Après avoir interrogé la Cour de justice de l’Union européenne, le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen, car il n’impose pas que les données utilisées par l’Arcom soient conservées de façon cloisonnée par les opérateurs internet et autorise plus de deux recoupements de données par l’Arcom sans autorisation préalable par un juge, alors que de tels recoupements peuvent porter atteinte au droit à protection de la vie privée. Il enjoint au Gouvernement de mettre en conformité ce dispositif.
Le code de la propriété intellectuelle impose à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de piratage d’œuvres protégées.
Pour assurer le respect de cette obligation, l’Arcom, qui a succédé à Hadopi le 1er janvier 2022, met en œuvre une procédure dite de « réponse graduée » en trois étapes successives : au premier manquement constaté, un avertissement est adressé à l’abonné ; au deuxième, un nouvel avertissement ; au troisième, le dossier est transmis au procureur de la République.
Pour identifier ces abonnés, l'Arcom est habilitée – sur la base de signalements réalisés par des organismes professionnels ou des autorités publiques – à saisir les opérateurs internet pour qu’ils associent les adresses IP ayant servi à télécharger illégalement des œuvres à des cordonnées d’identité. Une fois cette association faite par les opérateurs, l’Arcom peut ainsi connaître l’identité des personnes concernées et faire jouer à leur égard la « réponse graduée ». Les caractéristiques de ce traitement de données personnelles, dénommé « Système de gestion des mesures pour la protection des œuvres sur internet », sont fixées par le décret du 5 mars 2010.
L’association La Quadrature du Net et trois autres associations, opposées au principe même d’un tel dispositif, ont saisi le Conseil d’État pour demander l’annulation du décret, l’estimant contraire au droit de l’Union européenne. Avant de se prononcer sur la légalité du dispositif existant, le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) le 5 juillet 2021, afin qu’elle précise l’interprétation à retenir de la directive vie privée et communications électroniques du 12 juillet 2002.
Des limites précisées par la CJUE
Le 30 avril 2024, la CJUE a précisé qu’un État membre peut imposer une conservation généralisée des données relatives à l’identité civile et des adresses IP correspondantes aux opérateurs internet, y compris pour réprimer des infractions pénales ne présentant pas une particulière gravité. Toutefois, dans ce cas, les données en cause doivent être conservées de façon cloisonnée afin d’éviter les risques d’ingérences graves dans la vie privée des personnes par recoupement avec d’autres données conservées.
En outre, quelle que soit la gravité de l’infraction, si une autorité publique nationale est autorisée à accéder à des données d’identité de personnes soupçonnées d’avoir commis des infractions, elle ne doit pas être en mesure de tirer des conclusions précises sur la vie privée des internautes. C’est pourquoi si l’autorité publique a déjà, à deux reprises, mis en relation les données d’identité d’un même abonné avec des informations sur le contenu d’œuvres qu’il aurait piratées, elle ne peut procéder à une troisième mise en relation de ce type sans y avoir été préalablement autorisée par une juridiction ou une entité administrative indépendante.
Le traitement de données doit être revu pour être conforme au droit de l’UE
Tirant les conséquences de l’arrêt de la CJUE, et au vu des arguments des associations requérantes, le Conseil d’État juge aujourd’hui que le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne.
En effet, il n’empêche pas l’Arcom de recevoir des données d’identité des opérateurs internet qui n’auraient pas été conservées de manière cloisonnée, comme l’exige le droit européen en matière de lutte contre des infractions pénales ne présentant pas une particulière gravité. Il autorise également l’Arcom à mettre en relation une troisième fois pour une même personne, les données d’identification des abonnés avec les informations sur les contenus piratés, sans que cette mise en relation soit subordonnée à l’autorisation d’une juridiction ou d’une entité administrative indépendante.
Il ordonne donc au Gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.
Un cadre de contrôle à titre transitoire
Dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l'Arcom ne peut demander aux opérateurs l'identification d'un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE.
Si des faits de criminalité grave lui sont signalés (délit de contrefaçon), l’Arcom peut demander une telle identification aux opérateurs de communications électroniques, sans avoir à vérifier que les données sont conservées de façon étanche.
Enfin, quelle que soit la gravité de l’infraction, l’Arcom peut continuer à croiser les données sur les contenus des œuvres avec les coordonnées personnelles des internautes, mais uniquement pour leur adresser les deux premiers avertissements de la réponse graduée.
