Le 5 juillet prochain, la Cour de justice de l’UE examinera un recours contre la riposte graduée, chère à la Hadopi, aujourd’hui dans le giron de l’ARCOM. Son objet ? La question de l’accès aux données personnelles permettant d’enclencher l’envoi des millions d'avertissements, voire des procédures pénales.
L’intarissable sujet des données de connexion enclenche une nouvelle saison devant la CJUE. Ce 5 juillet, comme relevé par Me Alexandre Archambault, une audience sera organisée pour éprouver la solidité juridique de la tuyauterie derrière la riposte graduée.
Rappel du mécanisme introduit dans notre droit en 2009 par la loi Hadopi 2, après la magistrale censure constitutionnelle du 10 juin de la même année : les industries culturelles se sont vu reconnaître la possibilité de chaluter les adresses IP, avec horodatage, des personnes partageant en P2P des œuvres protégées (films, musiques, etc.).
Ces constats d’infractions sont ensuite adressés à la Hadopi pour être transférés par elle aux fournisseurs d’accès. Ces derniers sont alors obligés de révéler, non l’identité des auteurs de ces contrefaçons, mais celles des titulaires des connexions concernées, astreints depuis à une obligation de sécurisation.
Un premier avertissement (« recommandation ») est alors adressé par courrier électronique à chaque abonné dans les deux mois. En cas de nouvelle constatation d’infraction dans les six mois, il reçoit une deuxième lettre par mail et lettre remise contre signature. Enfin, en cas de nouvelle récidive dans les 12 mois après cette ultime missive, il est destinataire d’une lettre de notification.
Au bout du bout, la Hadopi autrefois, l’ARCOM aujourd’hui, examine alors les faits pour décider de transmettre éventuellement les dossiers au procureur de la République.
Si un contrefacteur risque jusqu’à trois ans d’emprisonnement et 300 000 euros d’amende, l’abonné multiaverti, celui qui aura persisté à ne pas sécuriser son accès pour prévenir ces mises à disposition, risque lui jusqu’à 1 500 euros d’amende contraventionnelle.
Voilà 13 ans, le Conseil constitutionnel a donc validé ce mécanisme hybride, où une phase administrative précède la phase judiciaire.
La Cour de justice de l’UE pourrait maintenant avoir son mot à dire sur l’autel de sa jurisprudence de plus en plus tranchante sur les données à caractère personnel transitant dans le système d'information de la riposte graduée (IP, noms, adresses, etc.).
Les questions posées par le Conseil d’État
C’est en tout cas la position de La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net, et French Data Network qui sont passées à l'attaque contre le régime français.
Saisi par leur soin, le Conseil d’État décidait de transmettre à la juridiction européenne cette série de questions préjudicielles le 5 juillet 2021 :
- « Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ? »
- « S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ? »
- « S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l'identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d'un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ? »
En clair ? Dans son arrêt de transmission, le Conseil d’État a insisté pour souligner que la riposte graduée implique nécessairement la possibilité d’« identifier les utilisateurs concernés afin de leur adresser les recommandations ». Et l’identification de ces abonnés rend impérative la conservation des données à caractère personnel, puisqu’il s’agit de prévenir « la commission des infractions pénales de négligence caractérisée et de contrefaçon ».
Inquiétude sur le traitement de masse des avertissements
La même juridiction française se souvient que dans son arrêt du 6 octobre 2020 dit « La Quadrature du Net et autres », la Cour de justice de l'Union européenne a déjà exposé que le droit européen ne s'oppose pas à des mesures législatives prévoyant une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs « aux fins de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales » (point 159 de l’arrêt).
Dans une autre décision du 2 mars 2021 , dite « Prokuratuur », la même CJUE a cependant jugé « essentiel que l’accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ».
En somme, l’autorité qui accède aux données personnelles ne peut plus être l’autorité qui poursuit.
Cette jurisprudence européenne dans une main, le schéma de la riposte graduée dans l’autre, le Conseil d’État a préféré dénicher une « difficulté sérieuse » plutôt que d’adresser un coup de pied dans la fourmilière française.
Et pour cause. En 2019, la Hadopi avait déjà envoyé 12,7 millions de recommandations aux abonnés français. Le chiffre dépasse aujourd'hui les 13 millions. Pour le Conseil d’État, il est impérieux que les agents de la haute autorité puissent « recueillir, chaque année, un nombre considérable de données relatives à l'identité civile des utilisateurs concernés ».
