GuiGui's Show

+ Protection des droits d’auteur contre le piratage : le traitement de données personnelles doit être revu par le CE
CE 433539

Dans sa décision, le Conseil d’État nous donne finalement raison sur ces deux points. Premièrement, il estime que la conservation des données de connexion n’est pas faite de manière à préserver les libertés. La CJUE exigeait une conservation dite « étanche » entre l’adresse IP et les données d’identité civile (qu’on peut comprendre comme deux bases de données, ou deux fichiers, distinct·es, qui ne peuvent être techniquement recoupé·es qu’après une demande d’accès en bonne et due forme par l’Arcom). Le Conseil d’État constate qu’« aucune disposition légale n’impose une telle conservation, dans ces conditions, aux opérateurs de communications électroniques ».

[…]

[…] La ministre de la culture affirme avoir demandé à SFR, Free, Orange et Bouygues Telecom si cette conservation était faite de manière étanche. Ces opérateurs lui ont répondu que oui, mais l’Arcom devra s’en assurer. […]

Deuxièmement, il constate également que l’accès à ces données n’est pas précédé d’un contrôle indépendant. Il s’en remet parfaitement aux conclusions déjà tirées par la CJUE, qui est que l’Arcom ne peut être juge et partie : elle ne peut demander l’accès et contrôler elle-même la légalité de cet accès, même si elle est une autorité indépendante. Mais, comme le fait la CJUE, le Conseil d’État estime que cette absence de contrôle ne pose problème qu’à partir du troisième accès aux données, l’étape où une lettre recommandée est envoyée.

[…]

Cela ne veut pas dire pour autant que la Hadopi est définitivement morte. Le gouvernement pourrait revenir à la charge, créer une forme d’autorité de contrôle de l’Arcom pour se mettre en conformité. […]

+ Hadopi : la réponse graduée décapitée, le plan B de l’Arcom chez L'Informé.

Autre scénario d’évolution, déjà évoqué par la rapporteure publique au Conseil d’État et validé par la juridiction (au point 23 de la décision), le maintien de la seule phase pédagogique. « L’idée serait de garder les volets 1 et 2 [mails et lettres remises contre signature, ndlr] des recommandations ».

Selon les derniers chiffres, entre 2010 et 2025, il y a eu moins de 15 000 décisions de transmission au procureur de la République, à comparer aux 12,5 millions de premiers avertissements. […]

D’autres modifications sont envisagées, comme celle visant à faire adopter par le législateur ou le ministère de la Culture des dispositions pour que l’Arcom ne puisse plus connaître le nom des œuvres qui ont motivé l’envoi des avertissements. Une mesure qui empêcherait tout rapprochement possible. « On n’a jamais eu besoin d’avoir ces données mais avions milité pour qu’elles soient dans nos locaux car c’est la première question que nous posent les abonnés après réception des avertissements. On pourrait aussi imaginer avoir des canaux séparés avec d’un côté des agents qui connaissent ces informations pour les fournir au besoin aux abonnés, et d’autres qui ne les connaissent pas mais qui seraient chargés d’appliquer la réponse graduée sans rapprochement possible. »

Mais au-delà de ces choix techniques, la question de la survie de la riposte graduée se pose désormais au sein même de l’autorité. « Est-ce qu’il va rester pertinent de continuer dans le nouveau cadre fixé par le Conseil d’État ? ». L’Arcom concède que s’ouvre désormais « l’opportunité de s’interroger sur l’allocation de nos moyens pour lutter contre le piratage, au regard des contraintes supplémentaires que l’arrêt implique ». En clair, le jeu en vaut-il toujours la chandelle ? « Il y a aujourd’hui des pratiques plus prédatrices en matière de piratage et la nécessité s’impose d’allouer les énergies à la lutte contre ces nouvelles formes de contrefaçon en s’attaquant davantage aux sites qu’aux utilisateurs individuels. On doit voir le coût du maintien de notre système d’information, sans compter l’impression et l’envoi des courriers. La seule indemnisation des fournisseurs d’accès nous coûte 430 000 euros par an ».

L’heure des choix est aussi celle du bilan. « Depuis la mise en place de la réponse graduée, les usages de P2P ont baissé de 80 % et le piratage par P2P ne concerne plus que 2 % des internautes ». En 2024, l’Arcom a été saisie 2 millions de fois par les ayants droit, bien loin des 14 millions de saisines enregistrées en 2018. […]

Les points 5, 16, et 22 de la décision sont intéressants : la législation doit prévoir que les FAI et les FSI doivent conserver les données de connexion de manière étanche (identité dans une base, IPs attribuées dans une autre, etc.), sécurisée, etc., et la CJUE impose un contrôle de cela (qui en sera chargé ? La CNIL ?). Les déclarations des FAI n'ont aucune importance. Cette exigence vaut même si l'État choisissait de renoncer intégralement à la riposte graduée puisque, indépendamment d'elle, la réglementation prévoit la conservation de l'identité et des IPs attribuées. La prise en compte par le CE conduira à augmenter la sécurisation des données de connexion dans leur ensemble. La bonne nouvelle dépasse donc la feue HADOPI.

A priori, il faudra donc une modification du cadre légal de la rétention des données de connexion, bien que, d'après L'Informé, l'ARCOM envisage une attestation sur l'honneur des FAI en attendant. Je pense que cette modification devra être opérée par la loi (et non un décret) puisqu'elle porte sur les droits et libertés.

Le point 8 pose le problème central de la dernière phase de la riposte graduée : l'ARCOM ne peut pas procéder à une troisième identification sans contrôle indépendant préalable. Or, en voyant une IP, comment savoir si la demande d'identification sera la 3^e ? 🤔️

Le point 22 ouvre clairement la voie à contrefaçon (= mise à dispo de contenus) = criminalité grave. La contravention de négligence caractérisée de sécurisation de l'accès au net, elle, n'en fait pas partie.

Je trouve que le CE fait une interprétation minimaliste de l'arrêt de la CJUE : pour que l'ARCOM poursuive la criminalité grave (comme la contrefaçon), elle n'aurait pas besoin de s'assurer que les données de connexion sont stockées de manière étanche par les FAI, car ce ne serait exigé par la CJUE que pour la poursuite des infractions en général (dont les non-graves). À aucun moment la CJUE n'écrit que, si l'identité et les IPs sont conservées pour toute infraction (ce qui est le cas en FR), ce qui oblige à une étanchéité, alors la réutilisation pour de la criminalité grave fait sauter cette exigence d'étanchéité. Ça a d'autant moins de sens que la conservation pour la criminalité grave ajoute aussi les données de trafic et de localisation, desquelles l'identité et les IPs doivent être étanches (point 87 de l'arrêt CJUE). D'après moi, la CJUE a défini un plancher : étanchéité pour toutes les infractions donc étanchéité pour criminalité grave.

L'encart à la fin de l'article de L'informé est erroné : même quand l'ARCOM poursuit un contrefacteur (qui relève de la criminalité grave) et non une négligence de sécurisation (qui n'en relève pas), elle ne peut pas transmettre le dossier à la justice puisque le 3^e recoupement ne peut être autorisé que par un juge ou une administration tierce. La seule garantie que le CE fait sauter en cas de contrefaçon, c'est l'exigence d'étanchéité et de sécurité côté FAI, pas le contrôle préalable et indépendant de la troisième étape de la riposte graduée.

#LQDN