Plusieurs associations ont demandé au Conseil d’Etat l’abrogation du texte qui définit les modalités de recueil par la Hadopi des informations personnelles attachées à une adresse IP et qu’ils jugent contraires à la directive européenne « Vie privée et communications » . Avant de statuer, le Conseil d'État estime nécessaire d’interroger la Cour de justice de l’Union Européenne (CJUE) pour savoir notamment si la directive européenne impose à la Hadopi d’obtenir, avant toute demande de données personnelles aux fournisseurs d’accès internet, l’autorisation d’une juridiction ou d’une entité administrative indépendante.
La Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) peut obtenir auprès des fournisseurs d’accès à internet les données d’identité civile (identité, coordonnées électroniques, téléphoniques et postales) correspondant à une adresse IP, afin de lutter contre la reproduction et la diffusion illégale d’œuvres protégées par les droits d’auteurs. Elle utilise en effet ces données pour adresser aux auteurs de manquements une première puis, le cas échéant, une deuxième recommandation de respecter la loi, avant de saisir l’autorité judiciaire pour qu’elle engage des poursuites pénales si les manquements se poursuivent. Depuis 2009, la Hadopi a envoyé 12,7 millions de recommandations, dont 827 791 en 2019.
Plusieurs associations engagées dans le domaine de la protection des données personnelles ont contesté devant le Conseil d'État le décret qui encadre ce recueil de données personnelles par la Hadopi.
Le Conseil d’Etat a d’abord renvoyé au Conseil constitutionnel une question prioritaire de constitutionnalité (QPC) sur la loi autorisant la Hadopi à obtenir ces informations. Par sa décision du 20 mai 2020 , le Conseil constitutionnel a validé les dispositions de la loi qui permettent à la Hadopi de recueillir l'identité et les coordonnées électroniques, téléphoniques et postales des auteurs des manquements.
Le Conseil d’Etat doit désormais contrôler que le décret attaqué respecte le droit de l’Union européenne, et notamment la directive « Vie privée et communications électroniques »1. Ce contrôle pose une question d’interprétation de la directive européenne sur les garanties qu’elle prévoit en matière d’accès des autorités aux données d’identité des utilisateurs d’internet.
Le Conseil d'État estime nécessaire de poser les questions suivantes à la CJUE :
Les données d’identité civile correspondant à une adresse IP sont-elles des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ?
S’il est répondu par l’affirmative à la 1ère question, eu égard à la faible sensibilité des données concernées, une autorisation préalable d’une juridiction ou une entité administrative indépendante est-elle véritablement nécessaire, avant toute demande auprès d’un fournisseur ?
S’il est répondu par l’affirmative à la 2ème question, eu égard à la faible sensibilité des données concernées, le contrôle préalable des requêtes aux fournisseurs d’accès peut-il être notamment automatisé, sous la supervision d'un service interne à l’organisme (la Hadopi, ici) présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ?
Une fois que la CJUE aura statué sur ces questions, il reviendra au Conseil d’État d’en tirer les conséquences et de se prononcer sur le décret attaqué.
1Directive 2002/58/CE - Vie privée et communications
> Lire la décision n°433539