Le dispositif français de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen, vient de juger le Conseil d’Etat (lequel avait sur ce point posé une question préjudicielle à la CJUE).
Voici un excellent résumé, que je vous livre donc tel quel, fait par le CE lui-même :
« […] Le code de la propriété intellectuelle impose à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de piratage d’œuvres protégées.
Pour assurer le respect de cette obligation, l’Arcom, qui a succédé à Hadopi le 1er janvier 2022, met en œuvre une procédure dite de « réponse graduée » en trois étapes successives : au premier manquement constaté, un avertissement est adressé à l’abonné ; au deuxième, un nouvel avertissement ; au troisième, le dossier est transmis au procureur de la République.
Pour identifier ces abonnés, l’Arcom est habilitée – sur la base de signalements réalisés par des organismes professionnels ou des autorités publiques – à saisir les opérateurs internet pour qu’ils associent les adresses IP ayant servi à télécharger illégalement des œuvres à des cordonnées d’identité. Une fois cette association faite par les opérateurs, l’Arcom peut ainsi connaître l’identité des personnes concernées et faire jouer à leur égard la « réponse graduée ». Les caractéristiques de ce traitement de données personnelles, dénommé « Système de gestion des mesures pour la protection des œuvres sur internet », sont fixées par le décret du 5 mars 2010.
L’association La Quadrature du Net et trois autres associations, opposées au principe même d’un tel dispositif, ont saisi le Conseil d’État pour demander l’annulation du décret, l’estimant contraire au droit de l’Union européenne. Avant de se prononcer sur la légalité du dispositif existant, le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) le 5 juillet 2021, afin qu’elle précise l’interprétation à retenir de la directive vie privée et communications électroniques du 12 juillet 2002.
Des limites précisées par la CJUE
Le 30 avril 2024, la CJUE a précisé qu’un État membre peut imposer une conservation généralisée des données relatives à l’identité civile et des adresses IP correspondantes aux opérateurs internet, y compris pour réprimer des infractions pénales ne présentant pas une particulière gravité. Toutefois, dans ce cas, les données en cause doivent être conservées de façon cloisonnée afin d’éviter les risques d’ingérences graves dans la vie privée des personnes par recoupement avec d’autres données conservées.
En outre, quelle que soit la gravité de l’infraction, si une autorité publique nationale est autorisée à accéder à des données d’identité de personnes soupçonnées d’avoir commis des infractions, elle ne doit pas être en mesure de tirer des conclusions précises sur la vie privée des internautes. C’est pourquoi si l’autorité publique a déjà, à deux reprises, mis en relation les données d’identité d’un même abonné avec des informations sur le contenu d’œuvres qu’il aurait piratées, elle ne peut procéder à une troisième mise en relation de ce type sans y avoir été préalablement autorisée par une juridiction ou une entité administrative indépendante.
Le traitement de données doit être revu pour être conforme au droit de l’UE
Tirant les conséquences de l’arrêt de la CJUE, et au vu des arguments des associations requérantes, le Conseil d’État juge aujourd’hui que le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne.
En effet, il n’empêche pas l’Arcom de recevoir des données d’identité des opérateurs internet qui n’auraient pas été conservées de manière cloisonnée, comme l’exige le droit européen en matière de lutte contre des infractions pénales ne présentant pas une particulière gravité. Il autorise également l’Arcom à mettre en relation une troisième fois pour une même personne, les données d’identification des abonnés avec les informations sur les contenus piratés, sans que cette mise en relation soit subordonnée à l’autorisation d’une juridiction ou d’une entité administrative indépendante.
Il ordonne donc au Gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.
Un cadre de contrôle à titre transitoire
Dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE.
Si des faits de criminalité grave lui sont signalés (délit de contrefaçon), l’Arcom peut demander une telle identification aux opérateurs de communications électroniques, sans avoir à vérifier que les données sont conservées de façon étanche.
Enfin, quelle que soit la gravité de l’infraction, l’Arcom peut continuer à croiser les données sur les contenus des œuvres avec les coordonnées personnelles des internautes, mais uniquement pour leur adresser les deux premiers avertissements de la réponse graduée.»
Source :
En savoir plus sur
Subscribe to get the latest posts sent to your email.