Piratage en ligne : le gouvernement doit revoir la "réponse graduée"

Le Conseil d’Etat enjoint au gouvernement de mettre en conformité le dispositif de "réponse graduée" pour lutter contre le piratage en ligne : ce dispositif n’impose pas que les données utilisées par l’Arcom soient conservées de façon cloisonnée par les opérateurs internet et autorise plus de deux recoupements de données par l’Arcom sans autorisation préalable par un juge.Le code de la propriété intellectuelle impose à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de piratage d’œuvres protégées.Pour assurer le respect de cette obligation, l’Arcom, qui a succédé à Hadopi le 1er janvier 2022, met en œuvre une procédure dite de "réponse graduée" en trois étapes successives : au premier manquement constaté, un avertissement est adressé à l’abonné ; au deuxième, un nouvel avertissement ; au troisième, le dossier est transmis au procureur de la République.

Pour identifier ces abonnés, l'Arcom est habilitée, sur la base de signalements réalisés par des organismes professionnels ou des autorités publiques, à saisir les opérateurs internet pour qu’ils associent les adresses IP ayant servi à télécharger illégalement des œuvres à des cordonnées d’identité. Une fois cette association faite par les opérateurs, l’Arcom peut ainsi connaître l’identité des personnes concernées et faire jouer à leur égard la "réponse graduée". Les caractéristiques de ce traitement de données personnelles ont été fixées par le décret n° 2010-236 du 5 mars 2010. Plusieurs associations, opposées au principe même d’un tel dispositif, ont saisi le Conseil d’Etat pour demander l’annulation du décret.Le 5 juillet 2021 (requête n° 433539), le Conseil d’Etat a interrogé la Cour de justice de l’Union européenne (CJUE) afin qu’elle précise l’interprétation à retenir de la directive 2002/58/CE du 12 juillet 2002. Dans son arrêt rendu le 30 avril 2024 (affaire C-470/21), la CJUE a indiqué que si un Etat membre pouvait imposer une conservation généralisée des données relatives à l’identité civile et des adresses IP correspondantes aux opérateurs internet, les données en cause devaient alors être conservées de façon cloisonnée afin d’éviter les risques d’ingérences graves dans la vie privée des personnes par recoupement avec d’autres données conservées. En outre, quelle que soit la gravité de l’infraction, si une autorité publique nationale est autorisée à accéder à des données d’identité de personnes soupçonnées d’avoir commis des infractions, elle ne doit pas être en mesure de tirer des conclusions précises sur la vie privée des internautes. C’est pourquoi si l’autorité publique a déjà, à deux reprises, mis en relation les données d’identité d’un même abonné avec des informations sur le contenu d’œuvres qu’il aurait piratées, elle ne peut procéder à une troisième mise en relation de ce type sans y avoir été préalablement autorisée par une juridiction ou une entité administrative indépendante. En conséquence, par une décision du 30 avril 2026 (requête n° 433539), le Conseil d'Etat juge que le décret du 5 mars 2010 ne respecte pas le droit de l’Union européenne.En effet, il n’empêche pas l’Arcom de recevoir des données d’identité des opérateurs internet qui n’auraient pas été conservées de manière cloisonnée, comme l’exige le droit européen en matière de lutte contre des infractions pénales ne présentant pas une particulière gravité. Il autorise également l’Arcom à mettre en relation une troisième fois pour une même personne, les données d’identification des abonnés avec les informations sur les contenus piratés, sans que cette mise en relation soit subordonnée à l’autorisation d’une juridiction ou d’une entité administrative indépendante. La Haute juridiction administrative ordonne donc au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences. SUR LE MEME SUJET : CJUE : conservation d'adresses IP contre les contrefaçons en ligne et ingérence dans la vie privée - Legalnews, 29 mai 2024  Conservation des adresses IP : la CJUE en voie d'affiner sa jurisprudence - Legalnews, 29 septembre 2023  Conservation des adresses IP : vers une évolution de la jurisprudence de la CJUE ? - Legalnews, 28 octobre 2022  Le Conseil d'État se prononce sur trois recours contre trois décrets "Hadopi" - Legalnews, 20 octobre 2011  Recours en référé contre un décret-clef de l'HADOPI - Legalnews, 13 août 2010