Internet

Approbation graduée

Hadopi : la CJUE valide la surveillance des IP, la Quadrature déçue

Par Sébastien Gavois

Le 02 Mai 2024 à 10h50
Droit
7 min 16

Internet

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

La cour de justice de l’Union européenne vient de rendre un arrêt (.pdf) expliquant qu’une « autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP ». Cette décision fait suite à une saisie du Conseil constitutionnel par quatre associations, dont la Quadrature du Net.

En ligne de mire, bien évidemment, la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet, ou « fameuse » Hadopi. Pour rappel, la Hadopi et le CSA ont fusionné début 2022 pour donner naissance à une nouvelle autorité : l’Arcom.

Attaque contre la riposte graduée : réponse graduée

Pour en revenir à notre affaire, deux décrets étaient examinés par la Cour de justice de l’Union européenne. Le premier, sur la collecte et la mise à disposition de la Hadopi d’adresses IP « utilisées sur des sites de pair-à-pair ». Le second, sur la « mise en correspondance entre l’adresse IP et les données d’identité civile de son titulaire par les fournisseurs d’accès à Internet ». Le tout formant un rouage de la riposte graduée.

Quatre associations de protection des droits et libertés sur Internet – Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network – ont saisi le Conseil d'État français d’un recours. L’institution française s’est alors tournée vers la Cour de justice de l’Union européenne pour savoir « si les traitements de données précités sont compatibles avec le droit de l’Union ».

Pour la Cour, ce n’est « pas nécessairement une ingérence grave »

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Commentaires (16)


5francs Abonné
Le 02/05/2024 à 11h01
Il serait agréable de préciser que Mac Rees fut ancien rédacteur en chef de nextinpact, ancêtre de next.ink...
Winderly Abonné
Le 02/05/2024 à 11h23
Excellent article, merci.
Bloptimus Abonné
Le 02/05/2024 à 12h02
Bel article, merci !
fred42 Abonné
Le 02/05/2024 à 12h22
Cette décision fait suite à une saisie du Conseil constitutionnel par quatre associations, dont la Quadrature du Net.


Non. C'est le Conseil d'État qui a été saisi et il a lui-même saisi le Conseil Constitutionnel pour ce qui est d'une violation possible de la constitution et aussi la CJUE pour ce qui est d'une violation possible des textes de l'UE.

Remarque : Le Conseil Constitutionnel ne se prononce pas sur des décrets mais sur des lois, c'est donc étrange qu'il ai été sollicité. En fait, il l'a été car c'est un article de loi qui faisait partie de la base légale du décret, en annulant l'article de loi, le décret tomberait.

J'ai signalé le soucis à la rédaction sur le Conseil Constitutionnel, mais je n’avais pas encore commencé la lecture de l'Arrêt de la CJUE. Je fais donc ce commentaire pour expliquer à tous l'enchaînement des saisies.

Je poursuis ma lecture de l'arrêt de la CJUE.
pamputt Abonné
Le 02/05/2024 à 12h26
Une telle conservation [de l'adresse IP] est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée ».

De ce que je comprends, cela couvre le fait de ne pas savoir que j'ai téléchargé un documentaire sur le nazisme, l'homosexualité, etc pour ne pas pouvoir associer mes idéologies politiques, mon orientation sexuelle, etc à mon identité civile. Reste à voir comment ça va être mis en place.
Jarodd Abonné
Le 02/05/2024 à 12h36
Et, dernier point important : « La preuve sera faite non pas par le téléchargement en lui-même, mais par la mise à disposition illégale des œuvres. Une œuvre téléchargée en peer-to-peer devient en effet disponible pour d'autres internautes qui utilisent la même technique ».


Donc le direct download, qui ne met pas à disposition le fichier à d'autres internautes, reste en dehors du périmètre des filets de l'Arcom (sauf pour le site qui publie le lien, j'imagine).
Kazer2.0 Abonné
Le 02/05/2024 à 14h01
Rien de nouveau sous le soleil pour ça, c'est la mise à disposition et pas le téléchargement illégal qui est généralement puni (me semble que c'est d'ailleurs le cas dans plusieurs pays, dans le texte c'est généralement l'upload et pas forcément le download).

