« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


jeudi 7 mai 2026

Pas de répit pour Hadopi

 


Dans son arrêt du 30 avril 2026, La Quadrature du Net, le Conseil d'État déclare non conformes au droit de l'Union européenne certaines dispositions organisant la riposte graduée. Sont précisément concernées les règles relatives au traitement des données personnelles et à l'accès aux données d'identification des internautes.

Certains commentateurs ont immédiatement annoncé "la mort d'Hadopi". Il n'en est rien cependant, même la riposte graduée a toujours été juridiquement fragile.

La riposte graduée


La riposte graduée a été créée par la loi du 12 juin 2009 dont le but était de lutter contre les téléchargements illégaux. La loi créait une Haute Autorité pour la diffusion et la protection des droits sur internet (HADOPI). Par la suite, la loi du 25 octobre 2021 a fusionné la HADOPI avec le Conseil Supérieur de l'Audiovisuel (CSA) pour former l'Arcom, Autorité de régulation de la communication audiovisuelle et numérique. L'évolution était logique, justifiée par le fait que la communication audiovisuelle utilise aujourd'hui les réseaux numériques.

Ces changements institutionnels n'ont toutefois pas modifié le principe de la riposte graduée, dont le dispositif est bien connu. Il s'agit d'abord d'identifier les abonnés dont la connexion est utilisée pour télécharger des oeuvres protégées. Ils reçoivent alors un premier avertissement envoyé par voie électronique. Si les téléchargements continuent, une lettre recommandée constitue un second avertissement. Enfin, troisième et dernière étape en cas de refus de s'y plier, le dossier peut être transmis au parquet pour engager d'éventuelles poursuites pénales.

Le système a sa logique, mais il présente un inconvénient majeur. Il impose en effet un traitement massif de données personnelles et leur conservation sur une longue durée. De fait, son histoire contentieuse est relativement mouvementée.




Ouvrage résumant la riposte graduée

H. Coudurier. Manuel pratique des directeurs d'usines à gaz

Dunod. 1884


Le Conseil constitutionnel


Dès son origine, la loi de 2009 a été partiellement déclarée inconstitutionnelle. Dans sa décision du 10 juin 2009, le Conseil constitutionnel censure en effet le pouvoir initialement donné à Hadopi de suspendre l'accès à internet de l'auteur des téléchargements. Une telle atteinte à la liberté de communication consacrée à l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789 ne saurait en effet être décidée que par le juge judiciaire.

La loi dite Hadopi 2 du 28 octobre 2009 modifie donc le dispositif en confiant la sanction au juge pénal. Un texte mal rédigé a donc été réécrit, mais d'autres difficultés sont apparues.


La CJUE


L'arrêt du 30 avril 2026 trouve son origine dans un recours introduit par La Quadrature du Net en 2019. L'association conteste le refus du Premier ministre d'abroger le décret du 5 mars 2010 organisant le traitement automatisé de gestion de la riposte graduée. Devant le Conseil d'État, elle déplace le débat vers le droit européen et invoque sa non-conformité à la directive du 12 juillet 2002 relative au traitement des données personnelles et à la protection de la vie privée

Elle s'appuie concrètement sur l'interprétation de ce texte par la Cour de justice de l'Union européenne (CJUE). Dans ses arrêts Digital Rights Ireland du 8 avril 2014Tele 2 Sverige du 21 décembre 2016 et surtout La Quadrature du Net du 15 janvier 2020, la Cour considère que la conservation généralisée et indifférenciée des données de connexion constitue une ingérence grave dans la vie privée. Elle ne peut donc intervenir que dans des cas très limités, comme la lutte contre le terrorisme ou la grande criminalité.

Dans le cas présent, la question posée au Conseil d'État est donc simple. La lutte contre le téléchargement illicite, infraction pénale relativement mineure,  peut-elle fonder une conservation généralisée des données d'identité associées à l'adresse IP d'un internaute ? Le juge administratif se trouvait ainsi dans une situation relativement embarrassante, car appliquer directement la jurisprudence européenne pouvait finalement remettre en cause la riposte graduée elle-même. 

Il a préféré poser une question préjudicielle à la CJUE qui s'est prononcée le 30 avril 2024. Elle a finalement adopté une position plus nuancée que celle qui était attendue. Elle considère en effet que l'accès aux adresses IP peut être autorisé pour des infractions de moindre gravité, dans la mesure où ces données ne peuvent, à elles seules, permettre d'établir un profil précis et complet de la vie privée des individus. En revanche, elle pose des conditions très strictes. Elle impose ainsi un cloisonnement étanche des données par les opérateurs, la limitation des recoupements possibles, et enfin l'intervention préalable d'un juge ou d'une autorité indépendantes lorsqu'un accès plus approfondi aux données est susceptible de révéler des éléments substantiels de la vie privée.


Adaptation ou mutation


L'arrêt rendu par le Conseil d'État le 30 avril 2026 applique précisément cette jurisprudence européenne. Contrairement à ce qui a pu être affirmé, la riposte graduée n'est pas condamnée dans son principe. En revanche, les normes actuelles ne respectent pas les conditions posées par la CJUE. D'une part, les données utilisées par l'Arcom ne sont pas suffisamment cloisonnées par les opérateurs, d'autre part le droit français autorise plus de deux recoupements de données sans contrôle préalable par un juge ou une autorité indépendante de l'Arcom. Le Conseil d'État estime donc qu'à compter du troisième recoupement, l'autorisation préalable devient indispensable. Cette précision fragilise à l'évidence la troisième étape de riposte graduée qui conduit à la transmission du dossier au parquet. De fait, le Conseil d'État enjoint au gouvernement de modifier le décret litigieux en rendant la procédure conforme au droit européen.

Si le système Hadopi n'est pas mort, il est exact que, pour le moment, la riposte graduée ne peut plus fonctionner en l'état. On peut considérer que les deux premières étapes, d'abord le courriel puis la lettre recommandée, peuvent subsister. En revanche, l'exploitation approfondie des données qui permet le passage à la phase répressive devient en pratique impossible.

Une réflexion nouvelle va certainement être développée. Le gouvernement a le choix entre deux options. Il peut d'abord rapetasser le système en imposant aux opérateurs des obligations techniques plus rigoureuses et en faisant intervenir un juge pour autoriser le recoupement de données. Mais il peut aussi imaginer un autre système avec des mécanismes moins centrés sur la réponse pénale, et davantage sur le blocage ou le déréférencement des sites de téléchargement.

En tout état de cause, la décision du 30 avril 2026 témoigne d'un certain essoufflement du modèle historique de lutte contre le piratage. Il reposait sur le peer-to-peer, c'est à dire la communication directe entre deux internautes sans passer par un serveur central, et l'identification individuelle des abonnés. Aujourd'hui, le système est fragilisé à la fois technologiquement et politiquement. Il est donc sans doute temps de penser à sa mutation.


La protection des données : Manuel de Libertés publiques version E-Book et version papier, chapitre 8 section 5


Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)