La loi HADOPI, tel un phénix

« Lutte contre les infractions pénales et ingérence dans les droits fondamentaux : une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP ». C’est en ces termes que l’arrêt de la Cour de justice de l’Union européenne a été présenté dans son communiqué de presse. L’affaire pourrait marquer la fin d’une longue saga judiciaire à l’encontre de la loi HADOPI qui a commencé au lendemain de son adoption.

Était en cause dans cette affaire la législation française qui permet à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Loi n° 2009-669 du 12 juin 2009, JO 13 juin, dite « loi HADOPI ») d’accéder à certaines données que les fournisseurs de services de communications électroniques sont tenus de conserver afin de pouvoir identifier les responsables d’atteintes aux droits d’auteur ou aux droits voisins commises en ligne pour défaut de surveillance de l’accès à internet ayant été utilisé lors d’échange d’œuvres au mépris des autorisations des ayants droit (CPI, art. L. 336-3). Ces données portent sur l’identité civile des personnes concernées correspondant à leur adresse IP collectée préalablement par des organismes d’ayants droit.

L’identification des personnes permet à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI), selon la procédure dite de « réponse graduée », d’envoyer deux recommandations (avertissements) puis, si les activités persistent, une lettre notifiant que ces activités sont susceptibles de poursuites pénales. Enfin, elle est en droit de saisir le ministère public en vue de la poursuite desdites personnes.

À défaut d’avoir eu l’effet escompté dans la lutte de la contrefaçon massive des œuvres disponibles en ligne, la longévité de la loi HADOPI aura été à l’origine de décisions importantes en droit du numérique. La première, celle du Conseil constitutionnel de 2009 (Cons. const. 10 juin 2009, n° 2009-580 DC, Dalloz actualité, 11 juin 2009, obs. J. Daleau ; AJDA 2009. 1132 ; D. 2009. 1770, point de vue J.-M. Bruguière ; ibid. 2045, point de vue L. Marino ; ibid. 2010. 1508, obs. V. Bernaud et L. Gay ; ibid. 1966, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; Dr. soc. 2010. 267, chron. J.-E. Ray ; RFDA 2009. 1269, chron. T. Rambaud et A. Roblot-Troizier ; Constitutions 2010. 97, obs. H. Périnet-Marquet ; ibid. 293, obs. D. de Bellescize ; RSC 2009. 609, obs. J. Francillon ; ibid. 2010. 209, obs. B. de Lamy ; ibid. 415, étude A. Cappello ; RTD civ. 2009. 754, obs. T. Revet ; ibid. 756, obs. T. Revet ; RTD com. 2009. 730, étude F. Pollaud-Dulian ), aura permis l’émergence d’un droit fondamental à l’accès au réseau internet ; la dernière, celle de la Cour de justice de l’Union européenne du 30 avril 2024, vient (pour reprendre les mots de l’avocat général dans ses concl. du 27 oct. 2022) « adapter », « nuancer », « moduler », apporter « un développement nécessaire » « un raffinement » à la jurisprudence de la Cour relative à la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