Or, on le comprend vite : soumettre chacun de ces recueils à un contrôle préalable pourrait complètement gripper l’envoi des avertissements, système pensé et calibré pour un traitement de masse automatisé.
La juridiction administrative a donc demandé à la Cour de justice de l’UE si, au prix d'une relecture généreuse de ses positions, le contrôle préalable pourrait être malgré tout assuré au sein même de l’autorité en charge de la riposte graduée, plutôt qu'une entité tierce structurellement indépendante de ces procédures.
Pour sauver l’embarcation de ces flots européens, la juridiction française a insisté lourdement sur « la faible sensibilité des données relatives à l'identité civile » des abonnés, outre les solides « garanties d’indépendance et d’impartialité » des agents chargés seuls de procéder à ces recueils de données d’identification.
Habilités et assermentés, ils sont soumis au secret. De même, les flux de données sont nécessairement sécurisés et le stock est purgé automatiquement selon un calendrier défini par le décret de 2010 sur le système d’information de la Hadopi...
La Hadopi aussi tente de sauver la riposte graduée
La Hadopi, dans son dernier rapport 2020-2021, a partagé harmonieusement ces remarques, non sans ajouter qu’ « en plus des garanties législatives et réglementaires, d’autres mesures de protection des droits sont mises en place en interne afin de se conformer aux exigences de la loi Informatique et libertés ».
Par exemple, « l’interface utilisateur du traitement implémente la notion d’utilisateurs et de rôles. Ce mécanisme permet de régler avec précision les droits d’accès aux actions ou informations contenues dans le système d’information pour se conformer aux définitions des différents profils. En outre, chaque accès et chaque action menée par un agent dans le système d’information fait l’objet d’une journalisation conformément aux exigences de la loi Informatique et libertés ».
De même, rappelle-t-elle, « le système d’information de l’Hadopi est entièrement cloisonné dans le cadre d’une infrastructure système et réseau sans aucun accès à internet ».
Enfin, « les agents de l’Hadopi accèdent à l’application de la réponse graduée à travers un VPN dédié. Les données personnelles sont chiffrées en base de données et sont disponibles uniquement dans le contexte de l’application après authentification ».
Il faut sauver le soldat Riposte Graduée
Des solutions de sécurisation suffisantes pour adoucir la jurisprudence de la CJUE ?
Ce dossier pourrait dans le même temps malmener le tronçon en amont, celui de la collecte et de la conservation des IP avant transmission à la Hadopi, par les sociétés privées des industries culturelles et leur prestataire, Trident Media Guard.
Si le sujet n'a pas été expressément soulevé par la juridiction de renvoi, la cour européenne pourrait adresser quelques remarques acidulées.
La France va en tout cas revenir devant la Cour de justice de l’UE pour tenter de sauver cette fois la riposte graduée. Au regard des nombreux arrêts sur le thème de la conservation des données, la juridiction luxembourgeoise pourrait témoigner d’un certain agacement face aux États membres souffrant de surdité.
Commentaires (14)
#1
C’est dans ces moments là que je me dis que l’EU à au moins le mérite de montrer l’abus de certains états. Ici la France.
Après bon… Je suis presque sur qu’ils vont s’en sortir avec une nouvelle pirrouette.
#1.1
Une petite caresse sur les doigts.
C’est promis, on arrête en 2042, mais pas avant car on a des dossiers en cours.
#2
Hasard de l’actualité ou petit clin d’oeil de la rédaction ? C’est marrant de voir cet article juste après un autre du #Lebrief intitulé “Pour la Hadopi, les effets d’Hadopi sont efficaces”
#2.1
Après, si on enlève le problème de ce que ça nous coût, je préfère avoir un système inefficace comme la HADOPI qu’un truc qui fonctionne vraiment
#3
Ce qui me rappelle a tout moment que ce terme de risposte suggère qu’il y a un ennemi.. Un agresseur
#4
Ils n’ont aucun intérêt à être plus efficace qu’ils ne le sont déjà au risque de voir pulluler des offres VPN avec des algorithmes de chiffrement AES 256 bits.
#5
Oui voilà, un chihuahua de garde qui coûte pas cher à nourrir et fait croire qu’il fait un truc en s’auto congratulant.
