Hadopi : la CJUE valide la surveillance des IP, la Quadrature déçue

Approbation graduée

La cour de justice de l’Union européenne vient de rendre un arrêt (.pdf) expliquant qu’une « autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP ». Cette décision fait suite à une saisie du Conseil constitutionnel par quatre associations, dont la Quadrature du Net.

Sébastien Gavois

Le 02 mai à 10h50

7 min

Droit

En ligne de mire, bien évidemment, la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet, ou « fameuse » Hadopi. Pour rappel, la Hadopi et le CSA ont fusionné début 2022 pour donner naissance à une nouvelle autorité : l’Arcom.

Arcom : le Parlement adopte la fusion Hadopi-CSA et les nouveaux outils contre le piratage

Attaque contre la riposte graduée : réponse graduée

Pour en revenir à notre affaire, deux décrets étaient examinés par la Cour de justice de l’Union européenne. Le premier, sur la collecte et la mise à disposition de la Hadopi d’adresses IP « utilisées sur des sites de pair-à-pair ». Le second, sur la « mise en correspondance entre l’adresse IP et les données d’identité civile de son titulaire par les fournisseurs d’accès à Internet ». Le tout formant un rouage de la riposte graduée.

Quatre associations de protection des droits et libertés sur Internet – Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network – ont saisi le Conseil d'État français d’un recours. L’institution française s’est alors tournée vers la Cour de justice de l’Union européenne pour savoir « si les traitements de données précités sont compatibles avec le droit de l’Union ».

Pour la Cour, ce n’est « pas nécessairement une ingérence grave »

Dans son communiqué (.pdf), la CJUE explique que « la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée ».

De plus, le droit de l’Union « ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP ». La CJUE ajoute que les États membres doivent s’assurer que cet accès « ne permette pas de tirer des conclusions précises sur la vie privée ».

La Quadrature s’attend à un sauvetage de la Hadopi « malgré cet arrêt »

Comme toujours, la Cour donne une précision importante : elle « ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire », le Conseil d'État dans le cas présent. La réaction ne se fait pas attendre à La Quadrature du Net, qui n’a visiblement que peu d’espoir sur la suite de la procédure : « Nous nous attendons désormais à ce que le Conseil d’État sauve la Hadopi, malgré cet arrêt ».

- Conservation des données : le gouvernement demande au Conseil d’État d’ignorer la justice européenne

« Cet arrêt est décevant. La CJUE tempère très fortement sa précédente jurisprudence, au-delà du cas de la Hadopi. En considérant désormais que l’accès aux adresses IP n’est pas sensible, elle admet la possibilité de surveiller massivement Internet », ajoute l’association.

La Cour retourne-t-elle sa veste ?

La Quadrature du Net revient également sur le fait que la CJUE « renverse son raisonnement » par rapport à un arrêt de 202 0 (.pdf).

Elle reconnaissait à l’époque « que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation ».

La Cour expliquait néanmoins que dans certaines situations (une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, par exemple), un État peut déroger à la règle et imposer « une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire ».

Précision importante : « Une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante ».

Pour LQDN, la Cour « estime désormais que la conservation des adresses IP n’est, par défaut, plus une atteinte grave aux libertés fondamentales, et que dans certains cas seulement cet accès porte une ingérence grave qu’il faut entourer de garanties […] Plus généralement, cet arrêt de la Cour européenne a surtout validé la fin de l’anonymat en ligne ».

Voici la lecture de l’arrêt de 2024 par la Quadrature du Net :

« Concernant notre affaire et le cas précis de la Hadopi en France, la Cour pousse seulement la Hadopi à évoluer.
Elle estime que dans certaines situations « atypiques » l’accès à l’adresse IP et l’identité civile associée à une œuvre culturelle peut créer une ingérence grave dans le droit à la vie privée (on peut penser au cas d’une œuvre permettant de tirer des conclusions relatives aux opinions politiques, à l’orientation sexuelle, etc.) ; elle estime aussi que cet accès porte une ingérence grave en cas de « réitération » et exige dès lors que l’accès aux adresses IP ne puisse pas être « entièrement automatisé ».
Mais dans tous les autres cas la CJUE dit bien que la Hadopi peut accéder de manière massive et automatisée à l’identité civile des personnes ».

Une machine à gaz pour en surveiller une autre ?

