Le 5 juillet prochain, la Cour de justice de l’UE examinera un recours contre la riposte graduée, chère à la Hadopi, aujourd’hui dans le giron de l’ARCOM. Son objet ? La question de l’accès aux données personnelles permettant d’enclencher l’envoi des millions d'avertissements, voire des procédures pénales.
L’intarissable sujet des données de connexion enclenche une nouvelle saison devant la CJUE. Ce 5 juillet, comme relevé par Me Alexandre Archambault, une audience sera organisée pour éprouver la solidité juridique de la tuyauterie derrière la riposte graduée.
Rappel du mécanisme introduit dans notre droit en 2009 par la loi Hadopi 2, après la magistrale censure constitutionnelle du 10 juin de la même année : les industries culturelles se sont vu reconnaître la possibilité de chaluter les adresses IP, avec horodatage, des personnes partageant en P2P des œuvres protégées (films, musiques, etc.).
Ces constats d’infractions sont ensuite adressés à la Hadopi pour être transférés par elle aux fournisseurs d’accès. Ces derniers sont alors obligés de révéler, non l’identité des auteurs de ces contrefaçons, mais celles des titulaires des connexions concernées, astreints depuis à une obligation de sécurisation.
Un premier avertissement (« recommandation ») est alors adressé par courrier électronique à chaque abonné dans les deux mois. En cas de nouvelle constatation d’infraction dans les six mois, il reçoit une deuxième lettre par mail et lettre remise contre signature. Enfin, en cas de nouvelle récidive dans les 12 mois après cette ultime missive, il est destinataire d’une lettre de notification.
Au bout du bout, la Hadopi autrefois, l’ARCOM aujourd’hui, examine alors les faits pour décider de transmettre éventuellement les dossiers au procureur de la République.
Si un contrefacteur risque jusqu’à trois ans d’emprisonnement et 300 000 euros d’amende, l’abonné multiaverti, celui qui aura persisté à ne pas sécuriser son accès pour prévenir ces mises à disposition, risque lui jusqu’à 1 500 euros d’amende contraventionnelle.
Voilà 13 ans, le Conseil constitutionnel a donc validé ce mécanisme hybride, où une phase administrative précède la phase judiciaire.
La Cour de justice de l’UE pourrait maintenant avoir son mot à dire sur l’autel de sa jurisprudence de plus en plus tranchante sur les données à caractère personnel transitant dans le système d'information de la riposte graduée (IP, noms, adresses, etc.).
Les questions posées par le Conseil d’État
C’est en tout cas la position de La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net, et French Data Network qui sont passées à l'attaque contre le régime français.
Saisi par leur soin, le Conseil d’État décidait de transmettre à la juridiction européenne cette série de questions préjudicielles le 5 juillet 2021 :
- « Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ? »
- « S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ? »
- « S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l'identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d'un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ? »
En clair ? Dans son arrêt de transmission, le Conseil d’État a insisté pour souligner que la riposte graduée implique nécessairement la possibilité d’« identifier les utilisateurs concernés afin de leur adresser les recommandations ». Et l’identification de ces abonnés rend impérative la conservation des données à caractère personnel, puisqu’il s’agit de prévenir « la commission des infractions pénales de négligence caractérisée et de contrefaçon ».
Inquiétude sur le traitement de masse des avertissements
La même juridiction française se souvient que dans son arrêt du 6 octobre 2020 dit « La Quadrature du Net et autres », la Cour de justice de l'Union européenne a déjà exposé que le droit européen ne s'oppose pas à des mesures législatives prévoyant une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs « aux fins de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales » (point 159 de l’arrêt).
Dans une autre décision du 2 mars 2021 , dite « Prokuratuur », la même CJUE a cependant jugé « essentiel que l’accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ».
En somme, l’autorité qui accède aux données personnelles ne peut plus être l’autorité qui poursuit.
Cette jurisprudence européenne dans une main, le schéma de la riposte graduée dans l’autre, le Conseil d’État a préféré dénicher une « difficulté sérieuse » plutôt que d’adresser un coup de pied dans la fourmilière française.
Et pour cause. En 2019, la Hadopi avait déjà envoyé 12,7 millions de recommandations aux abonnés français. Le chiffre dépasse aujourd'hui les 13 millions. Pour le Conseil d’État, il est impérieux que les agents de la haute autorité puissent « recueillir, chaque année, un nombre considérable de données relatives à l'identité civile des utilisateurs concernés ».
Or, on le comprend vite : soumettre chacun de ces recueils à un contrôle préalable pourrait complètement gripper l’envoi des avertissements, système pensé et calibré pour un traitement de masse automatisé.
La juridiction administrative a donc demandé à la Cour de justice de l’UE si, au prix d'une relecture généreuse de ses positions, le contrôle préalable pourrait être malgré tout assuré au sein même de l’autorité en charge de la riposte graduée, plutôt qu'une entité tierce structurellement indépendante de ces procédures.
Pour sauver l’embarcation de ces flots européens, la juridiction française a insisté lourdement sur « la faible sensibilité des données relatives à l'identité civile » des abonnés, outre les solides « garanties d’indépendance et d’impartialité » des agents chargés seuls de procéder à ces recueils de données d’identification.
Habilités et assermentés, ils sont soumis au secret. De même, les flux de données sont nécessairement sécurisés et le stock est purgé automatiquement selon un calendrier défini par le décret de 2010 sur le système d’information de la Hadopi...
La Hadopi aussi tente de sauver la riposte graduée
La Hadopi, dans son dernier rapport 2020-2021, a partagé harmonieusement ces remarques, non sans ajouter qu’ « en plus des garanties législatives et réglementaires, d’autres mesures de protection des droits sont mises en place en interne afin de se conformer aux exigences de la loi Informatique et libertés ».
Par exemple, « l’interface utilisateur du traitement implémente la notion d’utilisateurs et de rôles. Ce mécanisme permet de régler avec précision les droits d’accès aux actions ou informations contenues dans le système d’information pour se conformer aux définitions des différents profils. En outre, chaque accès et chaque action menée par un agent dans le système d’information fait l’objet d’une journalisation conformément aux exigences de la loi Informatique et libertés ».
De même, rappelle-t-elle, « le système d’information de l’Hadopi est entièrement cloisonné dans le cadre d’une infrastructure système et réseau sans aucun accès à internet ».
Enfin, « les agents de l’Hadopi accèdent à l’application de la réponse graduée à travers un VPN dédié. Les données personnelles sont chiffrées en base de données et sont disponibles uniquement dans le contexte de l’application après authentification ».
Il faut sauver le soldat Riposte Graduée
Des solutions de sécurisation suffisantes pour adoucir la jurisprudence de la CJUE ?
Ce dossier pourrait dans le même temps malmener le tronçon en amont, celui de la collecte et de la conservation des IP avant transmission à la Hadopi, par les sociétés privées des industries culturelles et leur prestataire, Trident Media Guard.
Si le sujet n'a pas été expressément soulevé par la juridiction de renvoi, la cour européenne pourrait adresser quelques remarques acidulées.
La France va en tout cas revenir devant la Cour de justice de l’UE pour tenter de sauver cette fois la riposte graduée. Au regard des nombreux arrêts sur le thème de la conservation des données, la juridiction luxembourgeoise pourrait témoigner d’un certain agacement face aux États membres souffrant de surdité.
