bénéficier de l’exonération de responsabilité prévue par la LCEN (11), doit agir rapidement et de manière diligente pour retirer les contenus illicites une fois qu’il en a été informé.

Vers des politiques proactives de contrôle
Dans cette décision, la Cour de cassation rappelle que la responsabilité des hébergeurs ne peut être exclue s’ils ne mettent pas en œuvre des moyens raisonnables pour surveiller activement les contenus partagés par leurs utilisateurs. Cette position renforce la nécessité, pour les acteurs du secteur numérique, de mettre en place des mécanismes efficaces de notification et de retrait des contenus illicites. En outre, la plus haute juridiction française incite à la mise en place de politiques proactives de contrôle, d’autant plus dans un contexte où la régulation des plateformes devient de plus en plus stricte. @

La société DStorage continue de défendre la licéité de son service d’hébergement 1fichier.com

Publié le par
La société DStorage, fondée il y a 15 ans par son actuel PDG Nessim Yohan Tordjman, défend inlassablement la légalité de son service d’hébergement 1fichier.com qualifié à tort de « site illicite ». Dernière action en date : un droit de réponse publié par l’Alpa dans la dernière étude de Médiamétrie. La société vosgienne DStorage fête ses 15 ans, ayant été créée le 9 avril 2009 par son PDG Nessim Yohan Tordjman, un ancien administrateur systèmes et réseaux de chez Free durant dix ans. Elle exploite notamment le site d’hébergement 1fichier.com, qui est souvent désigné depuis plus de dix ans comme « site illicite » ou « site illégal » par les ayants droit. Mais que cela soit devant la justice ou auprès des médias, DStorage ne cesse de défendre la légalité de son service de stockage. « Pas plus illicite que Wetransfer ou Google Drive » Ce fut encore le cas fin mars, DStorage ayant obtenu de l’Association de la lutte contre la piraterie audiovisuelle (Alpa) un « droit de réponse » qui, selon les constatations de Edition Multimédi@, a été inséré dans sa dernière étude « Audience des sites illicites dédiés à la consommation vidéo en France ». Celle-ci montre l’évolution du piratage audiovisuel sur Internet de décembre 2021 à décembre 2023. Cette étude mise en ligne le 7 mars dernier a été commanditée auprès de Médiamétrie par l’Alpa, présidée depuis plus de 20 ans par Nicolas Seydoux (photo). Le site 1fichier.com y est désigné comme étant en tête du « Top 10 » des « sites illégaux les plus utilisés », avec plus de 1,3 million de visites uniques sur le mois de décembre 2023, devant Yggtorrent.qa (0,65 million) ou encore Wawacity.autos (0,5 million). Toujours en décembre 2023, 1fichier.com dépasse même le site légal Paramount+ en termes d’audience. Le droit de réponse est apparu dans l’étude quelques jours après sa publication, soit fin mars (1), à la demande de l’avocat de la société DStorage, Ronan Hardouin. « La société DStorage souhaite attirer l’attention du lecteur de cette étude sur les largesses de qualification juridique que s’autorise l’Alpa en ciblant le service de cloud storage 1fichier.com comme un site illicite. Le service 1fichier.com n’est pas plus illicite que les services de cloud storage comme Wetransfer ou Google Drive. Il ne peut être assimilé à des fermes de liens », assure l’entreprise de Nessim Yohan Tordjman. Et son droit de réponse de poursuivre : « Aucune juridiction n’a d’ailleurs considéré 1fichier.com comme un service illicite malgré les tentatives d’ayants droit appuyant leurs prétentions en étroite collaboration avec l’Alpa. Les efforts de la société DStorage dans la lutte contre les contenus illicites ne peuvent ainsi être éludés : procédure de retrait des contenus – interdiction d’utiliser le service pour porter atteinte aux droits de propriété intellectuelle de tiers ». Le droit de réponse de la société vosgienne se termine ainsi : « Le service 1fichier.com est donc un service d’hébergement licite soumis au régime de responsabilité limitée prévu par la loi pour la confiance dans l’économie numérique [la LCEN de 2004, ndlr] et ne peut être qualifié de manière discrétionnaire par l’Alpa de “site illicite” ». A noter qu’une autre demande d’exercice d’un droit de réponse avait parallèlement été envoyé au directeur de la publication de Edition Multimédi@, qui, dans son n°318 daté du 25 mars, avait mentionné 1fichier.com comme étant, d’après Médiamétrie, un « site illégal » (2). « La société DStorage, qui dispose d’un siège social en France, prohibe dans ses conditions d’utilisation (3) tout usage portant atteinte aux droits de propriété intellectuelle et informe depuis ses pages sur les conditions de retrait d’un contenu », nous a notamment précisé Me Ronan Hardouin. Or, dans la nouvelle étude à janvier 2024 parue en avril, le droit de réponse n’apparaît plus ni la mention « sites illégaux » (4). Cette mise au point n’est pas la première pour DStorage qui a eu maille à partir avec l’ancienne Hadopi (fondue depuis dans l’Arcom), mais aussi depuis quelques années avec la justice. Devant les tribunaux, la société domiciliée à La Chapelle-aux-Bois (Grand-Est) revendique à chaque fois son statut d’hébergeur « à responsabilité limitée » consacré par la loi française LCEN de 2004, laquelle a transposé il y a 20 ans maintenant la directive européenne « E-commerce » de 2000 qui protège les hébergeurs. Affaires « Nintendo » et « Nancy » en cassation Ainsi, DStorage a croisé le fer judiciaire à Nancy en 2021 avec les membres de l’Alpa (audiovisuel et cinéma), la Fédération nationale des éditeurs de films (FNEF), la Société des auteurs, compositeurs et éditeurs de musique (Sacem) ou encore la Société civile des producteurs phonographiques (SCPP). Dans un arrêt daté du 25 septembre 2023, la cour d’appel de Nancy a condamné DStorage. Avec Nintendo cette fois, la cour d’appel de Paris a confirmé – dans un arrêt du 12 avril 2023 – la condamnation de DStorage. Dans ces deux affaires, Me Ronan Hardouin nous indique que la société DStorage s’est pourvue en cassation. Et depuis 2015, la société vosgienne se bat contre la Société Générale qui l’avait bannie pour « contrefaçon » sur les signalements de l’éditeur indien Zee Entertainment. Cette affaire suit aussi son cours. @

