La cour de justice de l’Union européenne vient de rendre un arrêt (.pdf) expliquant qu’une « autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP ». Cette décision fait suite à une saisie du Conseil constitutionnel par quatre associations, dont la Quadrature du Net.
En ligne de mire, bien évidemment, la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet, ou « fameuse » Hadopi. Pour rappel, la Hadopi et le CSA ont fusionné début 2022 pour donner naissance à une nouvelle autorité : l’Arcom.
Attaque contre la riposte graduée : réponse graduée
Pour en revenir à notre affaire, deux décrets étaient examinés par la Cour de justice de l’Union européenne. Le premier, sur la collecte et la mise à disposition de la Hadopi d’adresses IP « utilisées sur des sites de pair-à-pair ». Le second, sur la « mise en correspondance entre l’adresse IP et les données d’identité civile de son titulaire par les fournisseurs d’accès à Internet ». Le tout formant un rouage de la riposte graduée.
Quatre associations de protection des droits et libertés sur Internet – Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network – ont saisi le Conseil d'État français d’un recours. L’institution française s’est alors tournée vers la Cour de justice de l’Union européenne pour savoir « si les traitements de données précités sont compatibles avec le droit de l’Union ».
Pour la Cour, ce n’est « pas nécessairement une ingérence grave »
Abonnez-vous pour tout dévorer et ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (16)
#1
#2
#3
#4
Non. C'est le Conseil d'État qui a été saisi et il a lui-même saisi le Conseil Constitutionnel pour ce qui est d'une violation possible de la constitution et aussi la CJUE pour ce qui est d'une violation possible des textes de l'UE.
Remarque : Le Conseil Constitutionnel ne se prononce pas sur des décrets mais sur des lois, c'est donc étrange qu'il ai été sollicité. En fait, il l'a été car c'est un article de loi qui faisait partie de la base légale du décret, en annulant l'article de loi, le décret tomberait.
J'ai signalé le soucis à la rédaction sur le Conseil Constitutionnel, mais je n’avais pas encore commencé la lecture de l'Arrêt de la CJUE. Je fais donc ce commentaire pour expliquer à tous l'enchaînement des saisies.
Je poursuis ma lecture de l'arrêt de la CJUE.
#5
De ce que je comprends, cela couvre le fait de ne pas savoir que j'ai téléchargé un documentaire sur le nazisme, l'homosexualité, etc pour ne pas pouvoir associer mes idéologies politiques, mon orientation sexuelle, etc à mon identité civile. Reste à voir comment ça va être mis en place.
#6
Donc le direct download, qui ne met pas à disposition le fichier à d'autres internautes, reste en dehors du périmètre des filets de l'Arcom (sauf pour le site qui publie le lien, j'imagine).
#6.1
La question que je me pose c'est si les IPs professionnelles sont toujours exclus de l'HADOPI
#7
Ces points sont censés justifier que atteinte à la vie privée n'est pas grave. Je veux bien que ça soit le cas si le titulaire du contrat d'accès à Internet est l'unique utilisateur de la ligne Internet.
Mais la CJUE n'a pas eu connaissance des points suivants ou ne les a pas considérés :
1) le délit poursuivi n'est pas l'atteinte aux droits d'auteur mais la non sécurisation de l'accès à Internet. C'est donc le titulaire du contrat qui est visé ici.
2) Il est possible pour ce titulaire du contrat de demander et d'obtenir le nom des œuvres contrefaites.
3) Ce peut être une personne autre que le titulaire qui a porté atteinte au droit d'auteur. Dans un foyer, ce nombre de personnes est généralement réduit (éventuellement à une seule autre personne et dans ce cas, le titulaire de l'abonnement sait précisément qui est l'autre personne). Le point 114 cité plus haut n'est donc pas respecté.
Donc, le titulaire de l'abonnement peut déduire de la nature des œuvres soit les préférences sexuelles, politiques, religieuses ou toute autre information personnelle sensible.
Un parent peut donc par exemple apprendre ainsi l'homosexualité de son enfant sans que celui-ci ne veuille lui révéler. Ceci est un cas grave de divulgation d'information personnelle.
La Quadrature ou autre partie peuvent probablement utiliser cet argument devant le Conseil d'État. Si vous connaissez quelqu'un chez eux, vous pouvez pointer mon commentaire ou leur transmettre.