La question que je me pose c'est si les IPs professionnelles sont toujours exclus de l'HADOPI :troll:
fred42 Abonné
Le 02/05/2024 à 13h06
113 Cela étant, divers éléments permettent de considérer que, en l’occurrence, l’ingérence dans la vie privée d’une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins que permet une réglementation telle que celle en cause au principal ne revêt pas nécessairement un degré de gravité élevé. Tout d’abord, conformément à une telle réglementation, l’accès de la Hadopi aux données à caractère personnel en cause est réservé à un nombre limité d’agents agréés et assermentés de cette autorité publique, organe qui bénéficie d’ailleurs d’un statut indépendant conformément à l’article L. 331-12 du CPI. Ensuite, cet accès a pour but unique d’identifier une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins lorsqu’il est constaté qu’une œuvre protégée a illégalement été mise à disposition à partir de son accès à Internet. Enfin, l’accès de la Hadopi aux données à caractère personnel en cause est strictement limité aux données nécessaires à cette fin (voir, par analogie, Cour EDH, 17 octobre 2019, López Ribalda e.a. c. Espagne, CE:ECHR:2019:1017JUD000187413, § 126 et 127).

114 Un autre élément de nature à réduire encore davantage le degré d’ingérence dans les droits fondamentaux à la protection de la vie privée et des données à caractère personnel découlant dudit accès de la Hadopi, qui semble ressortir du dossier dont dispose la Cour mais qu’il incombe à la juridiction de renvoi de vérifier, concerne le fait que, en vertu de la réglementation nationale applicable, les agents de la Hadopi ayant accès aux données et aux informations concernées sont tenus à une obligation de confidentialité leur interdisant de les divulguer sous quelque forme que ce soit, sauf à seules fins de saisir le ministère public, et d’utiliser celles‑ci à des fins autres que l’identification du titulaire d’une adresse IP soupçonné de s’être livré à une activité portant atteinte au droit d’auteur ou à un droit voisin afin de lui imposer l’une des mesures prévues dans le cadre de la procédure de réponse graduée (voir, par analogie, Cour EDH, 17 décembre 2009, Gardel c. France, CE:ECHR:2009:1217JUD001642805, § 70).


Ces points sont censés justifier que atteinte à la vie privée n'est pas grave. Je veux bien que ça soit le cas si le titulaire du contrat d'accès à Internet est l'unique utilisateur de la ligne Internet.

Mais la CJUE n'a pas eu connaissance des points suivants ou ne les a pas considérés :

1) le délit poursuivi n'est pas l'atteinte aux droits d'auteur mais la non sécurisation de l'accès à Internet. C'est donc le titulaire du contrat qui est visé ici.

2) Il est possible pour ce titulaire du contrat de demander et d'obtenir le nom des œuvres contrefaites.

3) Ce peut être une personne autre que le titulaire qui a porté atteinte au droit d'auteur. Dans un foyer, ce nombre de personnes est généralement réduit (éventuellement à une seule autre personne et dans ce cas, le titulaire de l'abonnement sait précisément qui est l'autre personne). Le point 114 cité plus haut n'est donc pas respecté.

Donc, le titulaire de l'abonnement peut déduire de la nature des œuvres soit les préférences sexuelles, politiques, religieuses ou toute autre information personnelle sensible.
Un parent peut donc par exemple apprendre ainsi l'homosexualité de son enfant sans que celui-ci ne veuille lui révéler. Ceci est un cas grave de divulgation d'information personnelle.