Je préfère ça que les dispositifs arbitraires et contraires à l’Etat de droits que veulent nous imposer d’autres tristes extrémistes.
#6
Tout va bien dans le modèle exceptionnel de la culture française….
#7
Je ne suis même pas sûr. Si je me trompe pas, la plupart des offres VPN ne permettent pas d’avoir un port dédié. Donc, (à moins que j’ai loupé un truc,) il est bien plus difficile de “seeder” vers les autres, voire impossible s’ils sont dans le même cas (sans port). Au final, s’il n’y a plus de “seeder”, la Hadopi a réglé le problème…
#8
Et si problème de redirection de port, la DMZ est là pour y remédier.
#8.1
Je ne suis pas sûr que l’on parle de la même chose.
Dans le cas du VPN, la redirection de port sur la box/routeur ne sert à rien (ou selon les cas, n’est pas suffisante), cela doit être fait directement sur le serveur du fournisseur de VPN. Il faut y avoir un port qui t’est dédié. Or ils sont peu à le proposer. Si ce n’est pas le cas, alors oui, bittorrent marche toujours, mais tu vas faire moins de download et beaucoup moins faire d’upload. Une communication entre peers ne fonctionne que si au moins un des deux a une redirection de port fonctionnelle. Si tu n’en as pas, tu ne peux te connecter qu’a ceux qui en ont une. Si la plupart des peers sont dernière un VPN qui ne le propose pas, bah la plupart des peers deviennent inaccessible. Et si personne n’a de redirection de port, personne n’a de moyen de se faire contacter par les autres. Le réseau ne peut plus fonctionner…
La majorité des VPN maintiennent le flou sur la redirection parce qu’ils ne la proposent pas. Ils vont juste dire que le P2P marche, ce qui est vrai, mais en fait, il marche moins bien. Pire, je viens de voir un “top des vpn avec port forwarding”, où l’on t’explique que les deux premiers… ne le proposent pas ! Mais comme c’est “des gros du secteur”, ils sont mis en avant. A moins que ces derniers arrosent de pognons pour qu’on parle d’eux, mais je doit être mauvaise langue.
#9
Mais tu as raison, beaucoup ne le supportent pas ou font croire qu’ils le supportent, la personne qui a partagé sa désinformation d’après le lien que tu as fourni, Jason Wise, a été grassement payé par les fournisseurs concernées et des milliers d’internautes se font avoir, NordVPN dépense des milliers de dollars en marketing d’affiliation.
#10
Moi j’arrivais à saturer ma bande passante ADSL donc je n’ai jamais eu à m’en plaindre.
Le jour où je serais fibré et que je referais une tentative, peu être que je trouverais à redire, et encore, je vois pas l’utilité dans mon cas d’atteindre un tel débit alors qu’il y a des offres de seedbox abordables.
#11
Hallucinant qu’on gaspille autant de ressources dans des processus de répression (certes nécessaire), sans jamais donner la possibilité aux utilisateurs de payer du contenu acquis par des moyens non pris en charge par les “ayants droit”.
Il y a quelques années, j’ai cherché en vain, pendant des heures, un moyen de rétribuer les “ayants droit” pour des oeuvres que j’avais acquises en dehors des canaux de vente déficients à disposition. Ne trouvant point, je leur ai écrit.
Quand on demande à une entité commerciale : “je dispose déjà du contenu, comment puis-je vous payer ?”, et que cette dernière ne prend même pas la peine de répondre, cela me rassure. Oui, c’est rassurant, car cela prouve que l’industrie de la culture (au sens large), ne manque absolument pas d’argent.
À l’époque, je préférais extraire les CD des amis plutôt que d’acheter du plastique inutile (ces bons vieux CD). Ensuite, j’ai encore préféré transformer moi-même le contenu car les formats dématérialisés disponibles dans le commerce ne me convenaient pas.
De nos jours, il arrive que certains contenus ne soient tout simplement pas commercialisés en Europe, donc forcément, on ne peut les acquérir qu’en dehors des canaux de vente. Et pourtant, ils se fichent toujours autant de récolter l’argent des bonnes poires qui veulent bien payer quand même. Et ils ont raison, puisque des systèmes aussi incohérents que Hadopi, et surtout la taxe sur les moyens de stockage, leur rapportent bien plus. En fait c’est une sorte d’externalisation, de partenariat public-privé.