Pour sauver la riposte graduée, la France implore l’essaim

L’audience de trois heures s’est tenue mardi devant la Cour de justice de l’Union européenne (CJUE). Compte rendu d'un ciel de plus en plus chargé au dessus de la riposte graduée, autrefois confiée à la Hadopi, aujourd’hui à l’ARCOM. Plusieurs pays européens sont intervenus pour tenter de sauver la barque, tout comme la Commission européenne. 

« La gravité des faits incriminés, de même que le quantum des sanctions, sont de très faible intensité ». Voilà comment Me Alexis Fitzjean O Cobhthaigh, avocat des associations FDN, FFDN, Franciliens et la Quadrature du Net, a planté le décor mardi. 

Attendu en 2023, l'arrêt de la CJUE pourrait faire vaciller cette fameuse machine à envoyer des avertissements, votée en France en 2009. Les zones de fragilité ? L’accès et la conservation des données inhérents à l’envoi de ces nombreux courriers de menace, et leur compatibilité avec le droit de l'UE.

« La CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par la Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave », résume la Quadrature. « En 2021, la CJUE a également rappelé que l’accès à ces données par les autorités ne peut se faire qu’à deux conditions cumulatives : s’il s’agit d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante ».

Aucun de ces standards ne serait respecté par le volet Hadopi de l'Arcom. Les volumes en jeu sont pourtant vertigineux : 

• Des millions d’adresses IP chalutés sur les réseaux P2P, constatées officiellement par les agents assermentés par le ministère de la Culture, travaillant pour les sociétés de défense
• Des millions d’adresses IP transmises à la Hadopi et aujourd’hui l’ARCOM, suite à leur saisine
• Des millions de données d’identification réclamées des FAI par l’autorité administrative
• Et enfin des millions d'avertissements

Des camions de données donc, mais à la clef, quelques centaines de sanctions seulement. Le régime reste ardemment défendu par le gouvernement français, poussée encore et toujours par les industries culturelles, comme aux origines du texte.  

De DADVSI à Hadopi

En 2006, quand Spotify préparait sa naissance en Suède, la France faisait le choix d’une politique basée sur la sanction. Dans le cœur de la loi dite DADVSI, était ainsi voté un régime de micro-amendes afin de frapper industriellement les P2Pistes. L’objectif ? Remettre ces vils internautes dans le droit chemin des rayons de la FNAC et Virgin.  

Dans sa décision du 27 juillet 2006, le Conseil Constitutionnel cassa toutefois cette stratégie du bâton, au motif qu'une contrefaçon, qu’elle ait lieu en P2P, sur un site ou dans la rue, reste… une contrefaçon. Sanctionner ces mêmes faits différemment selon le medium viole donc le principe d'égalité devant la loi pénale : « les particularités des réseaux d'échange de pair-à-pair ne permettent pas de justifier la différence de traitement qu'instaure la disposition contestée ».

Les sociétés de défense du secteur ne baissèrent pas les bras, imaginant un moyen de contourner cette décision défavorable. C'est la loi Hadopi de 2009 où plutôt que de frapper de micro-amendes les P2Pistes, l’excellence française décidait de taper sur les abonnés, dont l’inénarrable Mme Michu.   

Ce n’est donc plus le téléchargement en P2P qui allait être directement épinglé, mais l’incapacité de l’abonné à prévenir ces partages depuis sa box. Le défaut de sécurisation est depuis sanctionné lorsqu’il persiste malgré plusieurs messages d’avertissements. L'abonné risque jusqu’à 1 500 euros d’amende (voire 3 000 euros en cas de récidive). Des sanctions décidées par le tribunal de police, et non par l’autorité administrative comme l’avait envisagé un temps la loi Hadopi 1 avant une nouvelle censure constitutionnelle.

13 ans après, les peines sont donc non seulement très rares, à comparer aux treize millions d’avertissements envoyés depuis l’entrée en vigueur de la loi. Elles sont aussi très faibles, à comparer aux 3 ans de prison et 300 000 euros d’amende que risquent un contrefacteur.

Le régime permet en tout cas aux sociétés de défense de glaner des adresses IP associées à des œuvres mises en partage, adresses envoyées à une autorité administrative, aux fins d’identification chez les FAI.

Et là, comme on dit à Bastia, ça se corse.