La Quadrature ou autre partie peuvent probablement utiliser cet argument devant le Conseil d'État. Si vous connaissez quelqu'un chez eux, vous pouvez pointer mon commentaire ou leur transmettre.
Modifié le 02/05/2024 à 13h08

Historique des modifications :

Posté le 02/05/2024 à 13h06


113 Cela étant, divers éléments permettent de considérer que, en l’occurrence, l’ingérence dans la vie privée d’une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins que permet une réglementation telle que celle en cause au principal ne revêt pas nécessairement un degré de gravité élevé. Tout d’abord, conformément à une telle réglementation, l’accès de la Hadopi aux données à caractère personnel en cause est réservé à un nombre limité d’agents agréés et assermentés de cette autorité publique, organe qui bénéficie d’ailleurs d’un statut indépendant conformément à l’article L. 331-12 du CPI. Ensuite, cet accès a pour but unique d’identifier une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins lorsqu’il est constaté qu’une œuvre protégée a illégalement été mise à disposition à partir de son accès à Internet. Enfin, l’accès de la Hadopi aux données à caractère personnel en cause est strictement limité aux données nécessaires à cette fin (voir, par analogie, Cour EDH, 17 octobre 2019, López Ribalda e.a. c. Espagne, CE:ECHR:2019:1017JUD000187413, § 126 et 127).

114 Un autre élément de nature à réduire encore davantage le degré d’ingérence dans les droits fondamentaux à la protection de la vie privée et des données à caractère personnel découlant dudit accès de la Hadopi, qui semble ressortir du dossier dont dispose la Cour mais qu’il incombe à la juridiction de renvoi de vérifier, concerne le fait que, en vertu de la réglementation nationale applicable, les agents de la Hadopi ayant accès aux données et aux informations concernées sont tenus à une obligation de confidentialité leur interdisant de les divulguer sous quelque forme que ce soit, sauf à seules fins de saisir le ministère public, et d’utiliser celles‑ci à des fins autres que l’identification du titulaire d’une adresse IP soupçonné de s’être livré à une activité portant atteinte au droit d’auteur ou à un droit voisin afin de lui imposer l’une des mesures prévues dans le cadre de la procédure de réponse graduée (voir, par analogie, Cour EDH, 17 décembre 2009, Gardel c. France, CE:ECHR:2009:1217JUD001642805, § 70).


Ces points sont censés justifier que atteinte à la vie privée n'est pas grave. Je veux bien que ça soit le cas si le titulaire du contrat d'accès à Internet est l'unique utilisateur de la ligne Internet.

Mais la CJUE n'a pas eu connaissance des points suivants ou ne les a pas considérés :

1) le délit poursuivi n'est pas l'atteinte aux droits d'auteur mais la non sécurisation de l'accès à Internet. C'est donc le titulaire du contrat qui est visé ici.

2) Il est possible pour ce titulaire du contrat de demander et d'obtenir le nom des œuvres contrefaites.

3) Ce peut être une personne autre que le titulaire qui a porté atteinte au droit d'auteur. Dans un foyer, ce nombre de personnes est généralement réduit (éventuellement à une seule autre personne et dans ce cas, le titulaire de l'abonnement sait précisément qui est l'autre personne). Le point 114 cité plus haut n'est donc pas respecté.

Donc, le titulaire de l'abonnement peut déduire de la nature des œuvres soit les préférences sexuelles, politiques, religieuses ou toute autre information personnelles sensible.
Un parent peut donc par exemple apprendre ainsi l'homosexualité de son enfant sans que celui-ci ne veuille lui révéler. Ceci est un cas grave de divulgation d'information personnelle.

La Quadrature ou autre partie peuvent probablement utiliser cet argument devant le Conseil d'État. Si vous connaissez quelqu'un chez eux, vous pouvez pointer mon commentaire ou leur transmettre.

brupala Abonné
Le 02/05/2024 à 15h11
De tout façon, c'est du combat d'arrière garde, du 15 ans d'âge, aujourd'hui le dada de l'Arcom, c'est le streaming, pas la mise à disposition de fichiers, et de plus ce n'est guère qu'une machine à spam au niveau policier.
pamputt Abonné
Le 02/05/2024 à 15h19
Arrière-garde pas sûr. Si l'objectif de la collecte n'est plus au goût du jour, la méthode en place reste extrêmement dangereuse pou les libertés publiques. Il ne reste qu'à l'appliquer à un autre sujet pour remettre ce combat dans l'actualité.
fred42 Abonné
Le 02/05/2024 à 15h38

pamputt

Arrière-garde pas sûr. Si l'objectif de la collecte n'est plus au goût du jour, la méthode en place reste extrêmement dangereuse pou les libertés publiques. Il ne reste qu'à l'appliquer à un autre sujet pour remettre ce combat dans l'actualité.
Tu peux expliquer concrètement ce que tu crains ? Ou donner des exemples vraisemblables.

