CJUE 30 avril 2024 | Assemblée Plénière | Aff. C-470/21 │ HADOPI & Collecte des adresses IP │
L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément à la législation française (notamment le code de la propriété intellectuelle – CPI), la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (la HADOPI, désormais dénommée l’ARCOM) est chargée d’un mécanisme dit de « réponse graduée », visant à envoyer – de manière automatisée et massive – des avertissements (recommandations) à tout titulaire d’un abonnement Internet détecté comme ayant mis à disposition des fichiers soumis à droits d’auteur et échangés de façon illicite.
Le mécanisme de “réponses graduées” procédait comme suit, à savoir:
1. Détection des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer
2. Identification des titulaires des abonnements auprès des fournisseurs d’accès
3. Envoi de recommandations aux contrevenants
4. En cas de récidive, possibilité de saisir le procureur de la République
La question litigieuse soumise à la CJUE par les quatre associations requérantes — La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network — porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’une législation nationale — décret n°2010-236 — permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge ou à une autorité indépendante présentant toutes garanties d’impartialité. Le Conseil d’État français, estimant que la jurisprudence de la CJUE imposait en principe un contrôle juridictionnel ou administratif indépendant pour toute forme d’« accès à des données de connexion », a saisi la Cour via trois questions préjudicielles.
Le rapporteur du Conseil d’Etat avait estimé que la censure partielle de l’article L. 331-21 du Code de la propriété intellectuelle effectuée par le Conseil Constitutionnel n’impliquait pas de modification du décret attaqué; le traitement des données étant indispensable à la mission confiée à la HADOPI par le législateur.
Par ailleurs, le rapporteur avait considéré que le grief visant à limiter le traitement à la lutte contre la criminalité graven n’était pas fondé dès lors qu’une jurisprudence, confirmée maintes fois, de la CJUE admettait un régime plus souple pour les données d’identité civile recueillies par la HADOPI.
Pour ce qui concernait l’absence de voies de recours offertes aux mis en cause, le moyen était également écarté, le rapporteur rappelant les possibilités offertes à ces derniers de demander l’effacement des données et de contester un éventuel refus.
Le point de droit que le rapporteur considérait comme posant une difficulté sérieuse imposant des questions préjudicielles à la CJUE, concernait le fait que la jurisprudence de la Cour exigeait en principe un contrôle préalable indépendant pour l’accès aux données de connexion. Malgré ses doutes, il soulevait plusieurs arguments plaidant en faveur d’un régime spécifique pour la HADOPI, excluant le principe d’un contrôle préalable dans la mesure de:
– la faible sensibilité des données d’identité civile
– la finalité limitée et précise du traitement de données
– le volume important de données traitées rendant un contrôle systématique difficile
SYNTHESE DES QUESTIONS PREJUDICIELLES
1. Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant
2. S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant
3. S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l’identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d’un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil
CONCLUSIONS DE L’AVOCAT GENERAL
L’Avocat Général répond aux trois questions du Conseil d’État en articulant son analyse autour de la distinction entre « identité civile » (données d’abonné) et « autres données de trafic/localisation plus sensibles ».
Première question : « Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données de trafic ou de localisation soumis à l’exigence d’un contrôle préalable ? »
L’Avocat Général reconnaît qu’aux yeux de la directive 2002/58, les données d’identité civile liées à une adresse IP « relèvent techniquement des données de trafic », puisque l’objectif recherché est d’identifier précisément la personne se trouvant derrière une connexion. Le rattachement d’une adresse IP dynamique à un nom d’abonné constitue bien un traitement entrant dans le champ de l’article 15 de la directive (sur les restrictions possibles). Toutefois, il souligne le moindre degré de sensibilité de ces données par rapport à la collecte de logs plus intrusifs (géolocalisation, historique complet de connexions, etc.). Il préconise néanmoins de ne pas « exclure » la catégorie des « données d’identité civile » du champ de la protection offerte par la directive e-privacy, car la Cour avait déjà jugé (arrêts Tele2, Prokuratuur, La Quadrature du Net e.a.) qu’une telle identification est soumise à des garanties minimales dès lors qu’il peut s’agir d’une ingérence dans la vie privée.
