Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera
Opération à coeur ouvert
Le Conseil constitutionnel vient de déclarer contraire à la Constitution une partie du droit de communication de la Hadopi. Celle qui lui permet d’identifier les abonnés derrière les adresses IP. Seulement, l’annulation est à effet différé. Entretemps, le gouvernement pourra donc corriger le tir. Une victoire à la Pyrrhus pour les requérants.
Pour comprendre les ressorts de la décision initiée à la demande de quatre associations – La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network (FDN) – il faut revenir aux textes fondateurs.
Le 5 mars 2010, voilà donc plus de 10 ans, un décret instaurait le « système de gestion des mesures pour la protection des œuvres sur internet ». En pratique, un traitement de données personnelles grâce auquel depuis la Hadopi, la Commission de protection des droits (CPD) peut mitrailler les abonnés d’avertissements pour défaut de sécurisation. Ceux qui n'ont su prévenir les téléchargements illicites depuis leur ligne.
La loi de 2009 a en effet instauré une amende à l’encontre des abonnés dont les adresses IP sont associées à des échanges illicites sur les réseaux P2P. Les relevés de ces adresses sont effectués par les sociétés de défense de l’univers culturel puis transmises à la CPD. Celle-ci contacte ensuite les FAI pour obtenir les coordonnées personnelles de chacun de ces indélicats.
Un tel traitement exige donc des données personnelles, son carburant. Le décret du 5 mars 2010 en dresse la liste. Dans le lot, on trouve limitativement… :
- Les date et heure des faits
- L’adresse IP des abonnés concernés
- Le protocole pair à pair utilisé
- Le pseudonyme utilisé par l'abonné
- Le nom du fichier tel que présent sur le poste de l'abonné (le cas échéant)
- Son fournisseur d'accès à internet auprès duquel l'accès a été souscrit
- Ses nom de famille et prénom(s)
- Ses adresses postale et électronique
- Ses coordonnées téléphoniques
- L’adresse de l'installation téléphonique
- Les éventuelles précédentes recommandations déjà adressées
C’est avec ce stock que la fameuse riposte graduée peut être mise en marche. Un mail, une lettre recommandée et en cas de persistance une possible transmission au procureur de la République et au-delà, au tribunal de police.
Les quatre associations ont profité d’un recours au Conseil d’État pour soulever une question préjudicielle sur cet écosystème. Elle porte non sur ce décret, mais sur la loi de 2009 elle-même et tout particulièrement l’article L331-21 du Code de la propriété intellectuelle.
Une loi trop généreuse dans l'accès aux données de connexion
Cet article est une pièce centrale, le cœur de la Hadopi disions-nous. Et pour cause, il offre la possibilité pour les agents de la Hadopi d’accéder aux données de connexion détenues par les fournisseurs d’accès. Dit autrement, sans ce feu vert, la Hadopi ne dispose que d’adresses IP sans savoir quelles personnes se « cachent » derrière.
Le souci se retrouve dans ses derniers alinéas. Le texte prévoit qu’ils peuvent se faire communiquer par les FAI « tous documents, quel qu'en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques ».
Le texte, très bavard, ajoute qu’ils « peuvent, notamment, obtenir des opérateurs (…) l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné (…). »
Même le profane sait que la liste des données communicables n’est plus limitative. Pour s’en convaincre, il suffit de retenir l’expression « tous les documents » et l’adverbe « notamment ».
C’est là que le bât blesse. Un retour sur la jurisprudence du Conseil constitutionnel permet de comprendre pourquoi.
Les précédents : Autorité de la Concurrence, AMF, Douanes, ou Sécurité sociale
Le 5 août 2015, le Conseil constitutionnel censurait une des dispositions de la loi « Macron » autorisant les agents de l’Autorité de la concurrence à accéder à un vaste et trop généreux stock de données de connexion dont les FADET (pour FActures DETaillées). Le juge posait alors que « la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée ». Or le droit de communication des agents n’était assorti « d'aucune autre garantie ». Un vrai accès open bar.
En juillet 2017, rebelote cette fois avec le pouvoir des agents de l’Autorité des marchés financiers, là encore assortis d’aucune garantie.
En février 2019, c’était pour le droit de communication des agents des Douanes que le Conseil répétait que « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ».
Et en juin 2019, c’est la Sécurité sociale qui passait sur le grill constitutionnel non sans souffrance.
Cette jurisprudence désormais constante s’inscrit dans le sillage d’un mouvement né à la Cour de justice de l’Union européenne. Dans le contexte des révélations Snowden, le 8 avril 2014, elle invalidait la directive sur la conservation des données de connexion, en fustigeant l’absence de garanties.