Une chose claire qui a été dite par la CJUE, c'est que l'on pouvait utiliser les adresses IP pour identifier les auteurs d'infractions si c'était prévu par la loi. Donc, il ne fallait pas espérer ses arrêtés précédents que toute activité illégale était protégé par l'interdiction de conserver les adresses IP avec un horodatage et des informations identifiantes (C'est moi qui l'exprime ainsi, de même pour la phrase suivante). Il n'y aura donc pas d'impunité sur Internet.

L'autre chose claire, c'est qu'il fallait étudier la proportionnalité entre le droit à la vie privée et la faute poursuivie. Donc, dans ses arrêts précédents, ce qu'elle interdisait étaient l'utilisation des informations conservées par les opérateurs qui permettaient une atteinte grave à la vie privée pour lutter ou punir des infractions non graves (on note l'opposition entre grave et non grave). Récupérer simplement l'identité d'une personne avec son adresse IP et un horodatage n'est pas une atteinte grave à la vie privée. L'association avec d'autres informations peut l'être.
brupala Abonné
Le 02/05/2024 à 22h43

fred42

Tu peux expliquer concrètement ce que tu crains ? Ou donner des exemples vraisemblables.

Une chose claire qui a été dite par la CJUE, c'est que l'on pouvait utiliser les adresses IP pour identifier les auteurs d'infractions si c'était prévu par la loi. Donc, il ne fallait pas espérer ses arrêtés précédents que toute activité illégale était protégé par l'interdiction de conserver les adresses IP avec un horodatage et des informations identifiantes (C'est moi qui l'exprime ainsi, de même pour la phrase suivante). Il n'y aura donc pas d'impunité sur Internet.

L'autre chose claire, c'est qu'il fallait étudier la proportionnalité entre le droit à la vie privée et la faute poursuivie. Donc, dans ses arrêts précédents, ce qu'elle interdisait étaient l'utilisation des informations conservées par les opérateurs qui permettaient une atteinte grave à la vie privée pour lutter ou punir des infractions non graves (on note l'opposition entre grave et non grave). Récupérer simplement l'identité d'une personne avec son adresse IP et un horodatage n'est pas une atteinte grave à la vie privée. L'association avec d'autres informations peut l'être.
L'auteur de l'infraction ...
c'est le locataire de la connexion qui est identifié, et encore, avec les CGnat il faut en plus le port, reste ipv6, mais en cas normal l'adresse d'un client ipv6 change tous les jours (fonction privacy), certes dans le même /64, mais ça ne permet pas d'identifier précisément à postériori, seulement le titulaire du /64 est identifiable.
L'article le répète d'ailleurs, ce n'est pas l'auteur qui est visé mais le soi disant défaut de protection de son réseau privé, soit il dénonce l'auteur, soit autre infraction beaucoup moins grave, on ne peut pas prouver sa culpabilité par ce moyen de l'adresse ipv4/6.
Outils obsolètes et dépassés, débat obsolète aussi.
fred42 Abonné
Le 02/05/2024 à 23h16

brupala

L'auteur de l'infraction ...
c'est le locataire de la connexion qui est identifié, et encore, avec les CGnat il faut en plus le port, reste ipv6, mais en cas normal l'adresse d'un client ipv6 change tous les jours (fonction privacy), certes dans le même /64, mais ça ne permet pas d'identifier précisément à postériori, seulement le titulaire du /64 est identifiable.
L'article le répète d'ailleurs, ce n'est pas l'auteur qui est visé mais le soi disant défaut de protection de son réseau privé, soit il dénonce l'auteur, soit autre infraction beaucoup moins grave, on ne peut pas prouver sa culpabilité par ce moyen de l'adresse ipv4/6.
Outils obsolètes et dépassés, débat obsolète aussi.
Ce que tu dis est incompréhensible et tu mélanges un peu tout.
Ça n'a aucun rapport avec ce que je disais. Je n'ai pas dans ce commentaire parlé d'auteur d'infraction. Je débats du sujet juridique et pas du sujet technique. La technique n'a ici aucun intérêt. La décision de la CJUE est importante d'un point de vue général.
Là, où je peux être d'accord avec toi, c'est que la chasse au P2P de l'ARCOM est un combat d'arrière garde et l'invention du défaut de protection est d'une hypocrisie crasse.