Charles de Laubier

La Quadrature du Net n’a pas réussi à « faire tomber » l’ex-Hadopi devant le juge européen

Publié le par

L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.

Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.

15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).

L’association LQDN a considéré devant le Conseil d’Etat que « la riposte graduée est doublement contraire au droit de l’Union européenne ». « D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par l[‘]Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave » (5). A ces griefs portés par LQDN à l’encontre de la réponse graduée s’ajoute le fait que ce même décret oblige les opérateurs télécoms – Orange, SFR, Bouygues Telecom et Free principalement – et les hébergeurs à conserver pendant une durée d’un an les données de connexion de l’ensemble des internautes, à savoir leurs identifiants, la date, l’heure et l’objet de leurs consultations. C’est par cette conservation généralisée des données de connexion – en particulier de l’adresse IP considérée comme une donnée personnelle depuis une décision (6) de la Cour de cassation en 2016 (subordonnant leur collecte à une déclaration préalable auprès de la Cnil) – que l’Hadopi (devenue Arcom) peut identifier les internautes « flashés » sur le Net. Rappelons que depuis près de quinze ans maintenant, ce sont les organisations de la musique (SCPP, Sacem/SDRM et SPPF) et du cinéma (Alpa) qui fournissent à l’Hadopi-Arcom les millions d’adresses IP collectées par la société nantaise Trident Media Guard (TMG) sous le contrôle de la Cnil (7).
Or, n’a cessé de rappeler LQDN, ce régime de conservation généralisée des données de connexion est contraire au droit de l’Union européenne puisque la CJUE elle-même s’est opposées – dans quatre arrêts différents (2014, 2016, 2020 et 2022) – à toute conservation généralisée et indifférenciée des données de connexion, sauf à deux conditions cumulatives : qu’il s’agisse d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante. LQDN avait « enfoncé le clou », selon sa propre expression, en posant lors de sa saisine du Conseil d’Etat une question prioritaire de constitutionnalité (QPC) pour demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci (loi Hadopi de 2009 et son décret « Traitement automatisé de données à caractère personnel ») est cruciale pour la résolution d’un litige.

Adresse IP : « Petit couac », grande procédure
Dans une décision alambiquée rendue le 20 mars 2020, le Conseil constitutionnel a censuré le mot « notamment » jugé anticonstitutionnelle dans l’article 5 de la loi dite « Hadopi 1 » (8). Les juges du Palais-Royal avaient ainsi ordonné à l’Hadopi de s’en tenir aux seules données personnelles que sont « l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques » de l’abonné concerné (9). Or dans cette énumération, il n’y a pas l’adresse IP parmi les données personnelles. « Petit couac pour la Hadopi », s’était alors félicitée LQDN. Les quatre associations françaises ont profité de cette brèche pour remonter au créneau juridictionnel en affirmant que l’accès par l’Hadopi- Arcom aux adresses IP des internautes contrevenants est illégal (car il n’y a pas de criminalité grave au sens de la CJUE) et que le décret permettant d’enregistrer ces adresses IP serait sans fondement depuis cette censure partielle du Conseil constitutionnel (l’adresse IP n’étant pas mentionné).

