Hadopi : l’épineuse question de la conservation des données au regard de l’arrêt Télé2

Hadopi : l’épineuse question de la conservation des données au regard de l’arrêt Télé2

#Anéfé S07E08

Avatar de l'auteur
Marc Rees

Publié dans

Droit

14/03/2017 8 minutes
16

Hadopi : l’épineuse question de la conservation des données au regard de l’arrêt Télé2

Comment appréhender les conséquences de l’arrêt Télé2 de la Cour de justice de l’Union européenne vis-à-vis de la mécanique Hadopi ? Sur la scène de la conservation des données de connexion par les intermédiaires techniques, la question est hautement légitime.

Dans son arrêt du 21 décembre 2016, la CJUE a interdit toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Dans un tel cadre, afin de protéger proportionnellement la vie privée de chaque internaute, les juges ont alors exigé que l’accès des autorités nationales compétentes aux données conservées devait être limité « aux seules fins de lutte contre la criminalité grave ».

L’arrêt est rythmé en deux temps : la conservation, l’accès. En France, l'article L. 34-1 du Code des postes et des télécommunications pose le principe d'un effacement ou anonymisation des données de connexion, mais envisage immédiatement de multiples dérogations permettant la conservation des données de connexion pour une durée d'un an.

Parmi elles, on trouve la riposte graduée chère à la Hadopi. Pour que l’autorité puisse sanctionner le défaut de sécurisation, elle a en effet besoin d’accéder au stock de données de connexion conservées par les FAI afin d’identifier qui se cache derrière une adresse IP relevée par les sociétés autorisées par la CNIL.

Est-ce que le principe d’une conservation des données de connexion destinée à lutter contre le défaut de sécurisation est susceptible de se conformer aux deux principes posés par la CJUE ?

La conservation des données, le chaud et le froid

L’arrêt concerne le régime suédois, et nécessite un certain doigté lorsqu’il s’agit d’examiner d’autres systèmes issus d’autres législations, certes soumises au même droit européen. Les défenseurs de la riposte graduée pourraient arguer d’une part que l’arrêt Télé2 s’oppose à une conservation indifférenciée telle que prévue dans cette affaire née en Suède. D’autre part, qu’en France, l’article 34-1, dans son point 5, indique que les données conservées ne portent que sur « l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux ».

Seulement, les adversaires répondront que les termes de cette disposition du Code des postes sont très vastes et parfaitement similaires à celles du droit suédois. De plus, comme l’a signalé le recours FDN, la Quadrature du Net et FFDN, le régime en France est même bien plus large puisqu’il peut également frapper les intermédiaires du Web.

L’accès aux données, la logique de l’entonnoir

S’agissant de l’accès aux données, les pro-Hadopi ajouteront que la France a fait le choix d’un mécanisme très ciblé et strictement proportionné à l’atteinte à la vie privée. D’ailleurs, une autorité a été spécialement instituée, la Hadopi, où les contraintes d’encadrement sont très lourdes s’agissant de la manipulation des données personnelles traitées aujourd’hui massivement.

L’article L331-21 du Code de la propriété intellectuelle liste d’ailleurs les données que peut, à partir de ce stock, obtenir la Commission de protection des droits à la Hadopi ; à savoir « l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné dont l'accès à des services de communication au public en ligne a été utilisé à des fins » de partage illicite.

Cependant, les vannes ne sont pas aussi restrictives. L’article fait précéder cette liste par l’adverbe « notamment », laissant entendre que l’accès peut être nettement plus vaste. De plus, le droit de communication est étendu par cette même disposition aux prestataires mentionnés par l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, et donc peut cibler aussi les données des hébergeurs.

Puisque rien n’est simple, une logique d’entonnoir limite plus sérieusement l’accès aux données. Le décret « relatif au traitement automatisé de données à caractère personnel » de mars 2010, signé François Fillon, a dressé la liste limitative des données dont peut avoir accès la CPD auprès des FAI. Il s’agit seulement du nom de famille et des prénoms, de l’adresse postale, des adresses électroniques, des coordonnées téléphoniques enfin de l’adresse de l'installation téléphonique de l'abonné. C’est d’ailleurs ce décret qui empêche la Hadopi d’avoir accès au port source afin de lutter contre les partages en IPv6.

