Hadopi, non conforme au droit de l’Union ? Dans un rapport sur le droit de la propriété intellectuelle, les données et les contenus numériques, les juristes Valérie-Laure Benabou et Célia Zonlynski soulèvent la question de l’accès aux métadonnées que s’est vue reconnaitre l'autorité. Il serait en indélicatesse avec la jurisprudence de l’Union européenne.
Dans ce rapport remis au Conseil supérieur de la propriété intellectuelle (CSPLA), révélé par nos confrères de Contexte Numérique, les deux professeures de droit reviennent sur l’obligation de conservation des données de connexion, mise sur les épaules des fournisseurs d'accès Internet (FAI).
Cette obligation les contraint de conserver durant un certain délai – un an en France – un vaste ensemble de traces laissées dans le sillage des abonnés. Ce stock est ensuite laissé à portée des autorités.
Au début des années 2000, cette obligation était taillée pour la recherche des auteurs d’infractions pénales. Cependant, le mouvement a connu la dégénérescence qu’on pouvait imaginer : l’accès a été ouvert à d’autres autorités, d’autres finalités.
En 2007, la loi Hadopi s’est évidemment raccrochée à ce train : elle permet à la Rue de Texel, à l’aide des adresses IP repérées sur les réseaux P2P par les organismes de défense de l’industrie culturelle, de contacter les FAI aux fins d’identification des abonnés. C’est à l’aide de ce précieux préalable qu’elle peut ensuite adresser ses avertissements par mail ou LRAR, repérer les récidivistes voire envoyer les non-sécurisés devant le juge.
Seulement, comme le rappellent les juristes, « par un arrêt de grande chambre du 21 décembre 2016, la CJUE a jugé que la directive « vie privée et communications électroniques » (…) s’opposait à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des métadonnées, même à des fins de lutte contre la criminalité ». Et celle-ci d'interdire par contre-coup un accès open bar aux autorités. Du coup, se reposent les points déjà soulignés dans nos colonnes.
La lutte contre le terrorisme, les missions de la Hadopi, deux échelles de valeur
Questionnés sur cette obligation générale de conservation, les juges de Luxembourg ont posé qu’« eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure » (arrêt Tele2 Sverige).
Au CSPLA, les deux juristes s’interrogent : « s’il était mis fin à la conservation générale des métadonnées, cela aurait bien sûr pour conséquence d’empêcher tous les accès qui existent aujourd’hui, dont celui de la Hadopi. En outre, même si la CJUE revenait sur l’arrêt Tele2 Sverige, il n’est pas certain que cet accès pourrait être maintenu dans les conditions actuelles ». En juillet 2018, le Conseil d’État a en effet soumis une série de questions préjudicielles à la CJUE pour tenter de trouver malgré tout des justifications à la conservation généralisée.
Il reste que la CJUE a estimé que seule la lutte contre la criminalité grave pouvait justifier une telle conservation, et encore l’accès devait alors faire l’objet d’un encadrement. Or, précise le rapport, « le fait que l’obligation de vigilance prévue par l’article L. 336-3, qui est au cœur du système de la Hadopi, fasse l’objet à titre principal de sanctions contraventionnelles ne plaide pas en faveur d’une assimilation à la lutte contre la criminalité grave ».
1 500 euros, contravention théorique qui attend l’abonné non sécurisé n’est en effet pas du même niveau que le terrorisme, la pédopornographie, la traite des personnes humaines ou la criminalité organisée.
Le droit d'accès des agents du fisc et des douanes
En France, suite à cette jurisprudence européenne, appuyée par celle du Conseil constitutionnel, plusieurs rustines ont été apposées dans le droit d’accès aux données de connexion d’autres secteurs.
Pas plus tard que fin septembre, le droit des agents des douanes a ainsi été redéfini. Dans le projet de loi contre la fraude, actuellement en commission mixte paritaire, l’accès des premiers a été limité « à la constatation des infractions douanières les plus graves » comme la contrebande de produits stupéfiants ou d’armes, le délit de blanchiment douanier ou la violation d’un embargo financier.
Un tour de vis similaire a été porté aux droits des agents du fisc.
Infraction grave et Hadopi
La loi Hadopi doit-elle être modifiée dans le même sens ? Du côté de l'institution, il pourrait être soutenu que l’infraction est en lien avec la peine de contrefaçon, punie de 3 ans de prison et 300 000 euros d’amende. Un tel niveau s’approche d’une infraction grave.
Plusieurs garanties sont en outre à souligner. D’une part, les données nominatives ne sont adressées qu’à la Hadopi, et plus spécialement aux agents assermentés de la Commission de protection des droits (CPD).
D'autre part, le décret « relatif au traitement automatisé de données à caractère personnel » de mars 2010 dresse une liste limitative des données dont peut avoir accès la CPD (nom de famille et prénoms, l’adresse postale, les adresses électroniques, les coordonnées téléphoniques enfin l’adresse de l'installation téléphonique de l'abonné). L’accès serait donc proportionné, limité en outre au seul périmètre du P2P.
Enfin, la CJUE s’est focalisée sur l’article 15 de la directive de 2002 sur les traitements de données à caractère personnel et la vie privée. La disposition envisage une dérogation au principe de confidentialité des communications, dès lors qu’est mis en avant la sauvegarde la sécurité nationale, la prévention, la recherche, la détection et la poursuite d’infractions pénales ou les utilisations non autorisées du système de communications électroniques. L’article 13 de la directive 95/46 autorise les traitements appuyés sur d’autres objectifs, comme la protection des droits d’autrui. Un principe repris à l’article 23 du RGPD, lequel a abrogé cette directive.
En bref, difficile pour l'heure d'affirmer qu'Hadopi est en contrariété avec cette jurisprudence, mais clairement, elle est aujourd’hui menacée de recours sur ce fondement.