Elle expliquait à cette occasion que les données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Vie privée et données de connexion
Il ressort de cette jurisprudence qu’un accès à des données de connexion doit être encadré par de sérieuses garanties puisque l’atteinte à la vie privée est réelle et que ces informations permettent de tracer toute la vie numérique d’une personne, graphe social inclus. Problème donc avec la loi Hadopi : d’une part, le spectre des données de connexion n’est pas limitatif. D’autre part, les FAI ont l’obligation de répondre aux demandes des agents sous peine d’amende. C’est cette défaillance qu’a été victorieusement exploitée par les requérants.
Dans ses conclusions au Conseil d’État, lequel a décidé de transmettre la question prioritaire, la rapporteure Anne Iljic avait relevé que « ces données sont de manière beaucoup plus évidente que pour l’Autorité de la concurrence ou l’AMF au cœur même de la mission de la HADOPI, qui est de faire cesser les atteintes aux titulaires de droits d’auteurs sur internet ».
Cependant, c’est justement parce qu’elles sont en son cœur qu’elles méritent un encadrement serré. Un encadrement qui ne peut se limiter à un décret, mais doit être correctement borné au cran supérieur, celui de la loi, qui devrait par ailleurs prévoir les dispositifs de contrôle qui font aujourd’hui sèchement défaut.
Dans ce recours, le gouvernement a malgré tout rappelé que le décret de 2010 dressait une liste exhaustive des données de connexion, espérant satisfaire les exigences constitutionnelles. Vainement.
Une censure chirurgicale
Au final, le Conseil constitutionnel a censuré les derniers alinéas de l’article précité, en expliquant pourquoi :
« Toutefois, d'une part, en faisant porter le droit de communication sur « tous documents, quel qu'en soit le support » et en ne précisant pas les personnes auprès desquelles il est susceptible de s'exercer, le législateur n'a ni limité le champ d'exercice de ce droit de communication ni garanti que les documents en faisant l'objet présentent un lien direct avec le manquement à l'obligation énoncée à l'article L. 336 - 3 du code de la propriété intellectuelle, qui justifie la procédure mise en œuvre par la commission de protection des droits.
D'autre part, ce droit de communication peut également s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation énoncée à l'article L. 336 - 3.»
Une nouvelle fois, « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle ».
Cependant, le Conseil a répondu favorablement au gouvernement, qui réclamait un report dans le temps de l’éventuelle décision d’annulation. Il a injecté un effet différé à son annulation aux alinéas litigieux jusqu’au 31 décembre 2020, au motif que « l'abrogation immédiate des dispositions déclarées contraires à la Constitution entraînerait des conséquences manifestement excessives ».
C’est un joli cadeau fait à l’exécutif. Dans ses « commentaires aux cachiers » de la décision du 21 juillet 2017, le Conseil constitutionnel avait déjà évoqué le problème épineux des agents de la Hadopi. En clair, le gouvernement savait que la procédure Hadopi souffrait d’une grosse défaillance au regard de la jurisprudence désormais constante du Conseil. Mais il n’a rien fait. Mieux, les neuf très Sages lui accordent plus de 6 nouveaux mois pour accoler une rustine.
Une rustine bientôt corrigée
« Hadopi est vaincue » indique la Quadrature du Net. Cependant, le patch pourra largement intervenir avant cette issue fatale : projet de loi sur les mesures d’urgence à rendre pendant la pandémie, ordonnance ou future grande loi Arcom attendue dans les prochains mois.
Précisons que la censure n'est pas générale. Si l'on regarde bien, la décision d'annulation porte sur les alinéas 3 et 4 de l'article L.331.21 du Code de la propriété intellectuelle, et le « notamment » du dernier alinéa.
Cela signifie donc que même sans rustine, Hadopi peut continuer à « obtenir des opérateurs de communications électroniques l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné ». Reste ouverte la question des adresses IP transmises par les ayants droit, horodatage inclus. Si elle ne peut plus y accéder, elle ne pourrait plus identifier les abonnés. Toutefois, rien n'est moins sûr puisque ces données lui sont techniquement transmises par les ayants droit. En toute logique, la riposte graduée pourrait ainsi perdurer au-delà de l'année 2020, même sans rustine.
Extrait de la décision du Conseil constitutionnel
Le sujet plus tracassant pour l'autorité n’est pas vraiment ce droit de communication, qui sera rapidement corrigé, mais plutôt la question de la conservation généralisée des données de connexion.
Une conservation indifférenciée épinglée par la Cour de justice de l’Union européenne dans son arrêt Télé2, que les juges aimeraient réserver aux seules infractions graves. Est-ce bien le cas du défaut de sécurisation ?
Commentaires (16)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 20/05/2020 à 16h25
Un point que je ne comprends pas : si elle ne peut plus accéder à l’IP qui lui est transmise, alors comment mettre en route la réponse graduée ? techniquement elle est de fait bloquée non ?
j’ai loupé un truc ?
Le 20/05/2020 à 16h44
10 ans pour quelque chose de rapidement réparé ? C’est beau la patience.
Le 20/05/2020 à 17h46
C’est pas clair du tout ! Pourriez-vous réexpliquer plus clairement … ?
Le 20/05/2020 à 18h31
Sur la base de ce jugement, une amende ou une condamnation transmise par la HADOPI peut-elle être contestée??
Le 20/05/2020 à 18h57
“mais rien ne changera”.
" />
Ouf, le HADOPI sera toujours inefficace, nous somme sauvé
Mais concrètement ça donne quoi ? Avant ils avaient accès open-bar à énormément d’information et là ils auront juste adresse mail + postale ?
Par contre une information qu’ils auraient besoin (en se mettant de leur point de vu) serait l’adresse IP + le port utilisé, chose qu’ils n’ont toujours pas et qui fait qu’une partie des abonnés Free ne sont pas touchable en IPv4 (du fait du partage d’une adresse v4 entre 4 abonnées).
Le 20/05/2020 à 20h50
Le 21/05/2020 à 06h14
Le 21/05/2020 à 08h07
MDR. J’ai une question, si toutes les coordonnées contiennent, disons-le poliment, des erreurs :
Elle fait quoi l’HADOPI ? Elle le retrouve comment le guy ? Elle va faire pipi ?
Hihi
Le 21/05/2020 à 09h02
Ça ne va pas durer vu que Free pousse l’IPv6 sur le fixe (et je crois que Orange dispose de l’IPv6 sur mobile).
Le 21/05/2020 à 09h04
C’est pire que ça, Numéricâble avait fait chier un abonné comme ça il y a quelques années lors d’enquête judiciaire car quand leur soft n’avait pas la bonne MAC, ça mettait la sienne par défaut.
Le mec se retrouve convoqué pour de sale affaire alors qu’il n’avait rien fait à cause de cette “erreur”.
Le 21/05/2020 à 09h33
Donc si j’ai bien compris, le Conseil constitutionnel dit une première fois :
" />
« La Hadopi est anti constitutionnelle sur certains points, hop j’te mets un avertissement pour cette fois mais va falloir corriger ça hein ! »
Nouvelle plainte, nouvelle constatation de non constitutionnalité, le gouvernement chouine un peu et une nouvelle tape sur les doigts avec jusqu’à la fin d’année pour corriger le tir…
C’est t’y pas magnifique ça !
Le 21/05/2020 à 09h55
Le 21/05/2020 à 11h04
Me semble que oui, ils sont bien fait taper sur les doigts, n’empêche que quand tu vois ça, tu te dit qu’il doit quand même y avoir aussi des erreurs chez les autres FAIs.
Me semble qu’ils rentrent manuellement les MACs dans leur base (genre l’ONT quand j’étais chez Orange, le mec a validé avec son laptop).
Le 21/05/2020 à 21h17
Au bout d’un moment, il faut arrêter de taper sur les doigts…
Le 22/05/2020 à 07h23
“déjà 10 ans et ils n’ont, tjrs., PAS compris* que………….” !
" />
(têtus les ânes bougres) !!!
Le 23/05/2020 à 14h51
Il me semble qu’on sous-estime cette censure du Conseil Constitutionnel. Certes ce monstre bureaucratique, cette autorité arbitraire née de la prévarication des élus et des exécutifs et de cette collusion malsaine du pouvoir économique et politique, ne va pas disparaître.
Déjà discréditée par son action même, inefficace, coûteuse, inutile, de fait incompétente, sa légitimité est profondément et définitivement altérée.
Sa déconsidération est telle qu’on l’escamote en la fondant dans la future ARCOM.
Bien sûr, nous subissons une période où dans la démocratie française déjà si imparfaite, on fait reculer le judiciaire au profit d’autorités administratives très peu transparentes, aux décisions arbitraires, et dont la soi-disant indépendance est une malhonnêteté intellectuelle et morale. Jamais l’intérêt général, le bien public comme valeur partagée par tous, n’a été autant bafoué par des technocrates dévoyés.
Tout ce qui peut limiter la nuisance, l’entraver un tant soit peu, de ces organismes obscurs, est toujours bon à prendre.