La "réponse graduée"
Cette disposition s'inscrit dans le cadre de la protection du droit d'auteur sur internet, mise en oeuvre par la "réponse graduée". De manière très concrète, le titulaire d'un abonnement d'un fournisseur d'accès sur internet (FAI) ou d'un hébergeur est considéré comme responsable de la sécurité de sa connexion. En cas de piratage ou de contrefaçon provenant de sa connexion, et après trois avertissements demeurés infructueux, il peut être condamné à une amende et/ou poursuivi pour contrefaçon. La communication des métadonnées, ou données de connexion, permet donc aux agents d'Hadopi d'identifier le titulaire de l'abonnement et donc d'engager la procédure de "réponse graduée".
Un changement de circonstances de droit
Le Conseil constitutionnel s'était déjà prononcé sur ces dispositions, lorsqu'il avait été saisi de la constitutionnalité de la loi Hadopi, et sa décision du 10 juin 2009 ne mentionne aucune réserve. Il n'empêche que le représentant du gouvernement lui-même n'ose pas invoquer l'existence d'une déclaration préalable de conformité.
En effet, depuis 2009, plusieurs décisions du Conseil constitutionnel sont intervenues pour affirmer que l'accès d'une autorité administrative aux données de connexion des internautes constitue une ingérence dans sa vie privée. Le 5 août 2015, le Conseil a ainsi sanctionné un droit d'accès aux données de connexion absolument identique, accordé aux agents de l'Autorité de la concurrence. Cette jurisprudence a ensuite été réaffirmée le 21 juillet 2017, à propos de l'Autorité des marchés financiers, puis le 15 février 2019 à propos du droit d'accès accordé aux agents des Douanes. Cette jurisprudence s'analyse donc comme un changement de circonstances de droit justifiant un nouvel examen des dispositions de la loi de 2009, et le Conseil constitutionnel décide logiquement l'abrogation de ce droit d'accès.
"Réponse graduée" de Hadopi contre le piratage
Asterix et Cléopatre. René Goscinny et Albert Uderzo. 1968
L'atteinte à la vie privée
Sur le fond, le caractère disproportionné de l'atteinte à la vie privée ne fait guère de doute.
D'une part, la rédaction des dispositions litigieuses permet aux agents d'Hadopi de solliciter tout document "quel qu'en soit le support", formulation particulièrement laxiste renforcée par l'usage de l'adverbe "notamment" lorsqu'il s'agit de lister les données de connexion auxquelles ils ont accès. Certes, le décret du 5 mars 2010 dresse en annexe une liste des données susceptibles de figurer dans le fichier Hadopi, données essentiellement d'identification, mais ce texte purement réglementaire ne saurait constituer un obstacle sérieux à une utilisation de dispositions législatives beaucoup plus compréhensives.
D'autre part, l'atteinte à la vie privée ne concerne pas seulement l'auteur d'une contrefaçon, mais aussi tout titulaire d'une connexion internet qui, pour une raison ou pour une autre, n'aurait pas été en mesure de garantir la sécurité de sa connexion. Il peut s'être fait voler son mot de passe ou pirater son ordinateur et, dans ce cas, il est davantage victime que coupable. L'atteinte à la vie privée devient alors plus choquante dès lors que la nécessité d'ordre public n'est plus aussi évidente.
Cette analyse est exactement celle de la Cour de justice de l'Union européenne (CJUE), dans sa décision de Grande Chambre Télé 2 Sverige AB du 21 décembre 2016. Elle précise en effet que l'atteinte à la vie privée entrainée par l'accès aux données de connexion est si importante qu'elle doit être limitée aux seules hypothèses de la lutte contre la grande criminalité. Or, en droit français, la protection du droit d'auteur ne relève en aucun cas de la grande criminalité.
La jurisprudence européenne, comme d'ailleurs celle du Conseil constitutionnel, repose ainsi sur une remise en cause implicite de la distinction entre données de contenant (celles de connexion), et données de contenu, les messages personnels mentionnés dans les courriels par exemple. Il est désormais acquis que les données de connexion, lorsqu'elles sont utilisées avec intelligence, y compris une intelligence artificielle, peuvent révéler des informations importantes relevant du contenu, et donc de la vie privée. La distinction n'est donc plus aussi claire, et le droit tend à niveler l'exigence de protection de la vie privée à l'ensemble des données.
L'effet dans le temps
Si l'abrogation des dispositions litigieuses était attendue, il convient tout de même de s'interroger sur le choix du Conseil constitutionnel, qui a décidé de repousser leur abrogation à la date du 31 décembre 2020. Certes, il ne donne pas tout-à-fait satisfaction au Secrétaire général du gouvernement qui demandait un délai d'un an pour réviser la loi, invoquant les 600 000 notifications envoyées aux contrevenants et les 1700 dossiers transmis à la justice en 2019, toutes procédures qui pourraient être considérées comme nulles et non avenues en cas d'abrogation immédiate. Il n'a obtenu que six mois, délai largement suffisant pour procéder à une modification législative.
Mais sommes-nous réellement dans la situation où l'abrogation entrainerait des "conséquences manifestement excessives" ? Dans le cas présent, en effet, ces "conséquences manifestement excessives" ne sont pas le fait de la décision du Conseil constitutionnel. Elles relèvent entièrement de la responsabilité de l'Exécutif. Depuis cinq ans, trois décisions ont en effet abrogé des dispositions identiques, sans que personne n'ait songé à modifier le dispositif Hadopi, sans que personne n'ait anticipé la présente abrogation. En offrant à l'Exécutif un nouveau délai, le Conseil constitutionnel valide ainsi une inertie fautive.
Sur la protection des données : Chapitre 7 Section 5 du manuel de Libertés publiques sur internet
Aucun commentaire:
Enregistrer un commentaire