S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Hadopi : la fameuse « réponse graduée » se fait dégommer par le conseil d’État

Tout ça pour ça ?

Hadopi : la fameuse « réponse graduée » se fait dégommer par le conseil d’État

Illustration : Flock

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

Commentaires (24)

votre avatar
What year is it ?

Tout ça pour ça, en effet.
votre avatar
Je me posais la question la semaine dernière : le dispositif fonctionne toujours? On peut encore se faire chopper la main dans le pot de confiture P2P et recevoir un mail?

Honnêtement, toute cette usine a gaz réduite à néant par un fichier texte (liste noire d'IP) dispo en ligne...
Quel gâchis d'argent public. Ça me scandalise.
votre avatar
Je peux pourtant te confirmer qu’il est possible de recevoir un mail malgré ce fameux fichier texte, c’est arrivé à un « ami » 😉
votre avatar
On a le droit de pirater jusqu'à ce qu'on reçoive 2 lettres 😄
votre avatar
Non, un courriel puis une seule lettre, la troisième fois, c'est l'amende…
votre avatar
Les listes noires d'ip n'ont que très peu de valeur puisque personne ne connait les IP des entreprises (en france ou ailleurs) qui s'occupent d'identifier les personnes. Généralement elles n'ont pas d'AS et louent des serveurs exprès pour.
votre avatar
S'ils louent des serveurs alors ils passent par des « grossistes » genre les clouds façon AWS ou des VPS classiques, dans les deux cas ils peuvent être bloqués.

La plupart des listes d'IP y vont justement par millions.
votre avatar
Personne ne le sait, il est tout aussi possible qu'ils utilisent de plus petits hébergeurs ou même plusieurs. Par ailleurs si tu bloques tous les hébergeurs alors tu bloques aussi la majorité des seedbox.
votre avatar
Qu'est-ce qu'un peu de vitesse de téléchargement en moins comparé à la tranquilité d'esprit :) ?
votre avatar
Personne ne le sait, il est tout aussi possible qu'ils utilisent de plus petits hébergeurs ou même plusieurs. Par ailleurs si tu bloques tous les hébergeurs alors tu bloques aussi la majorité des seedbox.
Voire utiliser des serveurs auprès de prestataires de seedbox.
votre avatar
en réclamant aux FAI une déclaration sur l’honneur
Pourquoi un FAI ferait ça ?
votre avatar
Et à quand le même chose sur l'inspirateur CSA routier?
votre avatar
Perso j'aimais bien la réponse graduée. Plutot qu'une amende de 1500€, je préfère recevoir un email me disant "il serait temps d'investir dans un vpn"
votre avatar
"Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion."

C'est vrai qu'en terme de sécurisation des connexions et de nos données, les trépanés qui nous gouvernent ont tellement à nous apprendre, alors que nos institutions se font pawn par le premier boutonneux avec chatGPT venu... On devrait bien tous les mettre à l'amende nous aussi...
votre avatar
Ayé ? on peut désactiver le pare-feu d'Openoffice ?
votre avatar
Snif, petite pensée à Marc Rees, qui aura suivi ce sujet pendant des années pour PC Inpact.
Et qui remet le couvert pour l'Informé.

Un petit featuring, une petite collab est-elle envisageable si des futures actus sortent?
Juste pour la blague, siouplé :phiphi:

Et merci à Martin pour cet article, c'est donc toi qui t'y colle? :bigssourire:
votre avatar
Demander à tout abonné à internet d’être responsable de sa connexion internet est une aberration quand on voit le niveau très nul des gens en matière de sécurité informatique.
Comment faire avec les très nombreuses personnes qui sont à la fois allergique aux mots de passe complexe et aux gestionnaires de mots de passes?
Je connais beaucoup de gens qui refusent d’utiliser un gestionnaire de mots de passe car ils pensent que leurs mots de passes vont être volé par Google et le « Grand Méchant Cloud ».
Par ignorance technique, ils mélangent tout en matière de sécurité informatique et ça vire à la quasi paranoïa.
votre avatar
Je suis d'accord avec toi, led gens ne comprennent rien et surtout ne font aucun efforts pour essayer... la fainéantise humaine devrait être considérée comme une maladie... au moins ca a permis a certains de peut être mieux comprendre pourquoi il faut utiliser un vrai mot passe sur le code wifi.
votre avatar
C'est parce qu'ils n'utilisent pas le firewall openoffice...
votre avatar
L'aberration c'est effectivement de pouvoir condamner de simples particuliers pour défaut de sécurisation alors qu'il y a des failles de sécurité de partout même dans les organismes d'état.
votre avatar
Le fameux défaut de sécurisation n'est qu'un prétexte ; le but étant de trouver quelqu'un à condamner le partage d'œuvres en P2P, ici, on a trouvé le titulaire de l'abonnement. C'est plus facile que de trouver la personne du foyer qui a effectivement mis une œuvre à disposition en la téléchargeant en P2P.
votre avatar
C'est exactement la même méthode que pour les amendes automatisées routières. C'est le titulaire de la carte grise qui paie, sauf si il dénonce le conducteur. HADOPI ne fait que reprendre une recette éprouvée. Je sais que tu sais, mais tout le monde n'a peut-être pas fait le rapprochement.
votre avatar
C'est le titulaire de la carte grise qui paie, sauf si il dénonce le conducteur.
Sauf que, si on te vole ton véhicule, tu peux le savoir et porter plainte (et il n'y aura pas de suite concernant le radar si le véhicule était déclaré volé - en tout cas, tu peux obtenir gain de cause), alors que si un voisin ou un passant arrive à s'infiltrer dans ton réseau et pomper via du P2P et te faire accuser, c'est plus difficile de prouver que ce n'est pas toi.
votre avatar
@MartinClavey, a t on un petit bilan financier depuis 2009 ?
Du budget direct mais aussi indirect (juges, etc) ?
Merci pour l'article.