Treize ans se sont écoulés entre ces deux décisions et l’époque n’est plus aux grands principes, mais aux détails. Depuis 2009, les règles du numérique se sont déployées dans toutes les branches du droit ; l’adresse IP a été qualifiée de donnée personnelle après un temps d’incertitudes (CJUE 24 nov. 2011, Scarlet Extended, aff. C-70/10, Dalloz actualité, 29 nov. 2011, obs. C. Manara ; D. 2012. 2343, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2836, obs. P. Sirinelli ; Légipresse 2011. 657 et les obs. ; ibid. 2012. 167, comm. O. Bustin ; RSC 2012. 163, obs. J. Francillon ; RTD eur. 2012. 404, obs. F. Benoît-Rohmer ; ibid. 957, obs. E. Treppoz  ; Civ 1re, 3 nov. 2016, n° 15-22.595, AJDA 2017. 23 ; D. 2016. 2285 ; Dalloz IP/IT 2017. 120, obs. G. Péronne et E. Daoud ; Légipresse 2016. 647 et les obs. ; ibid. 2017. 27, Étude Nana Botchorichvili ; RTD civ. 2017. 94, obs. J. Hauser ; RGDP, consid. 30) ; les autorités administratives indépendantes ont assis leur stature de contrôleurs des affaires numériques ; la HADOPI s’est fondue dans l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM ; Loi n° 2021-1382 du 25 oct. 2021 dite « RPAOCEN ») ; les intermédiaires techniques ont réussi à conserver leur régime atténué de responsabilité (Loi n° 2004-575 du 21 juin 2004 [LCEN ou LEN]) en échange de quoi, ils remplissent un rôle « d’auxiliaires de justice », mais, surtout, ils garantissent l’identification des personnes qui commettent des actes illicites en ligne grâce à l’adresse IP des internautes dont ils ont accès par la conservation généralisée et indifférenciée des données de trafic et des données de localisation de leurs utilisateurs et de leurs abonnés pendant un an.

En revanche, on relève une constance, celle de la détermination d’associations comme La Quadrature du Net de faire abroger les règles de la loi HADOPI jugées inefficaces et nocives en ce qu’elles auraient pour raison d’être « de contourner la justice afin de surveiller le plus grand nombre d’internautes » (La Quadrature du Net, Tremble, HADOPI !, 24 févr. 2020). Il ne s’agit pas d’une critique isolée. Au sein de la doctrine des désaveux se sont fait entendre très tôt (DAVSI 2, HADOPI, Création et internet » … De bonnes questions ? De mauvaises réponse, D. 2008. 2290 ). Plus encore, pour mener cette bataille judiciaire, La Quadrature du Net a été rejointe par French Data Network, Franciliens.net et la Fédération des fournisseurs d’accès à internet associatifs. Aussi, pour comprendre la portée de la décision de la Cour de justice du 30 avril dernier, il convient de résumer les recours qui l’ont précédée.

Couper le bras pour abattre la tête

La stratégie des opposants au dispositif de réponse graduée a été de contester la légalité des moyens d’action de la HADOPI, à savoir l’autorisation donnée à ses agents d’accéder aux données permettant d’identifier les internautes à partir de leur adresse IP, afin d’éteindre toute portée utile à ce dispositif prévu par la loi de 2009.

Pour ce faire, la revendication a eu pour objet l’abrogation du décret n° 2010-236 du 5 mars 2010 auprès du Premier ministre dont le refus implicite a permis de présenter une demande auprès du Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution des trois derniers alinéas de l’article L. 331-21 du code de la propriété intellectuelle. Les requérants soutiennent que les trois derniers alinéas du dit article méconnaissent le droit au respect de la vie privée, le droit à la protection des données à caractère personnel et le secret des correspondances, protégés par les articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen dans la mesure où le droit de communication des données personnelles accordé aux membres de la commission de protection des droits et aux agents de la Haute Autorité n’est pas assorti de garanties propres à assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la protection du droit d’auteur et des droits voisins. Par une décision du 12 février 2020, le Conseil d’État, après avoir rappelé que le Conseil constitutionnel avait déclaré ces dispositions, au moment de leur adoption, conformes à la Constitution (Cons. const. 10 juin 2009, n° 2009-580 DC, préc.), en raison des changements de circonstances (en particulier des décis. du Cons. const. n° 2015-715 DC du 5 août 2015, AJDA 2015. 1570 ; D. 2016. 807, obs. P. Lokiec et J. Porta ; ibid. 1461, obs. N. Jacquinot et A. Mangiavillano ; Constitutions 2015. 421, chron. A. Fabre ; RTD com. 2015. 699, obs. E. Claudel et n° 2017-646/647 QPC du 21 juill. 2017, AJDA 2017. 2234 ; D. 2017. 1527 ; Rev. sociétés 2017. 582, note N. Martial-Braz ; RSC 2018. 496, obs. J.-M. Brigant ), il y avait lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité relative aux trois derniers alinéas de l’article L. 331-21 du code de la propriété intellectuelle. En effet, par ces deux décisions, qui depuis ont été complétées par deux autres décisions (n° 2018-764 QPC du 15 févr. 2019, D. 2019. 311, et les obs. ; Dalloz IP/IT 2019. 447, obs. O. de Maison Rouge ; Constitutions 2019. 115, chron. O. Le Bot ; ibid. 149, Décision et n° 2019-789 QPC du 14 juin 2019, AJDA 2019. 1257 ; D. 2020. 68 , note M. Lassalle ; Constitutions 2019. 308, Décision ), le Conseil constitutionnel a censuré des dispositions législatives (dans le secteur de la concurrence, des marchés financiers, des douanes et de la Sécurité sociale) sur le droit d’accès des agents de l’administration à ces données de connexion, en considérant notamment que ces accès n’étaient pas entourés des garanties propres à « assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ».