De Hadopi à la Cour de justice de l'UE

Retour à la CJUE. La question centrale ne repose pas sur l’utilité ou l’opportunité de la riposte graduée. Elle tient aux traitements de données rendus nécessaires, que ce soit au niveau de l’accès, de la conservation, et de l’identification.

Pour Alexis Fitzjean O Cobhthaigh, avocat de FDN, FFDN, Franciliens et la Quadrature du Net, le texte ne répond pas aux standards européens qui réservent ces opérations à la criminalité grave et exigent au surplus un contrôle par une autorité tierce, en plus de celle au cœur de ce régime.

Lors de l’audience, l’avocat a fait œuvre de pédagogie en détaillant chacune des étapes, du partage des fichiers à l’envoi des avertissements. La collecte des IP, associées à l’œuvre mise en partage ? C’est une collecte de données de connexion. Validées par des agents assermentés par le ministère de la Culture, ces données sont ensuite transmises à l’ARCOM, autrefois la Hadopi, pour obliger les FAI à l’identification.

« Cette collecte doit nécessairement être doublement encadrée. D’une part, être limitée à la lutte contre la criminalité grave ». Ce qui ne serait pas le cas ici au regard du quantum des peines et de l’infraction de défaut de sécurisation d’un accès à Internet. « D’autre part, faire l’objet d’un contrôle indépendant et impartial ». Or, ce contrôle est inexistant.

Pour lui, c'est donc « bien la nature même de la Hadopi qui doit être remise en question : la Hadopi lutte contre des faits qui ne peuvent pas être qualifiés de criminalité grave. Les risques d’abus sont importants et l’automatisation démultiplie les atteintes aux droits fondamentaux protégés par la Charte »

Des risques ? Un exemple. Les fichiers téléchargés ne seraient pas si neutres puisqu’ils sont susceptibles « de révéler l’orientation sexuelle de la personne concernée, par exemple si c’est un fichier à caractère pornographique, ou bien l’opinion politique, religieuse ou philosophique de l’internaute ».

« Le maintien de telles pratiques est incompatible avec la rigueur, voire la solennité, qui s’impose à l’égard de tout traitement de données de connexion. Cela conduirait donc, à l’avenir, à généraliser ces pratiques et à en admettre de nouvelles, toutes aussi attentatoires à la vie privée ».

Il a donc invité la Cour « à rester ferme face à la France qui n’aura aucune hésitation à s’engouffrer dans la moindre faille afin de se soustraire à l’application de votre décision si elle en a la possibilité ».

Alexis Fitzjean O Cobhthaigh a rappelé au passage que la France a des difficultés à respecter la jurisprudence européenne. En témoigne le précédent des fichiers du renseignement, ou encore les questions posées par le Conseil d’État à la CJUE, limitées au seul contrôle indépendant de l’autorité, évinçant miraculeusement le thème de la « criminalité grave ».

• Comment le Conseil d’État a sauvé la conservation des données de connexion 
• La riposte graduée menacée de mort devant la justice européenne 

Il implore donc la Cour à ne pas créer d’exception Hadopi « puisque l’État français a déjà montré sa conception singulière, et pour le moins dénaturante, du respect de la notion d’exception. Ne créez pas de précédent : le gouvernement français n’attend qu’un infléchissement de votre jurisprudence sur la conservation et l’accès aux données de connexion pour aller encore plus loin dans l’automatisation des contrôles, le traitement d’une masse toujours plus importante de données, pour des finalités de moins en moins graves. ».

La France défend inexorablement l’exception Hadopi

FDN, FFDN, Franciliens et la Quadrature n’ont pas été les seules à être entendues puisque le gouvernement français est également intervenu pour sauver cette fois le soldat Hadopi.

La stratégie française ? Faire feu de tout bois. Premier front, tenter de limiter le périmètre des questions soulevées devant le juge européen au seul accès de l’Hadopi-Arcom aux données détenues par les FAI. Manque de chance, la Cour de justice semble bien décidée à s’intéresser aussi aux opérations menées en amont, du côté des sociétés de défense. 

Deuxième front, soutenir que la directive e-privacy, ici en jeu, ne concerne que les fournisseurs d’accès, et n’a rien à voir avec les opérations de collecte d’adresse IP réalisées par la SACEM, la SPPF, la SCPP, l’ALPA et la SDRM sur les réseaux P2P. 

