Comment appréhender les conséquences de l’arrêt Télé2 de la Cour de justice de l’Union européenne vis-à-vis de la mécanique Hadopi ? Sur la scène de la conservation des données de connexion par les intermédiaires techniques, la question est hautement légitime.

Dans son arrêt du 21 décembre 2016, la CJUE a interdit toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Dans un tel cadre, afin de protéger proportionnellement la vie privée de chaque internaute, les juges ont alors exigé que l’accès des autorités nationales compétentes aux données conservées devait être limité « aux seules fins de lutte contre la criminalité grave ».

L’arrêt est rythmé en deux temps : la conservation, l’accès. En France, l'article L. 34 - 1 du Code des postes et des télécommunications pose le principe d'un effacement ou anonymisation des données de connexion, mais envisage immédiatement de multiples dérogations permettant la conservation des données de connexion pour une durée d'un an.

Parmi elles, on trouve la riposte graduée chère à la Hadopi. Pour que l’autorité puisse sanctionner le défaut de sécurisation, elle a en effet besoin d’accéder au stock de données de connexion conservées par les FAI afin d’identifier qui se cache derrière une adresse IP relevée par les sociétés autorisées par la CNIL.

Est-ce que le principe d’une conservation des données de connexion destinée à lutter contre le défaut de sécurisation est susceptible de se conformer aux deux principes posés par la CJUE ?

La conservation des données, le chaud et le froid

L’arrêt concerne le régime suédois, et nécessite un certain doigté lorsqu’il s’agit d’examiner d’autres systèmes issus d’autres législations, certes soumises au même droit européen. Les défenseurs de la riposte graduée pourraient arguer d’une part que l’arrêt Télé2 s’oppose à une conservation indifférenciée telle que prévue dans cette affaire née en Suède. D’autre part, qu’en France, l’article 34 - 1, dans son point 5, indique que les données conservées ne portent que sur « l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux ».

Seulement, les adversaires répondront que les termes de cette disposition du Code des postes sont très vastes et parfaitement similaires à celles du droit suédois. De plus, comme l’a signalé le recours FDN, la Quadrature du Net et FFDN, le régime en France est même bien plus large puisqu’il peut également frapper les intermédiaires du Web.

L’accès aux données, la logique de l’entonnoir

S’agissant de l’accès aux données, les pro-Hadopi ajouteront que la France a fait le choix d’un mécanisme très ciblé et strictement proportionné à l’atteinte à la vie privée. D’ailleurs, une autorité a été spécialement instituée, la Hadopi, où les contraintes d’encadrement sont très lourdes s’agissant de la manipulation des données personnelles traitées aujourd’hui massivement.

L’article L331-21 du Code de la propriété intellectuelle liste d’ailleurs les données que peut, à partir de ce stock, obtenir la Commission de protection des droits à la Hadopi ; à savoir « l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné dont l'accès à des services de communication au public en ligne a été utilisé à des fins » de partage illicite.

Cependant, les vannes ne sont pas aussi restrictives. L’article fait précéder cette liste par l’adverbe « notamment », laissant entendre que l’accès peut être nettement plus vaste. De plus, le droit de communication est étendu par cette même disposition aux prestataires mentionnés par l'article 6 de la loi n° 2004 - 575 du 21 juin 2004 pour la confiance dans l'économie numérique, et donc peut cibler aussi les données des hébergeurs.

Puisque rien n’est simple, une logique d’entonnoir limite plus sérieusement l’accès aux données. Le décret « relatif au traitement automatisé de données à caractère personnel » de mars 2010, signé François Fillon, a dressé la liste limitative des données dont peut avoir accès la CPD auprès des FAI. Il s’agit seulement du nom de famille et des prénoms, de l’adresse postale, des adresses électroniques, des coordonnées téléphoniques enfin de l’adresse de l'installation téléphonique de l'abonné. C’est d’ailleurs ce décret qui empêche la Hadopi d’avoir accès au port source afin de lutter contre les partages en IPv6.

Le levier de la criminalité grave

La CJUE estime dans ce dossier suédois que la conservation et l’accès doivent être limités à la lutte contre la criminalité grave. « Eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».

S’agissant de ce critère, là encore le champ est ouvert à discussion. Selon une première grille, un défaut de sécurisation peut donner lieu à la constatation d’une simple contravention prononcée par un tribunal. On est clairement hors du champ d’une criminalité similaire à des actes de terrorisme.

Du côté du ministère de la Culture et des sociétés de gestion collective, on pourrait au contraire avancer que ce mécanisme poursuit, certes par un biais, l’objectif de lutte contre la contrefaçon en ligne. Un délit puni de 3 ans de prison et 300 000 euros d’amende, voire beaucoup plus lorsque commis en bande organisée.

La nécessité d'un standard de lecture

De plus, l’angle de l’arrêt Télé2 n’apporte que les esquisses d’un standard de lecture pour les autres cas envisagés par le droit européen. L’article 15 de la directive 2002/58 concerne le traitement des données à caractère personnel et la protection de la vie privée. Il prévoit une dérogation au principe de confidentialité des communications si l’objectif est la sauvegarde la sécurité nationale, la prévention, la recherche, la détection et la poursuite d’infractions pénales ou les utilisations non autorisées du système de communications électroniques. L’article 13, paragraphe 1, de la directive 95/46, appelé par cette même disposition, envisage d’autres objectifs tels la protection des droits et libertés d’autrui.

D’autres objectifs peuvent donc justifier le principe de conservation. Dans le recours visant le régime de conservation des données organisé par FDN, LQN et FFDN, ceux-ci considèrent néanmoins qu’« en matière de protection des droits et libertés d’autrui, seule la protection des droits et libertés les plus importants et pour lesquels les dommages sont les plus graves et irréversibles est susceptible de justifier une mesure de conservation de données de connexion, dès lors que l’objectif poursuivi doit être en relation avec la gravité de l’ingérence dans les droits fondamentaux qu’entraîne cette conservation ».

Bref, le sujet est épineux et mériterait un meilleur éclairage dans chaque État membre. Le député Lionel Tardy a déjà interrogé le Garde des Sceaux quant aux conséquences de l’arrêt Télé2 à travers une question parlementaire, encore sans réponse. Nous avons pris ici l’exemple de la Hadopi, mais évidemment les éléments de réponses qui seront un jour apportés par les juridictions ou l'exécutif permettront de décalquer la logique aux autres réquisitions comme celles de l’autorité judiciaire, l’ANSSI, l’AMF, les douanes, les services du renseignement, etc. qui ont tous accès à ces données.