Le levier de la criminalité grave

La CJUE estime dans ce dossier suédois que la conservation et l’accès doivent être limités à la lutte contre la criminalité grave. « Eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».

S’agissant de ce critère, là encore le champ est ouvert à discussion. Selon une première grille, un défaut de sécurisation peut donner lieu à la constatation d’une simple contravention prononcée par un tribunal. On est clairement hors du champ d’une criminalité similaire à des actes de terrorisme.

Du côté du ministère de la Culture et des sociétés de gestion collective, on pourrait au contraire avancer que ce mécanisme poursuit, certes par un biais, l’objectif de lutte contre la contrefaçon en ligne. Un délit puni de 3 ans de prison et 300 000 euros d’amende, voire beaucoup plus lorsque commis en bande organisée.

La nécessité d'un standard de lecture

De plus, l’angle de l’arrêt Télé2 n’apporte que les esquisses d’un standard de lecture pour les autres cas envisagés par le droit européen. L’article 15 de la directive 2002/58 concerne le traitement des données à caractère personnel et la protection de la vie privée. Il prévoit une dérogation au principe de confidentialité des communications si l’objectif est la sauvegarde la sécurité nationale, la prévention, la recherche, la détection et la poursuite d’infractions pénales ou les utilisations non autorisées du système de communications électroniques. L’article 13, paragraphe 1, de la directive 95/46, appelé par cette même disposition, envisage d’autres objectifs tels la protection des droits et libertés d’autrui.

D’autres objectifs peuvent donc justifier le principe de conservation. Dans le recours visant le régime de conservation des données organisé par FDN, LQN et FFDN, ceux-ci considèrent néanmoins qu’« en matière de protection des droits et libertés d’autrui, seule la protection des droits et libertés les plus importants et pour lesquels les dommages sont les plus graves et irréversibles est susceptible de justifier une mesure de conservation de données de connexion, dès lors que l’objectif poursuivi doit être en relation avec la gravité de l’ingérence dans les droits fondamentaux qu’entraîne cette conservation ».

Bref, le sujet est épineux et mériterait un meilleur éclairage dans chaque État membre. Le député Lionel Tardy a déjà interrogé le Garde des Sceaux quant aux conséquences de l’arrêt Télé2 à travers une question parlementaire, encore sans réponse. Nous avons pris ici l’exemple de la Hadopi, mais évidemment les éléments de réponses qui seront un jour apportés par les juridictions ou l'exécutif permettront de décalquer la logique aux autres réquisitions comme celles de l’autorité judiciaire, l’ANSSI, l’AMF, les douanes, les services du renseignement, etc. qui ont tous accès à ces données. 

16

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La conservation des données, le chaud et le froid

L’accès aux données, la logique de l’entonnoir

Le levier de la criminalité grave

La nécessité d'un standard de lecture

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


Je pense que nos politiciens vont s’asseoir sur cet arrêt et attendre une décision de la cour de cassation, d’ici 5 ans?


Je ne regrette pas de m’être abonné, bon article&nbsp;<img data-src=" />


Mouais j’espère juste que ça ne va pas encore nous couter des amendes en cas de non respect.


Malheureusement je crois que comme bien souvent ça va se terminer comme ça. L’État ne bougera que quand l’UE agitera le risque d’amende, ou en prononcera…








Tchikow a écrit :



Malheureusement je crois que comme bien souvent ça va se terminer comme ça. L’État ne bougera que quand l’UE agitera le risque d’amende, ou en prononcera…





ou alors ça va finir comme les 100cv pour les motos, régularisé au bout de 30 ans et encore avec des couacs



Vous n’avez rien compris !!