En effet, ces adresses « sont librement accessibles en ligne directement sur le réseau sans besoin de former la moindre demande auprès du fournisseur de service ». Or, selon la représentation française, la visibilité de ces adresses n’est pas le fruit d’une obligation imposée par les FAI, mais inhérente au fonctionnement du P2P.

Manque de chance, la Cour a déjà exposé que l’enregistrement d’adresses IP préalable à une demande de divulgation des noms et adresses postales des abonnés relevait bien de cette directive (point 118).

La France a tenté d’écarter cette jurisprudence, puisque ces faits concernaient les seules sociétés privées, sans l’intervention comme ici d’une autorité administrative.

Dans le régime français, en effet, les ayants droit ne sont donc pas destinataires des données d’identité civile, qui ne sont révélées qu’à la Hadopi/ARCOM, du moins avant la transmission au parquet.   

Troisième front, en l’état actuel du droit, le régime Hadopi ne met en place aucune obligation de conservation des données, assure la représentation française. Il organise simplement un accès au stock éventuellement détenu par les FAI afin de permettre l’identification des IP avant l’envoi des lettres d’avertissements. Ni plus… ni moins.

Quatrième front. Poussant l’argumentaire jusqu’aux abysses, Paris considère que le critère de la « criminalité grave » relève de l’appréciation des seuls États membres. Et « de l’avis du gouvernement français, toute contrefaçon est susceptible en tant que telle de constituer un acte de criminalité grave ».

Implorer l'essaim 

Le caractère massif des pratiques sur les réseaux P2P révèlerait la gravité de ces actes. La représentante française file la métaphore : « Une piqure d’abeille, ce n’est pas nécessairement grave. Un essaim d’abeilles qui s’engouffre dans la capuche d’un enfant, c’est grave ».

Cette massification autoriserait donc les États membres à mettre en place des mesures de collecte et d'accès, au surplus sans dissocier l'autorité en charge de la collecte et celle du contrôle comme le veut le droit européen. 

Sous l’œil médusé de FDN, FFDN, Franciliens et LQDN, le gouvernement estime pour son cinquième front que les données collectées « ne permettent pas de tirer des conclusions précises sur la vie privée des personnes concernées ». 

Pourquoi ? La riposte graduée permet de savoir qu’une ligne a été utilisée pour des mises en partage sur les réseaux P2P, mais sans identifier précisément celui qui a effectué ce téléchargement. L’autorité administrative sait qui n’a pas été vigilant dans la sécurisation de l’accès, non qui a téléchargé.

On rappellera néanmoins que le premier abonné sanctionné par ce mécanisme dédié à la protection de l’exception culturelle, interviewé par nos soins, avait révélé que c’était sa compagne qui était à l’origine des téléchargements de deux titres de Rihanna. En outre l’article 40 du Code de procédure pénale oblige la Hadopi et aujourd’hui l’ARCOM à dénoncer les faits de contrefaçons au procureur…

• Hadopi : interview du premier abonné condamné

Sixième front : non seulement l’atteinte à la vie privée serait de faible portée, mais ce droit à la vie privée ne peut tout justifier, en tout cas pas l’abus « que constituent des actes de contrefaçon ».

Enfin, septième front, la riposte graduée est solidement encadrée : droit d’accès, sécurisation des flux, journalisation, cloisonnement du système d’information, etc. « L’ensemble de ces garanties remplissent pleinement les exigences posées par la Cour », rendant même inutile l’intervention d’une autorité extérieure dont le contrôle paralyserait de facto ce système.

Du bout des lèvres, la France esquisse l'hypothèse d'un contrôle a posteriori, mais seulement sur demande de l’abonné mis en cause. S’il devait être imposé a priori par la CJUE, elle demande que ce contrôle puisse d’une part être « essentiellement automatisé », avec « contrôle humain aléatoire », et d’autre part, qu’il puisse être mené par l’autorité qui demande l’accès aux données. Soit grosso modo le régime actuel... 

Les autres États membres et la Commission au chevet de la France

D’autres États membres sont venus à l’audience, témoignage que l’action des quatre associations dépasse allègrement la seule France, et pourrait concerner d'autres univers. 