Par ailleurs, la stratégie menée contre la loi HADOPI semblait prendre appui sur la jurisprudence de la CJUE qui, par deux décisions de 2014 (arrêt Digital Rights Ireland e.a., aff. C-293/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo Carabot et C-594/12, RTD eur. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo Carabot ) et de 2016 (arrêt Télé 2 Sverige AB, aff. C-203/15 et C-698/15, Dalloz actualité, 2 janv. 2017, obs. M.-C. de Montecler ; AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ), a considéré que l’accès par les autorités nationales aux données de connexion devrait être limité « aux seules fins de lutte contre la criminalité grave », et « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ». Or, l’accès aux données de connexion par les agents habilités et assermentés de la HADOPI est justifié non par une lutte contre la criminalité grave, mais pour constater des contraventions de la cinquième classe pour manquement à l’obligation de surveillance de son accès à internet qui aurait permis le partage d’œuvres sans le consentement des ayants droit.

Enfin, le dernier coup de grâce contre la loi HADOPI devait intervenir avant l’adoption de la loi qui consacre la fusion entre le CSA et la HADOPI pour créer l’ARCOM de sorte que cette dernière n’hérite pas des pas de la mission de la « réponse graduée ».

Une entaille dans la loi HADOPI

La décision du Conseil constitutionnel, rendue le 20 mai 2020 (Cons. const. 20 mai 2020, n° 2020-841 QPC, Dalloz actualité, 29 mai 2020, obs. N. Maximin ; AJDA 2020. 1091 ; D. 2020. 1104, et les obs. ; ibid. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2020. 341 et les obs. ; ibid. 443, étude V. Varet ; RTD com. 2020. 632, obs. F. Pollaud-Dulian ), fut plus nuancée que ce qu’en attendaient les requérants. La Conseil constitutionnel confirme la constitutionnalité du droit de communication portant sur certaines informations d’identification de l’abonné (CPI, art. L. 331-21, dernier al.) considérant que les agents publics de la Haute autorité, dûment habilités et assermentés, sont tenus, dans l’utilisation de ces données, au secret professionnel et qu’en outre, « d’une part, le champ des informations en cause se limite à l’identité et aux coordonnées électroniques, téléphoniques et postales des auteurs des manquements à l’obligation énoncée à l’article L. 336-3. D’autre part, ces informations sont nécessaires à la Haute Autorité pour leur adresser la recommandation leur rappelant leur obligation ». En revanche, le Conseil constitutionnel juge contraire à la Constitution le droit de communication portant sur tous les documents et les données de connexion prévu aux troisième et quatrième alinéas de l’article L. 331-21 du code de la propriété intellectuelle.

La loi HADOPI menacée

C’est dans ce contexte que le Conseil d’État a, en juillet 2021 posé trois questions préjudicielles à la Cour de justice afin de répondre aux contestations relatives à la conformité du décret du 5 mars 2010 au droit de l’Union européenne. Les requérants soutiennent que le décret et les dispositions qui en constituent la base légale autorisent l’accès à des données de connexion de façon disproportionnée pour des infractions relatives au droit d’auteur commises sur internet et dépourvues de gravité, sans contrôle préalable d’un juge ou d’une autorité présentant des garanties d’indépendance et d’impartialité.