Télécharger le communiqué de presse
La procédure de réponse graduée pour la protection des droits d’auteur Tout titulaire d'un accès à internet est tenu de veiller à ce que sa connexion ne soit pas utilisée pour reproduire, représenter ou mettre à disposition des œuvres protégées par le droit d'auteur ou un droit voisin sans l'autorisation des titulaires de ces droits (article L. 336-3 du code de la propriété intellectuelle). Pour assurer le respect de cette obligation, la loi confie à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) la mise en œuvre d'une procédure dite de « réponse graduée », articulée en trois paliers successifs. Étape 1 : La recommandation simple Lorsque l'Arcom est informée d'un manquement présumé — par un organisme de défense professionnelle, une société de gestion collective, le Centre national du cinéma et de l'image animée (CNC) ou par voie judiciaire —, elle sollicite auprès de l'opérateur de communications électroniques concerné les données permettant d'identifier l'abonné. Elle lui adresse alors une première recommandation lui rappelant ses obligations légales et l'avertissant des sanctions encourues. Étape 2 : La recommandation avec accusé de réception Si les mêmes faits se reproduisent dans un délai de six mois, l'Arcom peut adresser une nouvelle recommandation, cette fois notifiée par lettre remise contre signature ou par tout moyen permettant d'établir la preuve de sa présentation. Étape 3 : La transmission au parquet En cas de nouveaux manquements constatés dans l'année suivant cette seconde recommandation, l'Arcom informe l'abonné que les faits sont susceptibles de poursuites et, le cas échéant, transmet le dossier au procureur de la République compétent. Ces faits sont alors susceptibles de constituer soit l'infraction de négligence caractérisée (article R. 335-5 du code de la propriété intellectuelle), soit des infractions de contrefaçon (articles L. 335-2 à L. 335-4 du même code). Pour mener à bien cette mission, l'Arcom est autorisée à exploiter un traitement automatisé de données à caractère personnel, le « Système de gestion des mesures pour la protection des œuvres sur internet », dont les modalités sont fixées par un décret en Conseil d'État du 5 mars 2010 pris en application de l'article L. 331-23 du code de la propriété intellectuelle. |
L’arrêt de la CJUE du 30 avril 2024 Saisie par le Conseil d'État d'une question préjudicielle, la Cour de justice de l'Union européenne a précisé les conditions dans lesquelles le dispositif de réponse graduée est compatible avec la directive du 12 juillet 2002 relative à la vie privée et aux communications électroniques. La conservation des adresses IP La Cour admet qu'un État membre puisse imposer aux opérateurs de conserver de manière généralisée les adresses IP de leurs utilisateurs à des fins de lutte contre les infractions pénales ne présentant pas une particulière gravité. Cette conservation n'est toutefois licite qu'à la condition d'être effectivement cloisonnée, c'est-à-dire qu'elle ne puisse en aucun cas être croisée avec des données de trafic ou de localisation susceptibles de révéler des aspects sensibles de la vie privée des personnes concernées. L’accès aux données d'identité civile La Cour juge qu'une autorité publique chargée de la protection des droits d'auteur peut, en principe, accéder aux données permettant d'identifier un abonné à partir de son adresse IP sans contrôle préalable systématique. En effet, la seule connaissance de l'identité civile d'un abonné ne porte pas, par elle-même, une atteinte grave à la vie privée. La limite à partir de la troisième mise en relation La situation est différente lorsque cette même autorité croise les données d'identité d'un abonné avec des informations relatives au contenu des œuvres illégalement mises à disposition. Une telle mise en relation est susceptible d'éclairer des aspects sensibles de la vie privée de l'intéressé. La Cour en déduit que, dès lors qu'une telle opération a déjà été réalisée à deux reprises pour une même personne, une troisième mise en relation ne peut intervenir sans autorisation préalable d'une juridiction ou d'une entité administrative indépendante. Ce contrôle, qui ne peut être entièrement automatisé, doit en principe être effectué avant tout accès aux données, sauf urgence dûment justifiée. Il appartient à l'organe de contrôle de refuser cet accès lorsque les éléments disponibles ne permettent pas de caractériser des formes graves de criminalité. |