Deuxième question : « Une réglementation nationale peut-elle dispenser d’un contrôle préalable indépendant, compte tenu de la “faible sensibilité” de ces données d’identité civile ? »
Selon l’Avocat Général, la solution de principe, issue de la jurisprudence antérieure (notamment Tele2 et Prokuratuur), requiert en principe un contrôle préalable par un juge ou par une autorité administrative indépendante pour tout accès à des données de connexion. Or, l’Avocat Général constate que l’accès à la seule identité civile correspond à une ingérence nettement plus modérée (ces données ne révèlent pas en elles-mêmes des informations sensibles sur les communications ou la vie privée profonde). En conséquence, il s’interroge sur une éventuelle dérogation ou assouplissement, au vu du volume considérable de demandes quotidiennes dont la HADOPI a besoin pour faire fonctionner la « réponse graduée ».
Dans ses conclusions, l’Avocat Général relève qu’on est en présence d’infractions « de moindre gravité » (contrefaçon de droits d’auteur) et d’une intrusion plus limitée (accès au seul nom/poste du titulaire d’une ligne). Il avance que la directive e-privacy n’impose pas nécessairement un contrôle humain et individualisé “au cas par cas”, particulièrement s’il existe une autorité publique indépendante (la HADOPI), déjà séparée des ayants droit, et si des mécanismes alternatifs de supervision “automatisée/intelligente” sont prévus.
Troisième question : « La directive e-privacy s’oppose-t-elle à un contrôle automatisé interne à la HADOPI, sans instance extérieure mais avec garanties d’impartialité ? »
L’Avocat Général envisage un contrôle “allégé” ou “adapté” qui concilierait la nécessaire protection des droits fondamentaux et le fait que la HADOPI traite des volumes massifs de demandes. Un contrôle humain exhaustif et fourni par une juridiction extérieure serait matériellement impossible. Selon lui, la voie médiane pourrait être :
– un contrôle algorithmique préalable (filtrage automatisé vérifiant que seules les données strictement nécessaires sont requises),
– sous la supervision d’un service interne à l’autorité, distinct toutefois des agents chargés d’instruire les dossiers,
– avec l’éventualité d’un contrôle a posteriori ou ponctuel par échantillonnage.
Il évoque la possibilité que cette modalité tienne compte de la « moindre sensibilité » de la donnée d’identité civile, mais laisse toutefois la décision à la Cour, tout en suggérant que la directive 2002/58 n’empêche pas un modèle de contrôle interne si l’autorité en question présente une indépendance organique suffisante (séparation fonctionnelle en interne).
MOTIVATION DE LA COUR
La Cour a jugé, en substance, que :
1. Même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence.
2. Un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée). Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant. Le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
3. Le volume potentiellement élevé de demandes (procédure de réponse graduée) ne justifie pas l’absence de contrôle a priori indépendant.
Alors que l’Avocat général avait évoqué la faisabilité d’une forme de « contrôle automatisé interne », couplé à une supervision (éventuellement interne à la HADOPI, mais menée par un service réellement séparé, la Cour, dans son arrêt, maintient que « l’accès aux données de connexion doit être subordonné à un contrôle préalable effectué par une juridiction ou par une entité administrative indépendante pouvant émettre des décisions contraignantes », et estime qu’une supervision purement interne à l’autorité de poursuite elle-même ne remplit pas a priori les critères d’impartialité/indépendance. Autrement dit, la Cour n’a pas entériné l’idée que l’on pourrait s’en remettre uniquement à un contrôle algorithmique ou un contrôle « interne » à la HADOPI. Elle reste ferme sur l’exigence de la séparation organique et de l’indépendance vis-à-vis des autorités chargées de l’enquête ou de la poursuite.
On ne peut pas considérer que cette jurisprudence constitue un « revirement » ou une innovation majeure de la jurisprudence de la CJUE. En l’espèce, la Cour s’inscrit dans la continuité des grands arrêts antérieurs — voir infra — lesquels posent les principes selon lesquels :
– la conservation et l’accès aux données de communication (même limitées à l’identité associée à une adresse IP) constituent une ingérence dans la charte des droits fondamentaux,
– cet accès doit être strictement encadré,
– un contrôle préalable indépendant reste requis en principe pour l’accès à ces données.
La Cour innove tout au plus en énonçant clairement que même l’identité civile (parfois présentée comme “moins sensible”) nécessite un contrôle préalable : le fait de connaître l’identité d’une personne derrière une adresse IP peut avoir des conséquences significatives. C’est une confirmation plutôt stricte de la jurisprudence existante, fermant la porte aux solutions typiquement « automatisées internes » dépourvues de tierce garantie extérieure.
