Le 30 avril dernier, la Cour de justice de l’Union européenne a validé la légalité des fondements de la riposte graduée d’Hadopi
(devenue l’Arcom), notamment la possibilité d’accéder aux adresses IP des
internautes. Arnaud Dimeglio, avocat spécialisé en droit des nouvelles
technologies, livre son éclairage sur cet arrêt « en demi-teinte »
pour la protection des données personnelles.
« La
justice européenne enterre un peu plus l’anonymat en ligne ». Le commentaire, amer, émane de l’association de défense
des libertés numérique la Quadrature du net, après que la Cour de justice de l’Union
européenne a rendu, le 30 avril, un arrêt validant le fonctionnement de la « riposte
graduée » de la Haute autorité pour la diffusion des œuvres et la
protection des droits sur Internet (Hadopi). Fusionnée en 2020 avec le Conseil
supérieur de l’audiovisuel (CSA) dans l’Autorité de régulation de la
communication audiovisuelle et numérique (Arcom), la Hadopi
est en charge de lutter contre le piratage d'œuvres artistiques et culturelles
circulant sur Internet. L’utilisateur qui n’a pas sécurisé sa connexion, de
sorte à ce qu’un téléchargement illégal y est associé, reçoit d’abord un mail d’avertissement,
puis un second, avant une lettre de notification puis une éventuelle
transmission au procureur.
La CJUE était appelée à
statuer sur les conditions d’accès aux adresses IP, sorte de carte d’identité
de l’appareil et de la connexion de l’utilisateur qui permet l’identification
par la Hadopi du téléchargement délictueux. Certaines associations, comme la
Quadrature du net qui a intenté le recours auprès de la CJUE, redoutaient une
utilisation abusive de ces données personnelles, ainsi que la surveillance par
les autorités gouvernementales. « Alors
qu’en 2020, la CJUE considérait que la conservation des adresses IP constitue
une ingérence grave dans les droits fondamentaux et que ces dernières ne
peuvent faire l’objet d’un accès, associé à l’identité civile de l’internaute,
seulement dans des cas de criminalité grave ou d’atteinte à la sécurité
nationale, tel n’est aujourd’hui plus le cas », a réagi l’association dans un billet de blog, après que la CJUE a
rendu son arrêt.
Arnaud Dimeglio, avocat
spécialisé en droit des nouvelles technologies, de la communication et de la
propriété intellectuelle, éclaire pour le JSS les enjeux de cette décision qui « coupe
la poire en deux » entre « le risque de surveillance généralisée et
le risque d’impunité généralisée ».
Journal
spécial des sociétés : Que change cet arrêt de la CJUE quant à la
légalité du système Hadopi ?
Arnaud Dimeglio
: Cette décision marque la fin du match, en quelque sorte. Elle est en
demi-teinte, et considère que le fait qu’Hadopi puisse identifier les personnes
auteures de piratage grâce à leur adresse IP, fournie par les fournisseurs
d’accès à Internet, ne constitue pas une attaque à la limite de conservation
des données.
JSS
: Dans cet arrêt, la CJUE fait la différence entre des adresses IP « sensibles » et d’autres qui ne le seraient pas. Qu’est-ce que cela signifie ?
AD :
Pour la Cour, les adresses IP sont une donnée d’identité, qui servent à
identifier une personne en cas d’infraction, ce qui ne serait pas « sensible ».
Par contre, les adresses IP « sensibles » sont celles qui servent à identifier
mais aussi à tracer une personne, et à connaître le contenu auquel elle accède.
Dans le texte, la Cour juge que la conservation généralisée et indifférenciée
d’adresses IP ne constitue pas nécessairement une ingérence grave dans les
droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation
nationale impose des modalités de conservation garantissant une séparation
effectivement étanche des différentes catégories de données à caractère
personnel et excluant ainsi que puissent être tirées des conclusions précises
sur la vie privée de la personne concernée.
Cette décision replace les
affaires dans leur contexte : les adresses IP ne servent pas à tracer les
pirates ou à entrer dans leur intimité, ni à initier des profilages, mais de
les identifier. Ce que ces personnes effectuent, en piratant, c’est une contravention
selon la loi. La CJUE estime qu’il n’y a pas d’atteinte grave à la vie privée
JSS
: Les associations de défense des libertés numériques ont critiqué un pouvoir
accru de traçage des individus, et donc moins d’anonymat en ligne…
AD
: C’est une décision très riche qui va permettre d’éclairer sur le droit, qui
était obscur jusque-là. Ce que je comprends, c’est que cela invite les États à
être précis dans leur réglementation sur les données personnelles, car la
finalité de l’adresse IP est d’identifier une personne, et non de la tracer.
Dans le droit français, il a déjà fallu préciser certains textes, notamment
l’article 34-1 du Code des postes et des communications électroniques, révisé
en 2021. Là, la CJUE prévoit d’autres conditions à rajouter.
JSS
: A la suite de cet arrêt, des associations comme la Quadrature du Net ont dénoncé le
fait que la CJUE autorisait une forme de surveillance de masse. Est-ce vraiment
le cas ?
AD
: Grâce à cette jurisprudence, le législateur va autoriser l’accès à l’adresse
IP même quand on n’est pas face à un cas « grave », à condition de
respecter certaines conditions. C’est une façon de couper la poire en deux : la
Quadrature du net avait des raisons d’alerter, et n’a pas été complètement
débouté. Ils ont obtenu quelques concessions, par quatre conditions que doivent
respecter les États et les fournisseurs d’accès à Internet pour une séparation
étanche des données conservées, pour qu’il n’y ait pas un risque détaillé de
profilage.
On pourrait considérer que
notre réglementation, dont le Règlement général de protection des données
(RGPD), est déjà suffisante. Cela oblige déjà les États membres à garantir que
cet accès ne permette pas de tirer des conclusions précises sur la vie privée
des titulaires des adresses IP concernés, ni ne permette un profilage. Dans les
conditions posées par la CJUE, on retrouve l’interdiction aux agents disposant
de cet accès de divulguer des informations sur le contenu des fichiers
consultés, d’opérer un traçage du parcours de navigation à partir des adresses
IP et d’utiliser ces adresses à des fins autres que l’identification de leurs
titulaires en vue de l’adoption d’éventuelles mesures. La France prévoit déjà
ces interdictions. Enfin, l’arrêt de la CJUE prévoit qu’en cas de récidive d’un
auteur de piratage, les personnes chargées de traiter ses données soient
contrôlées par une entité indépendante, une autorité tierce à la Hadopi pour
éviter un risque de combinaison de ces données ; mais également que le système
de traitement des données soit soumis à un contrôle indépendant pour vérifier
l’intégrité du système.
JSS
: Au final, que pensez-vous que cet arrêt de la CJUE va apporter, concernant le
droit du numérique ?
AD
: C’est un bon rappel de ce qu’il ne faut pas faire en termes de protection des
données, et cela pose des conditions nouvelles et spécifiques. Par exemple, le
fait de soumettre le traitement de données réitérées à un contrôle, c’est une
interprétation du droit qu’on ne pouvait pas deviner. C’est là qu’on pourrait
émettre une réserve : il ne faut pas aller au-delà de l'interprétation, et que
la CJUE ne crée pas du droit. La Cour a repris dans son arrêt tout ce qu’a pu
dire l’avocat général, et notamment la balance entre le risque de surveillance
généralisée et le risque d’impunité généralisée. Cet arrêt a permis de passer
de l’abstraction à une forme de pragmatisme.
Propos
recueillis par Pauline Ferrari