Mais, dans le cas d'une infraction un peu plus grave que le P2P défaut de protection, l'identification du titulaire du contrat aidera fortement ensuite trouver qui, dans le foyer, a commis l'infraction et, l'utilisation de l'adresse IP a été clairement été autorisée ici pour l'identification.
Que ça soit une adresse IP V4 + un numéro de port ou une adresse IPV6 dans un /64 n'a aucune importance d'un point de vue légal, ce qui est validé, c'est l'utilisation des informations de connexion strictement nécessaire à l'identification.

Non, le débat n'est pas obsolète.
brupala Abonné
Le 03/05/2024 à 11h45

fred42

Ce que tu dis est incompréhensible et tu mélanges un peu tout.
Ça n'a aucun rapport avec ce que je disais. Je n'ai pas dans ce commentaire parlé d'auteur d'infraction. Je débats du sujet juridique et pas du sujet technique. La technique n'a ici aucun intérêt. La décision de la CJUE est importante d'un point de vue général.
Là, où je peux être d'accord avec toi, c'est que la chasse au P2P de l'ARCOM est un combat d'arrière garde et l'invention du défaut de protection est d'une hypocrisie crasse.

Mais, dans le cas d'une infraction un peu plus grave que le P2P défaut de protection, l'identification du titulaire du contrat aidera fortement ensuite trouver qui, dans le foyer, a commis l'infraction et, l'utilisation de l'adresse IP a été clairement été autorisée ici pour l'identification.
Que ça soit une adresse IP V4 + un numéro de port ou une adresse IPV6 dans un /64 n'a aucune importance d'un point de vue légal, ce qui est validé, c'est l'utilisation des informations de connexion strictement nécessaire à l'identification.

Non, le débat n'est pas obsolète.
Certes je parle d'aspects différents de ton éclairage, je dis juste que l'adresse IP à elle seule n'assure pas l'identification d'un coupable, il faut d'autres éléments sur le plan juridique, dénonciation par exemple, ce qui fait que l'Arcom n'a guère que le droit d'envoyer des milliers de mails, car elle n'a pas accès à des moyens d'investigation supplémentaires.
fred42 Abonné
Le 03/05/2024 à 13h01

brupala

Certes je parle d'aspects différents de ton éclairage, je dis juste que l'adresse IP à elle seule n'assure pas l'identification d'un coupable, il faut d'autres éléments sur le plan juridique, dénonciation par exemple, ce qui fait que l'Arcom n'a guère que le droit d'envoyer des milliers de mails, car elle n'a pas accès à des moyens d'investigation supplémentaires.
La loi française dit le contraire de ce que tu dis. Le titulaire du contrat est coupable de non sécurisation de son accès Internet. Je sais, c'est une connerie, mais c'est la loi.
brupala Abonné
Le 03/05/2024 à 14h12

fred42

La loi française dit le contraire de ce que tu dis. Le titulaire du contrat est coupable de non sécurisation de son accès Internet. Je sais, c'est une connerie, mais c'est la loi.
On est d'accord: coupable de non sécurisation, ça n'est pas la même chose que le délit qui peut être derrière, par exemple diffamation ou incitation à la haine, voire association terroriste, choses pour lesquelles le locataire de l'adresse IP n'ira pas forcément dénoncer le coupable, il faudra alors prouver que c'est bien lui ou qu'il est complice, ce qui n'est pas forcément le cas.
Je ne sais pas si on est considéré comme complice si on refuse de dénoncer.
Fermer