Désormais, « le législateur devra inventer une machine à gaz pour prévoir un pseudo contrôle externe indépendant de l’accès à l’identité civile par la Hadopi ».

En effet, comme le rapporte notre confrère Marc Rees (journaliste à l’Informé, spécialiste du sujet), la Cour précise dans sa conclusion qu’il faut que « le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système ».

Il précise aussi que, pour la CJUE, « la réglementation nationale doit également prévoir, à un certain stade de ladite procédure, un contrôle préalable par une juridiction ou par une entité administrative indépendante […] afin d’exclure des risques d’ingérences disproportionnées dans les droits fondamentaux à la protection de la vie privée et des données à caractère personnel de la personne concernée ».

Marc Rees rappelle un point important du fonctionnement de la Hadopi : c’est le titulaire de l’abonnement qui est sanctionné pour défaut de sécurisation de sa ligne, qui n’est pas forcément celui à l’origine du téléchargement. « Pas sûr à 100 % donc que ce point entraîne une révolution interne », ajoute-t-il.

En effet, le site Service Public rappelle que « vous êtes concernés si vous êtes le propriétaire de la connexion internet ayant servi au téléchargement illégal (celui qui a signé le contrat avec le fournisseur d'accès par Internet). Même si ce n'est pas vous qui avez effectivement téléchargé ».

Et, dernier point important : « La preuve sera faite non pas par le téléchargement en lui-même, mais par la mise à disposition illégale des œuvres. Une œuvre téléchargée en peer-to-peer devient en effet disponible pour d'autres internautes qui utilisent la même technique ».

Commentaires (16)

5francs Abonné

Le 02/05/2024 à 11h01

Il serait agréable de préciser que Mac Rees fut ancien rédacteur en chef de nextinpact, ancêtre de next.ink...

Winderly

Le 02/05/2024 à 11h23

Excellent article, merci.

Bloptimus

Le 02/05/2024 à 12h02

Bel article, merci !

fred42 Abonné

Le 02/05/2024 à 12h22

Cette décision fait suite à une saisie du Conseil constitutionnel par quatre associations, dont la Quadrature du Net.

Non. C'est le Conseil d'État qui a été saisi et il a lui-même saisi le Conseil Constitutionnel pour ce qui est d'une violation possible de la constitution et aussi la CJUE pour ce qui est d'une violation possible des textes de l'UE.

Remarque : Le Conseil Constitutionnel ne se prononce pas sur des décrets mais sur des lois, c'est donc étrange qu'il ai été sollicité. En fait, il l'a été car c'est un article de loi qui faisait partie de la base légale du décret, en annulant l'article de loi, le décret tomberait.

J'ai signalé le soucis à la rédaction sur le Conseil Constitutionnel, mais je n’avais pas encore commencé la lecture de l'Arrêt de la CJUE. Je fais donc ce commentaire pour expliquer à tous l'enchaînement des saisies.

Je poursuis ma lecture de l'arrêt de la CJUE.

pamputt Abonné

Le 02/05/2024 à 12h26

Une telle conservation [de l'adresse IP] est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée ».

De ce que je comprends, cela couvre le fait de ne pas savoir que j'ai téléchargé un documentaire sur le nazisme, l'homosexualité, etc pour ne pas pouvoir associer mes idéologies politiques, mon orientation sexuelle, etc à mon identité civile. Reste à voir comment ça va être mis en place.

Jarodd Abonné

Le 02/05/2024 à 12h36

Et, dernier point important : « La preuve sera faite non pas par le téléchargement en lui-même, mais par la mise à disposition illégale des œuvres. Une œuvre téléchargée en peer-to-peer devient en effet disponible pour d'autres internautes qui utilisent la même technique ».

Donc le direct download, qui ne met pas à disposition le fichier à d'autres internautes, reste en dehors du périmètre des filets de l'Arcom (sauf pour le site qui publie le lien, j'imagine).

Kazer2.0 Abonné

Le 02/05/2024 à 14h01

Rien de nouveau sous le soleil pour ça, c'est la mise à disposition et pas le téléchargement illégal qui est généralement puni (me semble que c'est d'ailleurs le cas dans plusieurs pays, dans le texte c'est généralement l'upload et pas forcément le download).