Le piratage est un acte hautement criminel : il est responsable du réchauffement climatique, de l’appauvrissement de ayant tout les droits, du meutre de kennedy, de la faim de le monde, des attentats du 11 septembre et de la disparition des dinosaures !





Il est donc légitime de conserver les données sans limitation de durée … <img data-src=" />


[HS] joli TGV ;) c’est quel numéro ? [/HS:]


Ça va bouger quand l’UE va commencer à bouger.

Pour le moment, ils vont garder les données au chaud.








Vilainkrauko a écrit :



Vous n’avez rien compris !!



Le piratage est un acte hautement criminel : il est responsable du réchauffement climatique, de l’appauvrissement de ayant tout les droits, du meutre de kennedy, de la faim de le monde, des attentats du 11 septembre et de la disparition des dinosaures !







Pas de ça, désolé.



Les attentats du 11 septembre 2001 n’existent pas, ce ne sont que des simulations vidéo inventées par les Illuminatis à destination des sheeple pour leur faire croire que Bush junior pouvait envahir l’Irak et la Parti Républicain faire élire Donald Trump. Et Barak Obama n’a jamais existé non plus, c’est un reptilien qui tenait le rôle.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />



bon je vais lire ça demain a tête reposée mais dans l’ensemble ça me semble .. un poil distrayant :)



mais je suis un poil déçu vu que je n’ai toujours pas reçu d’avertissement de la Très Haute Autorité dont on ne sait plus quoi …&nbsp;



on peut demander le remboursement des sommes indûment perçues par une structure fantôme frisant les emplois fictifs &nbsp;(vu que les médias surveillés étaient périmés dès la création )??&nbsp;


Si je me fais même inciter au HS par l’équipe… Où va le monde <img data-src=" />



Sinon ce joli TGV est le TGV Sud-Est en livrée d’origine orange. Je n’ai pas le numéro car j’ai pris la photo sur Internet car je n’ai malheureusement eu la chance de les côtoyer pour les prendre en photo quand ils étaient encore en livrée originale.

&nbsp;J’adore les trains et j’ai la chance de bosser à la SNCF <img data-src=" /> Que demander de plus! <img data-src=" />



[FIN HS]








Commentaire_supprime a écrit :



Et Barak Obama n’a jamais existé non plus, c’est un reptilien qui tenait le rôle.





Réptilien né au Kenya, d’ailleurs, pas à Hawaï. On nous ment <img data-src=" />







Tchikow a écrit :



J’adore les trains et j’ai la chance de bosser à la SNCF <img data-src=" /> Que demander de plus! <img data-src=" />





Ah, la mécanophilie <img data-src=" /> (wesh alors ?)



Selon moi, le décret “Hadopi” est effectivement directement impacté par l’arrêt Tele2 Sverige. Mais le temps que les recours soient formés et les décisions rendues… Faudra probablement attendre la loi française de transposition de la directive 2016680 (adoptée le même jour que le Règlement 2016679 “GDPR”) qui règlement spécifiquement la collecte des métadonnées dans le cadre de la recherche / détection / répression des infractions pénales.

&nbsp;&nbsp;

Mais le plus intéressant est que le législateur (français, etc.) devra tenir compte des critères nombreux et détaillés posés par cette décision de la CJUE. Sinon, des recours en contestation contre cette future loi seront possibles. Je veux dire “avec de bonnes probabilités de réussite”.&nbsp;








V_E_B a écrit :



Ah, la mécanophilie <img data-src=" /> (wesh alors ?)





Je n’ai par contre pas la chance de bosser sur nos belles bêtes qui animent nos LGV Françaises, travaillant en bureau <img data-src=" />





Mais je vois passer les trains de Gare de Lyon ce qui est plutôt sympa! Vue : <img data-src=" />



[Reprise du HS ^^]

quelle est l’importance du numéro d’un TGV?



En gros c’est l’immatriculation unique de la rame. Une sorte de plaque d’immatriculation du ferroviaire. Pour simplifier.