Si la Hadopi de 2009 est morte depuis le 1er janvier 2022, l’envoi d’avertissements est désormais dans les cordes de l’ARCOM. Seulement, la régulation européenne pourrait décapiter le régime français. Une audience est organisée demain devant la justice européenne.

C’est demain que la Cour de justice de l’Union européenne entendra les plaidoiries de plusieurs associations, FDN, FFDN, Franciliens.net et La Quadrature du Net, face à l’État français.

Selon le résumé des forces en présence, les premières contestent la solidité juridique de la riposte graduée, quand le second estime le régime parfaitement conforme au droit européen.

Selon la décision de la Cour, qui interviendra plusieurs mois plus tard, l’envoi d’avertissements à l’encontre des P2Pistes pourrait donc s’effondrer ou bien être consacré par la haute juridiction chargée d’interpréter les règles européennes. 

La réponse constitutionnelle à la riposte graduée

Ce dossier n’est pas arrivé comme un cheveu dans le bol de soupe. Si l’on rembobine le fil, les associations avaient demandé au Premier ministre d’abroger un décret du 5 mars 2010. Une pièce maitresse de la riposte graduée puisque c’est ce décret qui encadre le traitement de données à caractère personnel qui permet à la Hadopi d’adresser ses avertissements, à partir des adresses IP glanées par les sociétés de défense des industries culturelles.

Sans surprise, le Premier ministre n’a pas donné suite à cette demande, ce qui a permis aux associations d’attaquer ce « refus implicite », comme on dit dans le jargon, devant le Conseil d’État en août 2019.

En appui de leur procédure, elles ont soulevé une question prioritaire de constitutionnalité qui a conduit les neuf Sages à ne censurer toutefois qu’un bout d’Hadopi.

Et pour cause, la législation alors en vigueur permettait à l’autorité d’obtenir des opérateurs de communications électroniques « notamment » l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné. En somme, « tous documents, quel qu'en soit le support » pour mettre en œuvre la riposte graduée.

Cette plume généreuse ne prévoyait pas de liste limitative des données à caractère personnel pouvant être ingurgitées par la Hadopi (devenue Arcom depuis le 1er janvier 2022).

Ce « no-limit » a été censuré chirurgicalement, sans générer les effets explosifs qu’ont cru deviner une partie des commentateurs. La Hadopi elle-même a relevé que le Conseil constitutionnel a surtout validé le principe des avertissements. Et c’était d’autant plus vrai que la décision avait reporté cette petite censure à la fin 2020.

Le législateur a ainsi pu corriger le tir dans les temps, avec la loi du 25 octobre 2021,

Le 5 juillet 2021, le Conseil d’État a cependant décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

La riposte européenne à la réponse graduée

En substance, la haute juridiction administrative française demande si les traitements portant sur les adresses IP exigent bien un contrôle préalable par une juridiction ou une autorité administrative indépendante.

Ce contrôle préalable a été exigé par la Cour de justice de l’UE dans une décision du 2 mars 2021 relative à l’accès aux données de trafic et de localisation en matière de lutte contre la criminalité.

Plutôt que faire tomber le décret organisant la riposte graduée pour incompatibilité patente, le Conseil d’État a donc préféré deviner une « difficulté sérieuse » justifiant ce retour devant la CJUE s’agissant de la mécanique Hadopi.

Et pour cause, l’intervention d’une autorité externe pour chaque avertissement ne serait pas en phase avec l’automatisation chère à la riposte graduée. Avec plus de 13 millions de courriers envoyés depuis le cri primal de cette procédure, exiger un contrôle préalable par une entité externe pour chaque avertissement gripperait toute la machine imaginée par les industries culturelles.

Outre l’accès, se pose également la question de la collecte des données de connexion (les IP) par les agents assermentés œuvrant pour les sociétés de défense. Si la Cour réserve ces opérations à l’objectif de lutte contre la criminalité grave ou de sauvegarde de la sécurité nationale, ce seuil pourrait ne pas être vraiment au rendez-vous quand un abonné risque une contravention maximale de 1 500 euros pour défaut de sécurisation.

À l’horizon, le futur de la régulation des échanges P2P

C’est donc ce sujet qui sera examiné demain lors des plaidoiries devant la Cour de Luxembourg. Le Conseil d’État comme la Hadopi lui ont lancé plusieurs appels du pied, à savoir que les données traitées par la Hadopi, relatives à l’identité civile de l’abonné, ne seraient que peu sensibles, outre que la procédure est encadrée par de nombreuses garanties, des flux très sécurisés, avec un « process » très cloisonné et aux manettes des agents solidement habilités.

Une certitude : l’arrêt va fixer le cap de la future régulation des échanges P2P en Europe. S’il est favorable à FDN, FFDN, Franciliens et LQDN, le régime s’effondrera. S’il crée une exception au regard des garanties prévues par les textes, il ouvrira une brèche dans la jurisprudence de la CJUE, pourtant de plus en plus pointilleuse sur ces traitements.