Comme pronostiqué, le Conseil d’État a décidé hier de transmettre la question prioritaire de constitutionnalité soulevée par La Quadrature du Net, FDN, la FFDN et Franciliens.net devant le Conseil constitutionnel (voir la décision). Les « Sages » se prononceront dans un délai de trois mois.
Le cœur d’Hadopi est menacé aux portes du Conseil d’État et bientôt peut-être devant le Conseil constitutionnel. La Quadrature du Net, FDN, la FFDN et Franciliens.net estiment que les garanties accompagnant l’accès par les agents aux données de connexion des abonnés ne respectent pas les standards. Explications détaillées.
Dans les deux lois Hadopi de 2009, les sociétés de gestion collective se voient en capacité d’aspirer les IP de ceux mettant en partage les œuvres de leurs catalogues sur les réseaux de pair-à-pair.
Ces informations sont ensuite transmises à la Hadopi qui se retourne devant les fournisseurs d’accès. Un traitement automatisé lui permet alors d’obtenir les coordonnées des abonnés, nom compris.
La suite est connue : c’est l’envoi d’une série d’avertissements par email puis d’une lettre recommandée. Au bout du bout, c’est l’éventuelle transmission au parquet de celui qui n’aura su sécuriser son accès pour empêcher des contrefaçons répétées malgré de multiples rappels à la loi.
Évidemment, dans un tel montage, le traitement au niveau de la tourelle Hadopi est de première importance. Un décret du 5 mars 2010 s’est chargé de sa mise en œuvre en prévoyant la communication de deux types de données : celles issues des agents travaillant pour les ayants droit, celles issues des FAI, à la demande de la Commission de la Hadopi.
Celles issues des ayants droit :
- Date et heure des faits ;
- Adresse IP des abonnés concernés ;
- Protocole pair-à-pair utilisé ;
- Pseudonyme utilisé par l'abonné ;
- Informations relatives aux œuvres ou objets protégés concernés par les faits ;
- Nom du fichier tel que présent sur le poste de l'abonné (le cas échéant) ;
- Fournisseur d'accès à Internet auprès duquel l'accès a été souscrit ;
- L’identité complète de l’agent assermenté chargé de cette collecte.
Celles issues des FAI :
- Nom de famille, prénoms ;
- Adresse postale et adresses électroniques ;
- Coordonnées téléphoniques ;
- Adresse de l'installation téléphonique de l'abonné.
En plus de ce stock d'informations, s’y ajoutent les emails et lettres recommandées précédemment envoyés à l’abonné avant de passer au stade n+1 de la riposte graduée.
L'absence de garantie dans l'accès aux données de connexion désormais sanctionnée
FDN avait déjà attaqué ce décret en 2011, en vain. French Data Network considérait alors qu’il était entaché d’un vice de procédure, faute d’avoir été précédé d’une consultation de l’ARCEP. Procédure inutile, avait répondu le Conseil d’État.
Cette fois-ci, les requérantes reviennent à l’attaque au regard d’un important changement de circonstance, consécutif à une évolution de la jurisprudence du Conseil constitutionnel et de la Cour de justice de l’Union européenne. Et c’est au regard de ce changement qu’elles sollicitent désormais la transmission d’une question prioritaire de constitutionnalité ciblant l’article L331-21 du Code de la propriété intellectuelle, qui sert de fondement au décret de 2010.
Le cœur de la question concerne l’accès aux données de connexion. Par plusieurs décisions, le Conseil constitutionnel a déjà censuré les textes qui offraient un accès trop vaste, sans garantie, aux agents de l’Autorité de la concurrence, à ceux des Douanes, de l’AMF, de la Haute autorité pour la transparence de la vie publique ou des agents de la protection sociale.
À chaque fois, même ritournelle : « le législateur n’a pas entouré la procédure prévue (…) de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ».
Le Conseil constitutionnel n’a jamais vraiment précisé les garanties exigées pour accompagner l’accès aux données de connexion de ces agents, mais il a plusieurs fois souligné que le simple fait que cet accès soit réservé à des agents habilités n’était pas suffisant pour protéger la vie privée.
Cette jurisprudence est inspirée d’un mouvement similaire à la Cour de justice de l’Union européenne. Le 8 avril 2014, la CJUE invalidait la directive sur la conservation des données de connexion dans son arrêt Digital Rights.
Elle soulignait la sensibilité des données de connexion qui « prises dans leur ensemble [elles] sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Et dans son arrêt Télé2 rendu le 21 décembre 2016, elle répétait que l’accès des autorités devait être entouré de solides garanties.
Les agents de la Hadopi bénéficient d'un accès trop « open-bar »
Retour à Hadopi. Les requérantes estiment que l’article L. 331-21 du Code de la propriété intellectuelle échoue à atteindre ces standards. Le texte offre un vaste accès aux « agents publics assermentés habilités par le président de la Haute Autorité » à « tous les documents » et donc à toutes les données de connexion (le qui, quand, comment, où, etc. d’un échange électronique). La loi n’est pas plus bavarde sur les garanties (modalité d’accès, finalités et motifs, traitement et conservation de ces données, etc.).
La situation est d’autant plus problématique que ce vaste accès concerne une contravention de 1 500 euros maximum pour défaut de sécurisation. Une sanction jugée nécessaire par les industries culturelles, mais qui, sur l’échelle normative ou sociale, ne pèse pas grand-chose face par exemple à la pédopornographie ou à la lutte contre le terrorisme.
Vers une annulation déportée dans le temps ?
Le Conseil d’État rendra sa décision dans trois semaines, indique la Quadrature du Net au fil d’un « live-tweet ». Si la question de la conformité de l’article phare est transmise au Conseil constitutionnel, celui-ci rendra sa décision dans un délai de trois mois.
En imaginant que ce scénario se confirme, le Conseil constitutionnel pourra annuler cet article avec déport dans le temps. La technique est fréquente lorsqu'il s'agit d'éviter de faire tomber un édifice, ici Hadopi. Une telle solution permettrait au législateur de disposer du temps nécessaire pour corriger le tir, notamment à l’occasion des débats sur le projet de loi audiovisuel. Signalons néanmoins que le ministère de la Culture ne pourra pas feindre la surprise, ayant régulièrement été alerté de ce problème...