La question que je me pose c'est si les IPs professionnelles sont toujours exclus de l'HADOPI

fred42 Abonné

Modifié le 02/05/2024 à 13h08

113 Cela étant, divers éléments permettent de considérer que, en l’occurrence, l’ingérence dans la vie privée d’une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins que permet une réglementation telle que celle en cause au principal ne revêt pas nécessairement un degré de gravité élevé. Tout d’abord, conformément à une telle réglementation, l’accès de la Hadopi aux données à caractère personnel en cause est réservé à un nombre limité d’agents agréés et assermentés de cette autorité publique, organe qui bénéficie d’ailleurs d’un statut indépendant conformément à l’article L. 331-12 du CPI. Ensuite, cet accès a pour but unique d’identifier une personne soupçonnée de s’être livrée à une activité portant atteinte aux droits d’auteur ou aux droits voisins lorsqu’il est constaté qu’une œuvre protégée a illégalement été mise à disposition à partir de son accès à Internet. Enfin, l’accès de la Hadopi aux données à caractère personnel en cause est strictement limité aux données nécessaires à cette fin (voir, par analogie, Cour EDH, 17 octobre 2019, López Ribalda e.a. c. Espagne, CE:ECHR:2019:1017JUD000187413, § 126 et 127).

114 Un autre élément de nature à réduire encore davantage le degré d’ingérence dans les droits fondamentaux à la protection de la vie privée et des données à caractère personnel découlant dudit accès de la Hadopi, qui semble ressortir du dossier dont dispose la Cour mais qu’il incombe à la juridiction de renvoi de vérifier, concerne le fait que, en vertu de la réglementation nationale applicable, les agents de la Hadopi ayant accès aux données et aux informations concernées sont tenus à une obligation de confidentialité leur interdisant de les divulguer sous quelque forme que ce soit, sauf à seules fins de saisir le ministère public, et d’utiliser celles‑ci à des fins autres que l’identification du titulaire d’une adresse IP soupçonné de s’être livré à une activité portant atteinte au droit d’auteur ou à un droit voisin afin de lui imposer l’une des mesures prévues dans le cadre de la procédure de réponse graduée (voir, par analogie, Cour EDH, 17 décembre 2009, Gardel c. France, CE:ECHR:2009:1217JUD001642805, § 70).

Ces points sont censés justifier que atteinte à la vie privée n'est pas grave. Je veux bien que ça soit le cas si le titulaire du contrat d'accès à Internet est l'unique utilisateur de la ligne Internet.

Mais la CJUE n'a pas eu connaissance des points suivants ou ne les a pas considérés :

1) le délit poursuivi n'est pas l'atteinte aux droits d'auteur mais la non sécurisation de l'accès à Internet. C'est donc le titulaire du contrat qui est visé ici.

2) Il est possible pour ce titulaire du contrat de demander et d'obtenir le nom des œuvres contrefaites.

3) Ce peut être une personne autre que le titulaire qui a porté atteinte au droit d'auteur. Dans un foyer, ce nombre de personnes est généralement réduit (éventuellement à une seule autre personne et dans ce cas, le titulaire de l'abonnement sait précisément qui est l'autre personne). Le point 114 cité plus haut n'est donc pas respecté.

Donc, le titulaire de l'abonnement peut déduire de la nature des œuvres soit les préférences sexuelles, politiques, religieuses ou toute autre information personnelle sensible.
Un parent peut donc par exemple apprendre ainsi l'homosexualité de son enfant sans que celui-ci ne veuille lui révéler. Ceci est un cas grave de divulgation d'information personnelle.

La Quadrature ou autre partie peuvent probablement utiliser cet argument devant le Conseil d'État. Si vous connaissez quelqu'un chez eux, vous pouvez pointer mon commentaire ou leur transmettre.

brupala Abonné

Le 02/05/2024 à 15h11

De tout façon, c'est du combat d'arrière garde, du 15 ans d'âge, aujourd'hui le dada de l'Arcom, c'est le streaming, pas la mise à disposition de fichiers, et de plus ce n'est guère qu'une machine à spam au niveau policier.

pamputt Abonné

Le 02/05/2024 à 15h19

Arrière-garde pas sûr. Si l'objectif de la collecte n'est plus au goût du jour, la méthode en place reste extrêmement dangereuse pou les libertés publiques. Il ne reste qu'à l'appliquer à un autre sujet pour remettre ce combat dans l'actualité.

fred42 Abonné

Le 02/05/2024 à 15h38

Tu peux expliquer concrètement ce que tu crains ? Ou donner des exemples vraisemblables.