Le Danemark, par exemple, a défendu la possibilité d’utiliser des adresses IP dans le cadre de la lutte contre les infractions pénales dites « ordinaires ». Ce n’est pas un suivi exhaustif. L’IP ne permet pas de connaître le profil social d’une personne, mais révèle simplement  l’existence d’une violation du droit d’auteur à un moment donné. 

Pour le gouvernement finlandais, même posture : les ingérences dans la vie privée sont limitées, alors que les IP sont des indices décisifs pour lutter contre ces infractions ordinaires. Et dans les cas où seule l’IP est associée à une identité, l’exigence d’un contrôle préalable n’est pas nécessaire. Exiger un tel contrôle préalable serait une charge administrative bien trop importante pour les services en charge de la lutte contre ces petites infractions. Et pour la Suède comme la Norvège, les mêmes positions ont été défendues. 

La Commission européenne au chevet de la France

L’agent représentant la Commission européenne relève que cette affaire aura un mérite : celui de lever le voile sur le degré d’ingérence dans la vie privée des traitements portant sur l’adresse IP tels que le système Hadopi.

En attendant, pour Bruxelles aussi, cette incise ne serait pas si grave. L’accès aux données ne doit donc pas nécessairement être soumis au contrôle préalable d’une entité tierce, qu’elle soit une juridiction ou une autorité administrative. Le recueil des IP par les agents assermentés ? Ces adresses IP étant directement accessibles sur les réseaux P2P, seul le RGPD et la loi CNIL sont mobilisables, pas plus. Ces mesures non intrusives permettent de tisser un lien manquant entre une IP et une personne.

La Commission se contenterait d’un contrôle de proportionnalité des demandes d’accès de la Hadopi aux données détenues par les FAI. Un contrôle préalable limité, qu'un service interne pourrait gérer sans que chaque demande ne soit individuellement motivée. Ce contrôle pourrait se faire par échantillonnage, non pour chaque demande individuelle. Il pourrait porter sur la fiabilité du système et la sécurité des données. Toutes ces opérations pourraient être effectuées automatiquement avec quelques interventions humaines.

Bref, comme l'a plaidé la France.

Hadopi, Cétautomatix

Lors d’une session de questions-réponses, la France a été amenée à confirmer que les traitements actuellement en cours étaient essentiellement automatisés, modulo une intervention « par lots » menée par les agents pour des  demandes d’accès aux données détenues par les FAI.

Questionné par la rapporteure, le gouvernement français n'a pu jauger le poids de cette intervention humaine, tout en reconnaissant que le dispositif aujourd’hui en vigueur n’est pas si éloigné de ce que préconise la Commission européenne aux oreilles de la CJUE.  

« La Hadopi est une autorité publique indépendante, elle présente de manière générale des garanties d’impartialité vis-à-vis des tiers, et notamment du gouvernement ». Si au vu de la jurisprudence européenne, le service en charge du contrôle doit être distinct de celui qui demande l’accès aux données, le régime Hadopi n’est pas conforme. Mais, « notre position est qu’une telle exigence n’est pas nécessaire dès lors que l’autorité qui demande l’accès est elle-même une autorité indépendante ».

Dès lors que la demande émane d’une juridiction ou d’une autorité indépendante, ce contrôle préalable pourrait, à ses yeux, être mené par le service qui demande l’accès. Une position non consacrée par la CJUE.

Question posée à l’avocat des associations :  quels systèmes adopter pour lutter contre les violations de la propriété intellectuelle ? « Je ne crois pas qu’il nous appartienne en tant qu’associations, de déterminer quel serait le système idéal. Ce système n’est pas partagé par l’ensemble des autres États de l’UE, ce qui montre bien qu’il y a d’autres manières de faire ». 

L’avocat général Maciej Szpunar rendra ses conclusions le 27 octobre 2022. La décision de la CJUE interviendra quelques mois plus tard. Réagissant aux derniers chiffres connus de la Hadopi, 13 millions d’avertissements pour quelques centaines de réponses pénales depuis les origines, Maciej Szpunar s’est interrogé : n’est-ce pas la démonstration que les avertissements sont efficaces ? Non sans esquisser un petit sourire. 

• Live tweet de Bastien le Querrec (LQDN) 
• L’audience CJUE en vidéo