L’issue de la demande était incertaine, car si les arrêts Digital Rights Ireland et Télé 2 Sverige avaient eu pour effet de limiter la latitude des États à prendre des mesures législatives prévoyant une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communication, la Cour de justice a depuis nuancé sa jurisprudence par deux arrêts rendus le 6 octobre 2020 (CJUE 6 oct. 2020, La Quadrature du Net e.a., aff. jtes C-511/18, C-512/18 et C-520/18, AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer et Privacy international, aff. C-623/17, Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2021. 387, chron. P. Bonneville, C. Gänser, S. Markarian et A. Iljic ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531, obs. B. Nicaud ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Elle reconnaît des exceptions au principe d’interdiction d’un stockage de masse de données de façon généralisée et indifférenciée « pour faire face à une menace grave (…) pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible ». Par ailleurs, une conservation ciblée (ciblant des catégories de personnes ou des lieux) de données relatives au trafic et de données de localisation est possible, afin de répondre aux objectifs de lutte contre la criminalité grave et de prévention d’atteintes graves à la sécurité publique. Dans tous les cas « la durée ne saurait dépasser celle qui est strictement nécessaire ». Une injonction est donc possible, pour une « période temporellement limitée au strict nécessaire », sous réserve qu’elle fasse l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante.

Dans l’affaire qui nous occupe, l’avocat général met dos à dos (concl. du 27 oct. 2022, préc.) cette jurisprudence avec celle relative à la protection des droits d’auteur selon laquelle les États membres doivent assurer aux titulaires des droits de propriété intellectuelle des possibilités réelles d’obtenir une réparation des préjudices résultant des atteintes à ces droits notamment au moyen de la transmission de données à caractères personnels (CJUE 19 avr. 2012, Bonnier Audio e.a., aff. C-461/10, pt 55, D. 2012. 1180 ; 4 mai 2017, Rīgas satiksme, aff. C-13/16, pt 34, D. 2017. 983 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 552, obs. Guilda Rostama et E. Malaty ; 17 juin 2021, M.I.C.M., aff. C-97/19, pts 47 à 54, Dalloz actualité, 1er juill. 2021, obs. O. Wang ; D. 2021. 1184 ; ibid. 2152, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2022. 1433, obs. J.-C. Galloux et P. Kamina ; Dalloz IP/IT 2021. 641, obs. P. Blassel ; Légipresse 2021. 623, chron. C. Alleaume ; RTD com. 2021. 805, obs. F. Pollaud-Dulian ).

Autrement dit, d’un côté l’avocat général reconnaît que la lutte contre les violations des droits de propriété intellectuelle ne saurait relever de la lutte contre la criminalité grave (concl., pt 74), mais de l’autre, s’agissant d’une infraction commise exclusivement en ligne, il souligne que l’adresse IP constitue le seul moyen d’investigation qui permet l’identification de la personne à laquelle cette connexion est attribuée au moment de la commission de l’infraction relative au droit d’auteur (concl., pt 78).

C’est, par conséquent, à un savant équilibre que la Cour de justice devait se livrer entre d’une part les excès d’une surveillance généralisée et d’autre part la légitimité de protéger le droit d’auteur. Or, priver les agents de l’accès aux identités des internautes consisterait à rendre caduque la procédure de la réponse graduée prévue par la loi HADOPI. C’est bien à cela, rappelons-le, que les requérants souhaitaient aboutir.

La loi HADOPI sauvée

Le dilemme était donc de taille, l’avocat général ne s’en cache pas (concl., pt 72) en soulignant que « la tentative de réconciliation de ces deux lignes jurisprudentielles conduit (…) à des résultats inadaptés et ne sauraient convaincre ».