Une chose claire qui a été dite par la CJUE, c'est que l'on pouvait utiliser les adresses IP pour identifier les auteurs d'infractions si c'était prévu par la loi. Donc, il ne fallait pas espérer ses arrêtés précédents que toute activité illégale était protégé par l'interdiction de conserver les adresses IP avec un horodatage et des informations identifiantes (C'est moi qui l'exprime ainsi, de même pour la phrase suivante). Il n'y aura donc pas d'impunité sur Internet.

L'autre chose claire, c'est qu'il fallait étudier la proportionnalité entre le droit à la vie privée et la faute poursuivie. Donc, dans ses arrêts précédents, ce qu'elle interdisait étaient l'utilisation des informations conservées par les opérateurs qui permettaient une atteinte grave à la vie privée pour lutter ou punir des infractions non graves (on note l'opposition entre grave et non grave). Récupérer simplement l'identité d'une personne avec son adresse IP et un horodatage n'est pas une atteinte grave à la vie privée. L'association avec d'autres informations peut l'être.

brupala Abonné

Le 02/05/2024 à 22h43

L'auteur de l'infraction ...
c'est le locataire de la connexion qui est identifié, et encore, avec les CGnat il faut en plus le port, reste ipv6, mais en cas normal l'adresse d'un client ipv6 change tous les jours (fonction privacy), certes dans le même /64, mais ça ne permet pas d'identifier précisément à postériori, seulement le titulaire du /64 est identifiable.
L'article le répète d'ailleurs, ce n'est pas l'auteur qui est visé mais le soi disant défaut de protection de son réseau privé, soit il dénonce l'auteur, soit autre infraction beaucoup moins grave, on ne peut pas prouver sa culpabilité par ce moyen de l'adresse ipv4/6.
Outils obsolètes et dépassés, débat obsolète aussi.

fred42 Abonné

Le 02/05/2024 à 23h16

Ce que tu dis est incompréhensible et tu mélanges un peu tout.
Ça n'a aucun rapport avec ce que je disais. Je n'ai pas dans ce commentaire parlé d'auteur d'infraction. Je débats du sujet juridique et pas du sujet technique. La technique n'a ici aucun intérêt. La décision de la CJUE est importante d'un point de vue général.
Là, où je peux être d'accord avec toi, c'est que la chasse au P2P de l'ARCOM est un combat d'arrière garde et l'invention du défaut de protection est d'une hypocrisie crasse.

Mais, dans le cas d'une infraction un peu plus grave que le ~~P2P~~ défaut de protection, l'identification du titulaire du contrat aidera fortement ensuite trouver qui, dans le foyer, a commis l'infraction et, l'utilisation de l'adresse IP a été clairement été autorisée ici pour l'identification.
Que ça soit une adresse IP V4 + un numéro de port ou une adresse IPV6 dans un /64 n'a aucune importance d'un point de vue légal, ce qui est validé, c'est l'utilisation des informations de connexion strictement nécessaire à l'identification.

Non, le débat n'est pas obsolète.

brupala Abonné

Le 03/05/2024 à 11h45

Certes je parle d'aspects différents de ton éclairage, je dis juste que l'adresse IP à elle seule n'assure pas l'identification d'un coupable, il faut d'autres éléments sur le plan juridique, dénonciation par exemple, ce qui fait que l'Arcom n'a guère que le droit d'envoyer des milliers de mails, car elle n'a pas accès à des moyens d'investigation supplémentaires.

fred42 Abonné

Le 03/05/2024 à 13h01

La loi française dit le contraire de ce que tu dis. Le titulaire du contrat est coupable de non sécurisation de son accès Internet. Je sais, c'est une connerie, mais c'est la loi.

brupala Abonné

Le 03/05/2024 à 14h12

On est d'accord: coupable de non sécurisation, ça n'est pas la même chose que le délit qui peut être derrière, par exemple diffamation ou incitation à la haine, voire association terroriste, choses pour lesquelles le locataire de l'adresse IP n'ira pas forcément dénoncer le coupable, il faudra alors prouver que c'est bien lui ou qu'il est complice, ce qui n'est pas forcément le cas.
Je ne sais pas si on est considéré comme complice si on refuse de dénoncer.