PRECEDENTS JURISPRUDENTIELS D’INTERET
Pour replacer cette affaire dans la jurisprudence plus large, on poura se référer aux décisions suivantes:
Affaire C-793/19 (SpaceNet AG / Bundesrepublik Deutschland, 20 septembre 2022) qui porte sur la validité, au regard du droit de l’Union européenne, de la législation allemande imposant une conservation « préventive, généralisée et indifférenciée » de certaines données de connexion (métadonnées) pour la lutte contre la criminalité et la prévention de risques graves pour la sécurité publique.
Affaire C 597/19 (M.I.C.M.) v. Telenet BVBA: juge que le droit de l’Union ne s’oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ou par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair (peer-to-peer) dont les connexions Internet ont été prétendument utilisées dans des activités contrefaisantes (traitement des données en amont), ni à la communication des noms et des adresses postales des utilisateurs à ce titulaire ou à un tiers aux fins d’un recours en indemnisation (traitement des données en aval); tempère en considérant que les initiatives et les demandes à cet égard doivent être justifiées, proportionnées, non abusives et prévues par une mesure législative nationale qui limite la portée des droits et des obligations relevant du droit de l’Union; précise enfin que ce dernier n’établit pas l’obligation pour une société telle que Telenet de communiquer à des personnes privées les données à caractère personnel afin de pouvoir engager, devant les juridictions civiles, des poursuites contre les atteintes au droit d’auteur. Le droit de l’Union permet cependant aux États membres d’imposer une telle obligation.
Arrêt Prokuratuur (C-746/18, 2 mars 2021) qui précise les conditions du contrôle préalable, à savoir que l’autorité chargée du contrôle doit être indépendante de l’autorité demandant l’accès aux données et le contrôle doit intervenir avant tout accès aux données, sauf en cas d’urgence dûment justifiée
Arrêt La Quadrature du Net e.a. (C-511/18, C-512/18 et C-520/18; 6 octobre 2020): apporte des précisions importantes sur les conditions dans lesquelles la conservation des données de connexion peut être admise: la Cour y affirme notamment que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière de la Charte, ne s’oppose pas à des mesures législatives permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. A noter que dans ces affaires l’avocat général avait proposé une approche nuancée concernant la conservation des données de connexion, suggérant notamment que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation était contraire au droit de l’Union, sauf en cas de menace grave pour la sécurité nationale.
Arrêt Tele2 Sverige et Watson (C-203/15 et C-698/15, 21 décembre 2016): pose les principes de base concernant la conservation des données de connexion, à savoir que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation est contraire au droit de l’Union, et que l’accès des autorités nationales aux données conservées doit être limité aux fins de la lutte contre la criminalité grave et doit être soumis à un contrôle préalable par une juridiction ou une autorité administrative indépendante.
Arrêt Breyer (C-582/14; 19 octobre 2016): confirme le statut de donnée personnelle des adresses IP, même dynamiques: dans cet arrêt, la Cour a jugé qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de l’article 2, sous a), de la directive 95/46/CE, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.
Arrêt Bonnier Audio e.a. (C-461/10, 19 avril 2012) indique que la directive 2006/24/CE sur la conservation des données ne s’oppose pas à l’application d’une réglementation nationale instituée sur le fondement de l’article 8 de la directive 2004/48/CE relative au respect des droits de propriété intellectuelle, qui permet d’enjoindre à un fournisseur d’accès à Internet de communiquer à un titulaire de droits d’auteur l’identité de l’abonné à qui a été attribuée une adresse IP ayant servi à porter atteinte à ces droits; cette décision souligne l’importance de permettre l’identification des contrevenants aux droits de propriété intellectuelle, tout en rappelant la nécessité de respecter les principes de proportionnalité et de protection des données personnelles.
Arrêt Promusicae (C-275/06,29 janvier 2008) : établit que les directives 2000/31, 2001/29, 2004/48 et 2002/58 n’imposent pas aux États membres de prévoir l’obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du droit d’auteur dans le cadre d’une procédure civile; souligne néanmoins la nécessité pour les États membres d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire.
Décision du Conseil constitutionnel n° 2020-841 QPC du 20 mai 2020 qui a censuré partiellement l’article L. 331-21 du Code de la propriété intellectuelle, limitant les pouvoirs de la Hadopi en matière d’accès aux données de connexion.
Décision du Conseil d’État n° 393099 du 21 avril 2021 qui a tiré les conséquences de la jurisprudence de la CJUE en matière de conservation des données de connexion, annulant partiellement le cadre réglementaire français.