Pour autant, ce dernier, en faisant un pas de côté, parvient finalement à éviter de proposer un revirement jurisprudentiel. Ce pas de côté lui permet de porter l’attention non pas sur la nature de l’intérêt légitime (lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité nationale), mais sur la portée de l’atteinte à vie privée. Son raisonnement est particulièrement détaillé dans ses secondes conclusions rendues à l’issue du renvoi par la grande chambre à l’assemblée plénière (concl. du 28 sept. 2023, pts 30 s.). Suivant un raisonnement « pragmatique », il prône une « adaptation en des circonstances particulières et très étroitement circonscrites ». Sans minimiser le caractère massif des données d’identification recueillies par les agents de la commission de protection des droits de la HADOPI (12,7 millions entre l’entrée en vigueur de la loi et les premières conclusions dans cette affaire, concl. du 27 oct. 2022, pt 31), il relève que « le mécanisme de réponse graduée permet à la HADOPI de mettre en relation l’adresse IP communiquée par les organisations d’ayants droit de personnes suspectées d’avoir utilisé leur accès à internet pour commettre une violation du droit d’auteur sur un réseau de pair à pair avec l’identité civile de cette personne, ainsi qu’un extrait du fichier téléversé en violation du droit d’auteur. (…) de tels éléments, s’ils permettent d’obtenir assurément plus d’informations que la seule identité de l’auteur présumé d’une infraction, ne conduisent toutefois pas à tirer des conclusions très précises sur la vie privée de cette personne. (…) il s’agit seulement de la révélation d’une consultation ponctuelle d’un contenu qui, pris isolément, ne saurait permettre d’établir le profil détaillé de la personne y ayant procédé. (…) La grande majorité des adresses IP communiquées à la HADOPI sont des adresses IP dites “dynamiques” (…). Elles excluent donc tout traçage exhaustif » (concl. du 27 oct. 2022, pts 50 et 51). L’avocat général poursuit en considérant que « le mécanisme de réponse graduée ne semble pas impliquer une surveillance généralisée des utilisateurs des réseaux de pair à pair » (concl., pt 53). De toutes ces constatations, il en déduit que « les raisons ayant conduit la Cour à considérer la conservation et l’accès aux adresses IP comme une ingérence grave dans les droits fondamentaux ne me semblent pas trouver application s’agissant d’un mécanisme de réponse graduée tel que celui opéré par la HADOPI » (concl., pt 54).

Nous pouvons résumer le raisonnement ainsi : en l’absence d’ingérence grave, l’intérêt légitime à l’origine de l’ingérence n’a pas à être grave pour être justifié. L’équilibre est donc atteint, rien de grave, passer votre chemin…

La Cour de justice, par sa décision du 30 avril 2024 a fait sien ce raisonnement et retient que :

  • en présence de garanties contre la combinaison de données permettant de tirer des conclusions précises sur la vie privée des personnes, l’État membre peut imposer une obligation de conservation généralisée et indifférenciée des adresses IP, pour une durée ne dépassant pas le strict nécessaire, aux fins d’un objectif de lutte contre les infractions pénales en général ;
  • la conservation et l’accès des adresses IP sont strictement nécessaires à la lutte contre les infractions pénales portant atteinte aux droits d’auteur ou aux droits voisins commises en ligne. Dès lors l’ingérence dans les droits au respect de la vie privée, à la protection des données personnelles ainsi qu’à la liberté d’expression est une mesure proportionnée au regard de l’objectif de lutte contre les infractions pénales ;
  • afin de garantir contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, l’autorité publique (l’ARCOM à présent) doit faire l’objet d’un contrôle par un organisme tiers et indépendant ; 
  • le traitement des données personnelles doit respecter les règles spécifiques de protection des données à caractère personnel prévues par la directive (UE) 2016/680 du 27 avril 2016 dite « Police-Justice ».

 

CJUE 30 avr. 2024, La Quadrature du Net e.a., aff. C-470/21

© Lefebvre Dalloz