Historique des modifications :
Posté le 02/05/2024 à 13h06
Ces points sont censés justifier que atteinte à la vie privée n'est pas grave. Je veux bien que ça soit le cas si le titulaire du contrat d'accès à Internet est l'unique utilisateur de la ligne Internet.
Mais la CJUE n'a pas eu connaissance des points suivants ou ne les a pas considérés :
1) le délit poursuivi n'est pas l'atteinte aux droits d'auteur mais la non sécurisation de l'accès à Internet. C'est donc le titulaire du contrat qui est visé ici.
2) Il est possible pour ce titulaire du contrat de demander et d'obtenir le nom des œuvres contrefaites.
3) Ce peut être une personne autre que le titulaire qui a porté atteinte au droit d'auteur. Dans un foyer, ce nombre de personnes est généralement réduit (éventuellement à une seule autre personne et dans ce cas, le titulaire de l'abonnement sait précisément qui est l'autre personne). Le point 114 cité plus haut n'est donc pas respecté.
Donc, le titulaire de l'abonnement peut déduire de la nature des œuvres soit les préférences sexuelles, politiques, religieuses ou toute autre information personnelles sensible.
Un parent peut donc par exemple apprendre ainsi l'homosexualité de son enfant sans que celui-ci ne veuille lui révéler. Ceci est un cas grave de divulgation d'information personnelle.
La Quadrature ou autre partie peuvent probablement utiliser cet argument devant le Conseil d'État. Si vous connaissez quelqu'un chez eux, vous pouvez pointer mon commentaire ou leur transmettre.
#8
#8.1
#8.2
Une chose claire qui a été dite par la CJUE, c'est que l'on pouvait utiliser les adresses IP pour identifier les auteurs d'infractions si c'était prévu par la loi. Donc, il ne fallait pas espérer ses arrêtés précédents que toute activité illégale était protégé par l'interdiction de conserver les adresses IP avec un horodatage et des informations identifiantes (C'est moi qui l'exprime ainsi, de même pour la phrase suivante). Il n'y aura donc pas d'impunité sur Internet.
L'autre chose claire, c'est qu'il fallait étudier la proportionnalité entre le droit à la vie privée et la faute poursuivie. Donc, dans ses arrêts précédents, ce qu'elle interdisait étaient l'utilisation des informations conservées par les opérateurs qui permettaient une atteinte grave à la vie privée pour lutter ou punir des infractions non graves (on note l'opposition entre grave et non grave). Récupérer simplement l'identité d'une personne avec son adresse IP et un horodatage n'est pas une atteinte grave à la vie privée. L'association avec d'autres informations peut l'être.
#8.3
c'est le locataire de la connexion qui est identifié, et encore, avec les CGnat il faut en plus le port, reste ipv6, mais en cas normal l'adresse d'un client ipv6 change tous les jours (fonction privacy), certes dans le même /64, mais ça ne permet pas d'identifier précisément à postériori, seulement le titulaire du /64 est identifiable.
L'article le répète d'ailleurs, ce n'est pas l'auteur qui est visé mais le soi disant défaut de protection de son réseau privé, soit il dénonce l'auteur, soit autre infraction beaucoup moins grave, on ne peut pas prouver sa culpabilité par ce moyen de l'adresse ipv4/6.
Outils obsolètes et dépassés, débat obsolète aussi.
#8.4
Ça n'a aucun rapport avec ce que je disais. Je n'ai pas dans ce commentaire parlé d'auteur d'infraction. Je débats du sujet juridique et pas du sujet technique. La technique n'a ici aucun intérêt. La décision de la CJUE est importante d'un point de vue général.
Là, où je peux être d'accord avec toi, c'est que la chasse au P2P de l'ARCOM est un combat d'arrière garde et l'invention du défaut de protection est d'une hypocrisie crasse.
Mais, dans le cas d'une infraction un peu plus grave que le
P2Pdéfaut de protection, l'identification du titulaire du contrat aidera fortement ensuite trouver qui, dans le foyer, a commis l'infraction et, l'utilisation de l'adresse IP a été clairement été autorisée ici pour l'identification.Que ça soit une adresse IP V4 + un numéro de port ou une adresse IPV6 dans un /64 n'a aucune importance d'un point de vue légal, ce qui est validé, c'est l'utilisation des informations de connexion strictement nécessaire à l'identification.
Non, le débat n'est pas obsolète.
#8.5
#8.6
#8.7
Je ne sais pas si on est considéré comme complice si on refuse de dénoncer.