Deux mêmes conclusions de l’avocat général
Pour une nouvelle audience publique organisée précipitamment par Conseil d’Etat le 3 mai 2021 dans le cadre de cette même affaire (n°433539), les associations LQDN, FDN, FFDN et Franciliens.net ont déposé un nouveau mémoire (10) développant ces deux points susceptibles de « faire tomber » l’Hadopi. « Le Conseil d’Etat a décidé de botter en touche et de transmettre à la CJUE une “question préjudicielle” (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation », avait pointé LQDN. Le mémoire, déposé par l’avocat des associations, Alexis Fitzjean Ó Cobhthaigh, conclut que « le décret [“Traitement automatisé de données à caractère personnel” du 5 mars 2010] attaqué a été pris en application de dispositions législatives contraires à la Charte des droits fondamentaux de l’Union européenne […], ainsi qu’à […] la directive [“ePrivacy”] du 12 juillet 2002 en ce qu’il organise l’accès par [l‘Hadopi] à des données de connexion ».
Donc, « le refus, opposé par le Premier ministre, d’abroger ces dispositions, est illégal et ne pourra ainsi qu’être annulé ». A la question préjudicielle transmise par le Conseil d’Etat, l’avocat général de la CJUE Maciej Szpunar avait une première fois – le 27 octobre 2022 (affaire n°C-470/21) – présenté ses conclusions : « L’article 15, paragraphe 1, de la directive [“ePrivacy”], lu à la lumière […] de la Charte des droits fondamentaux de l’Union européenne, […] ne s’oppose pas à une réglementation nationale [la loi Hadopi et son décret contesté en France, ndlr] permettant la conservation […] des données d’identité civile correspondant à des adresses IP […] lorsque ces données constituent le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction » (11). Fermez le ban ? Or coup de théâtre, la grande chambre de la CJUE a demandé le 7 mars 2023 le renvoi de cette affaire à l’assemblée plénière. Par cette réouverture de la procédure pour poser des questions orales, notamment sur l’identité civile correspondant à une adresse IP (12) et en présence cette fois du Contrôleur européen de la protection des données (CEPD) et de l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’avocat général Maciej Szpunar a dû « approfondir certains éléments de [son] raisonnement ». Mais ses deuxièmes conclusions présentées le 28 septembre 2023 s’avèrent identiques (13) aux premières du 27 octobre 2022.
Tout ça pour ça, pourrait-on dire. La réponse graduée est donc sur le point – sans préjuger du verdict final de la CJUE – d’être confortée au regard du droit de l’Union européenne, alors que le traitement automatisé de données à caractère personnel de la loi Hadopi de 2009 et de son décret du 5 mars 2010 semblaient « hors-la-loi ». Faut-il rappeler le fonctionnement de la réponse graduée :
Dans un premier temps, et sans contrôle préalable par une juridiction ou une entité administrative, l’adresse IP (donnée personnelle) de l’internaute collectées par les ayants droit est transmise au FAI (14) par l’Arcom (ex-Hadopi) pour obtenir d’eux (Orange, SFR, Bouygues Telecom et Free) l’identité civile de l’internaute présumé « pirate du Net » ;
Dans un second temps, l’Arcom (ex-Hadopi) adresse à ce dernier une recommandation lui enjoignant de s’abstenir de tout nouveau manquement, suivie d’un nouvel avertissement en cas de renouvellement de l’atteinte. S’il n’est pas tenu compte des deux premiers avertissements et qu’une troisième atteinte a lieu, l’Arcom (ex-Hadopi) peut saisir l’autorité judiciaire compétente en vue d’engager des poursuites pénales.
La réponse graduée porte-t-elle atteinte à la vie privée de l’internaute ? Réponse de Maciej Szpunar : « Ainsi que je l’ai souligné, la gravité de l’ingérence que suppose la mise en relation d’une donnée d’identité civile et d’une adresse IP est bien moindre que celle résultant de l’accès à l’ensemble des données de trafic et de localisation d’une personne, dans la mesure où cette mise en relation n’apporte aucun élément permettant de tirer des conclusions précises sur la vie privée de la personne visée ». Ce à quoi l’avocat général ajoute : « Ainsi que je l’ai déjà souligné, (…) l’obtention des données d’identité civile correspondant à une adresse IP est le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction en cause ».

Mise en cause de la jurisprudence existante ?
Pour convaincre la CJUE, il précise tout de même que « la solution qu[‘il] propose vise non pas à remettre en cause la jurisprudence existante, mais à permettre, au nom d’un certain pragmatisme, son adaptation en des circonstances particulières et très étroitement circonscrites ». L’affaire semble entendue. A moins que la CJUE ne suivent pas les conclusions de son avocat général, comme cela est le cas dans plus de 20 % des affaires tout de même… A suivre. @

Charles de Laubier

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

Publié le par
C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité. Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume. Pas de conservation généralisée On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion. Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen. La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace. C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne. En France, 3 décrets : délais de 1 à 5 ans En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée : Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques. Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4). Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5). Cour de cassation : les arrêts de l’été 2022 Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7). La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales ! La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données ! La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant. La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire. Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne. Les défenseurs de la vie privée veillent Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente du Conseil national des barreaux (CNB) après avoir été bâtonnier du Barreau de Paris, est l’auteure de « Cyberdroit » (Dalloz 2019-2020) et co-auteure de « Cybersécurité, mode d’emploi » (PUF 2022).

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

Publié le par

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris