Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera

Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera

Opération à coeur ouvert

Avatar de l'auteur

Marc Rees

Publié dansDroit

20/05/2020
16
Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera

Le Conseil constitutionnel vient de déclarer contraire à la Constitution une partie du droit de communication de la Hadopi. Celle qui lui permet d’identifier les abonnés derrière les adresses IP. Seulement, l’annulation est à effet différé. Entretemps, le gouvernement pourra donc corriger le tir. Une victoire à la Pyrrhus pour les requérants.

Pour comprendre les ressorts de la décision initiée à la demande de quatre associations – La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network (FDN) – il faut revenir aux textes fondateurs.

Le 5 mars 2010, voilà donc plus de 10 ans, un décret instaurait le « système de gestion des mesures pour la protection des œuvres sur internet ». En pratique, un traitement de données personnelles grâce auquel depuis la Hadopi, la Commission de protection des droits (CPD) peut mitrailler les abonnés d’avertissements pour défaut de sécurisation. Ceux qui n'ont su prévenir les téléchargements illicites depuis leur ligne. 

La loi de 2009 a en effet instauré une amende à l’encontre des abonnés dont les adresses IP sont associées à des échanges illicites sur les réseaux P2P. Les relevés de ces adresses sont effectués par les sociétés de défense de l’univers culturel puis transmises à la CPD. Celle-ci contacte ensuite les FAI pour obtenir les coordonnées personnelles de chacun de ces indélicats.

Un tel traitement exige donc des données personnelles, son carburant. Le décret du 5 mars 2010 en dresse la liste. Dans le lot, on trouve limitativement… :

  • Les date et heure des faits
  • L’adresse IP des abonnés concernés
  • Le protocole pair à pair utilisé
  • Le pseudonyme utilisé par l'abonné
  • Le nom du fichier tel que présent sur le poste de l'abonné (le cas échéant)
  • Son fournisseur d'accès à internet auprès duquel l'accès a été souscrit
  • Ses nom de famille et prénom(s)
  • Ses adresses postale et électronique
  • Ses coordonnées téléphoniques
  • L’adresse de l'installation téléphonique
  • Les éventuelles précédentes recommandations déjà adressées

C’est avec ce stock que la fameuse riposte graduée peut être mise en marche. Un mail, une lettre recommandée et en cas de persistance une possible transmission au procureur de la République et au-delà, au tribunal de police.

Les quatre associations ont profité d’un recours au Conseil d’État pour soulever une question préjudicielle sur cet écosystème. Elle porte non sur ce décret, mais sur la loi de 2009 elle-même et tout particulièrement l’article L331-21 du Code de la propriété intellectuelle.

Une loi trop généreuse dans l'accès aux données de connexion

Cet article est une pièce centrale, le cœur de la Hadopi disions-nous. Et pour cause, il offre la possibilité pour les agents de la Hadopi d’accéder aux données de connexion détenues par les fournisseurs d’accès. Dit autrement, sans ce feu vert, la Hadopi ne dispose que d’adresses IP sans savoir quelles personnes se « cachent » derrière.

Le souci se retrouve dans ses derniers alinéas. Le texte prévoit qu’ils peuvent se faire communiquer par les FAI « tous documents, quel qu'en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques ».

Le texte, très bavard, ajoute qu’ils « peuvent, notamment, obtenir des opérateurs (…) l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné (…). »

Même le profane sait que la liste des données communicables n’est plus limitative. Pour s’en convaincre, il suffit de retenir l’expression « tous les documents » et l’adverbe « notamment ».

C’est là que le bât blesse. Un retour sur la jurisprudence du Conseil constitutionnel permet de comprendre pourquoi.

Les précédents : Autorité de la Concurrence, AMF, Douanes, ou Sécurité sociale

Le 5 août 2015, le Conseil constitutionnel censurait une des dispositions de la loi « Macron » autorisant les agents de l’Autorité de la concurrence à accéder à un vaste et trop généreux stock de données de connexion dont les FADET (pour FActures DETaillées). Le juge posait alors que « la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée ». Or le droit de communication des agents n’était assorti « d'aucune autre garantie ». Un vrai accès open bar.

En juillet 2017, rebelote cette fois avec le pouvoir des agents de l’Autorité des marchés financiers, là encore assortis d’aucune garantie. 

En février 2019, c’était pour le droit de communication des agents des Douanes que le Conseil répétait que « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ». 

Et en juin 2019, c’est la Sécurité sociale qui passait sur le grill constitutionnel non sans souffrance.

Cette jurisprudence désormais constante s’inscrit dans le sillage d’un mouvement né à la Cour de justice de l’Union européenne. Dans le contexte des révélations Snowden, le 8 avril 2014, elle invalidait la directive sur la conservation des données de connexion, en fustigeant l’absence de garanties.

Elle expliquait à cette occasion que les données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Vie privée et données de connexion

Il ressort de cette jurisprudence qu’un accès à des données de connexion doit être encadré par de sérieuses garanties puisque l’atteinte à la vie privée est réelle et que ces informations permettent de tracer toute la vie numérique d’une personne, graphe social inclus. Problème donc avec la loi Hadopi : d’une part, le spectre des données de connexion n’est pas limitatif. D’autre part, les FAI ont l’obligation de répondre aux demandes des agents sous peine d’amende. C’est cette défaillance qu’a été victorieusement exploitée par les requérants.

Dans ses conclusions au Conseil d’État, lequel a décidé de transmettre la question prioritaire, la rapporteure Anne Iljic avait relevé que « ces données sont de manière beaucoup plus évidente que pour l’Autorité de la concurrence ou l’AMF au cœur même de la mission de la HADOPI, qui est de faire cesser les atteintes aux titulaires de droits d’auteurs sur internet ».

Cependant, c’est justement parce qu’elles sont en son cœur qu’elles méritent un encadrement serré. Un encadrement qui ne peut se limiter à un décret, mais doit être correctement borné au cran supérieur, celui de la loi, qui devrait par ailleurs prévoir les dispositifs de contrôle qui font aujourd’hui sèchement défaut.

Dans ce recours, le gouvernement a malgré tout rappelé que le décret de 2010 dressait une liste exhaustive des données de connexion, espérant satisfaire les exigences constitutionnelles. Vainement. 

Une censure chirurgicale

Au final, le Conseil constitutionnel a censuré les derniers alinéas de l’article précité, en expliquant pourquoi : 

« Toutefois, d'une part, en faisant porter le droit de communication sur « tous documents, quel qu'en soit le support » et en ne précisant pas les personnes auprès desquelles il est susceptible de s'exercer, le législateur n'a ni limité le champ d'exercice de ce droit de communication ni garanti que les documents en faisant l'objet présentent un lien direct avec le manquement à l'obligation énoncée à l'article L. 336-3 du code de la propriété intellectuelle, qui justifie la procédure mise en œuvre par la commission de protection des droits.

D'autre part, ce droit de communication peut également s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation énoncée à l'article L. 336-3.»

Une nouvelle fois, « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle ».

Cependant, le Conseil a répondu favorablement au gouvernement, qui réclamait un report dans le temps de l’éventuelle décision d’annulation. Il a injecté un effet différé à son annulation aux alinéas litigieux jusqu’au 31 décembre 2020, au motif que « l'abrogation immédiate des dispositions déclarées contraires à la Constitution entraînerait des conséquences manifestement excessives ».

C’est un joli cadeau fait à l’exécutif. Dans ses « commentaires aux cachiers » de la décision du 21 juillet 2017, le Conseil constitutionnel avait déjà évoqué le problème épineux des agents de la Hadopi. En clair, le gouvernement savait que la procédure Hadopi souffrait d’une grosse défaillance au regard de la jurisprudence désormais constante du Conseil. Mais il n’a rien fait. Mieux, les neuf très Sages lui accordent plus de 6 nouveaux mois pour accoler une rustine.

Une rustine bientôt corrigée

« Hadopi est vaincue » indique la Quadrature du Net. Cependant, le patch pourra largement intervenir avant cette issue fatale : projet de loi sur les mesures d’urgence à rendre pendant la pandémie, ordonnance ou future grande loi Arcom attendue dans les prochains mois.

Précisons que la censure n'est pas générale. Si l'on regarde bien, la décision d'annulation porte sur les alinéas 3 et 4 de l'article L.331.21 du Code de la propriété intellectuelle, et le « notamment » du dernier alinéa.

Cela signifie donc que même sans rustine, Hadopi peut continuer à « obtenir des opérateurs de communications électroniques l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné ». Reste ouverte la question des adresses IP transmises par les ayants droit, horodatage inclus. Si elle ne peut plus y accéder, elle ne pourrait plus identifier les abonnés.  Toutefois, rien n'est moins sûr puisque ces données lui sont techniquement transmises par les ayants droit. En toute logique, la riposte graduée pourrait ainsi perdurer au-delà de l'année 2020, même sans rustine.

hadopi censure

Extrait de la décision du Conseil constitutionnel

Le sujet plus tracassant pour l'autorité n’est pas vraiment ce droit de communication, qui sera rapidement corrigé, mais plutôt la question de la conservation généralisée des données de connexion.

Une conservation indifférenciée épinglée par la Cour de justice de l’Union européenne dans son arrêt Télé2, que les juges aimeraient réserver aux seules infractions graves. Est-ce bien le cas du défaut de sécurisation ? 

16
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Petite révolution tranquille

17:39 Soft 1
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

Report minoritaire

15:46 DroitWebSécu 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

I'm API

15:12 SécuSociété 0

Sommaire de l'article

Introduction

Une loi trop généreuse dans l'accès aux données de connexion

Les précédents : Autorité de la Concurrence, AMF, Douanes, ou Sécurité sociale

Vie privée et données de connexion

Une censure chirurgicale

Une rustine bientôt corrigée

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 1
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitWebSécu 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 0
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 8
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 8

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 50
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 5

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Des billets volent dans les airs.

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

ÉcoIA 0

GTA VI

Rockstar met en ligne le trailer de GTA VI

Soft 34

Russian drone shot by the State Border Guard Service of Ukraine

La guerre électronique serait la plus grande faiblesse de l’Ukraine, et la principale force de la Russie

HardSécu 7

Debout, une femme en pull bleu montre à une autre, assise, quelque chose à son écran d'ordinateur.

Futur de l’IA : les femmes manquent dangereusement à l’appel

IASociété 20

Logo Spotify avec notes de musique

Spotify licencie 1 500 personnes de plus

ÉcoSociété 15

Wikipedia sombre

Wikipedia aura son thème sombre

Web 16

Commentaires (16)


odoc
Il y a 4 ans

Un point que je ne comprends pas : si elle ne peut plus accéder à l’IP qui lui est transmise, alors comment mettre en route la réponse graduée ? techniquement elle est de fait bloquée non ?

j’ai loupé un truc ?


Winderly Abonné
Il y a 4 ans

10 ans pour quelque chose de rapidement réparé ? C’est beau la patience.


doubiani Abonné
Il y a 4 ans

C’est pas clair du tout ! Pourriez-vous réexpliquer plus clairement … ?


Soriatane Abonné
Il y a 4 ans

Sur la base de ce jugement, une  amende ou une condamnation transmise par la HADOPI peut-elle être contestée??


Kazer2.0 Abonné
Il y a 4 ans

“mais rien ne changera”.

Ouf, le HADOPI sera toujours inefficace, nous somme sauvé <img data-src=" />

Mais concrètement ça donne quoi ? Avant ils avaient accès open-bar à énormément d’information et là ils auront juste adresse mail + postale ?

Par contre une information qu’ils auraient besoin (en se mettant de leur point de vu) serait l’adresse IP + le port utilisé, chose qu’ils n’ont toujours pas et qui fait qu’une partie des abonnés Free ne sont pas touchable en IPv4 (du fait du partage d’une adresse v4 entre 4 abonnées).


Cqoicebordel Abonné
Il y a 4 ans






odoc a écrit :

Un point que je ne comprends pas : si elle ne peut plus accéder à l’IP qui lui est transmise, alors comment mettre en route la réponse graduée ? techniquement elle est de fait bloquée non ?

j’ai loupé un truc ?


Alors non. Il peuvent récupérer les adresses IP comme ils le faisaient. Il ne peuvent pas demander aux FAI d’autres adresses IP, notamment les adresses précédentes pour ceux qui sont en IP dynamiques.&nbsp;&nbsp;
C’est dans les données fournies par les FAI (et non par la machine à détection de Thierry Lhermitte) que la censure a eu lieu.

&nbsp;

doubiani a écrit :

C’est pas clair du tout ! Pourriez-vous réexpliquer plus clairement … ?


Une toute petite partie d’Hadopi a été censurée. Ca ne change rien à son fonctionnement.




Soriatane a écrit :

Sur la base de ce jugement, une&nbsp; amende ou une condamnation transmise par la HADOPI peut-elle être contestée??


Probablement pas. Pour deux raisons (au moins) :&nbsp; &nbsp;
1/ La censure vient sur ce que les FAI communiquent à la Hadopi, notamment, les IPs précédentes. Si la condamnation/amende n’a pas eu besoin de ces données, y’a pas de raisons que ça tienne pas.&nbsp;&nbsp;
2/ La censure est repoussée au 31 décembre 2020. Du coup, tout ce qui est avant est légal. Y compris dans le passé.



kikiboy Abonné
Il y a 4 ans






Kazer2.0 a écrit :

&nbsp;qui fait qu’une partie des abonnés Free ne sont pas touchable en IPv4 (du fait du partage d’une adresse v4 entre 4 abonnées).


Le partage d’IP n’est pas utilisé que chez Free, il l’est aussi parfois chez les autres opérateurs xDSL/Fibre et la quasiment totalité des des accès mobile.



NI
Il y a 4 ans

MDR. J’ai une question, si toutes les coordonnées contiennent, disons-le poliment, des erreurs :




  • erreur dans le champ nom

  • erreur dans le champ adresse

  • erreur dans le champ mail

  • erreur dans le champ téléphone

    Elle fait quoi l’HADOPI ? Elle le retrouve comment le guy ? Elle va faire pipi ?

    Hihi


Kazer2.0 Abonné
Il y a 4 ans

Ça ne va pas durer vu que Free pousse l’IPv6 sur le fixe (et je crois que Orange dispose de l’IPv6 sur mobile).


Kazer2.0 Abonné
Il y a 4 ans

C’est pire que ça, Numéricâble avait fait chier un abonné comme ça il y a quelques années lors d’enquête judiciaire car quand leur soft n’avait pas la bonne MAC, ça mettait la sienne par défaut.

Le mec se retrouve convoqué pour de sale affaire alors qu’il n’avait rien fait à cause de cette “erreur”.


ryô Abonné
Il y a 4 ans

Donc si j’ai bien compris, le Conseil constitutionnel dit une première fois :
« La Hadopi est anti constitutionnelle sur certains points, hop j’te mets un avertissement pour cette fois mais va falloir corriger ça hein ! »

Nouvelle plainte, nouvelle constatation de non constitutionnalité, le gouvernement chouine un peu et une nouvelle tape sur les doigts avec jusqu’à la fin d’année pour corriger le tir…

C’est t’y pas magnifique ça ! <img data-src=" />


Fl0Wer
Il y a 4 ans






Kazer2.0 a écrit :

C’est pire que ça, Numéricâble avait fait chier un abonné comme ça il y a quelques années lors d’enquête judiciaire car quand leur soft n’avait pas la bonne MAC, ça mettait la sienne par défaut.

Le mec se retrouve convoqué pour de sale affaire alors qu’il n’avait rien fait à cause de cette “erreur”.


Numéricable s’était pris un avertissement de la CNIL pour cette affaire me semble t-il ?



Kazer2.0 Abonné
Il y a 4 ans

Me semble que oui, ils sont bien fait taper sur les doigts, n’empêche que quand tu vois ça, tu te dit qu’il doit quand même y avoir aussi des erreurs chez les autres FAIs.

Me semble qu’ils rentrent manuellement les MACs dans leur base (genre l’ONT quand j’étais chez Orange, le mec a validé avec son laptop).


Soriatane Abonné
Il y a 4 ans

Au bout d’un moment, il faut arrêter de taper sur les doigts…


vizir67 Abonné
Il y a 4 ans

“déjà 10 ans et ils n’ont, tjrs., PAS compris* que………….” !
(têtus les ânes bougres) !!! <img data-src=" />


gillesMioni Abonné
Il y a 4 ans

Il me semble qu’on sous-estime cette censure du Conseil Constitutionnel. Certes ce monstre bureaucratique, cette autorité arbitraire née de la prévarication des élus et des exécutifs et de cette collusion malsaine du pouvoir économique et politique, ne va pas disparaître.
Déjà discréditée par son action même, inefficace, coûteuse, inutile, de fait incompétente, sa légitimité est profondément et définitivement altérée.
Sa déconsidération est telle qu’on l’escamote en la fondant dans la future ARCOM.
Bien sûr, nous subissons une période où dans la démocratie française déjà si imparfaite, on fait reculer le judiciaire au profit d’autorités administratives très peu transparentes, aux décisions arbitraires, et dont la soi-disant indépendance est une malhonnêteté intellectuelle et morale. Jamais l’intérêt général, le bien public comme valeur partagée par tous, n’a été autant bafoué par des technocrates dévoyés.
Tout ce qui peut limiter la nuisance, l’entraver un tant soit peu, de ces organismes obscurs, est toujours bon à prendre.