<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 09/04/2025
David CONERARDY
Adam BENAMEUR

Conformité sous conditions de la procédure de recommandation de l’Arcom (ex-Hadopi) prononcée par la Cour de justice de l’Union européenne (CJUE)

CJUE, C470-21, 30 avril 2024

Dans son arrêt en date du 30 avril 2024[1], la Cour de justice de l’Union européenne (CJUE) a estimé que les dispositions de la directives 2002/58[2] et de la Charte européenne des droits fondamentaux ne faisaient pas obstacle à la mise en œuvre d’une réglementation nationale permettant aux autorités publiques d’accéder aux adresses IP préalablement collectées des personnes soupçonnées d’atteinte aux droits d’auteur et droits voisins.

Était contestée la légalité du décret n°2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel[3] ayant pour objet de mettre en œuvre la procédure de recommandation par Hadopi (aujourd’hui l’Arcom) en cas d’atteinte aux droits d’auteurs et droits voisins par un utilisateur.

Ce décret prévoit la procédure d’avertissements (de « recommandation ») de l’Arcom aux utilisateurs dont les navigations en ligne sont susceptibles de porter atteinte aux droits d’auteurs (piratages etc.).

Le problème posé par cette procédure est la nécessité de faire correspondre les adresses IP des appareils et les identités civiles des personnes derrière ces appareils, en vue de leur envoyer les avertissements visant à mettre un terme à ces pratiques.

Un tel traitement de données personnelles est sensible puisqu’il permettrait à l’Arcom de tirer des conclusions sur la vie privée des personnes réprimandées, notamment par le biais de leurs recherches et de leur localisation.

La question posée est donc celle de l’obligation d’un contrôle préalable d’une juridiction ou d’une entité administrative indépendante préalablement à l’accès par l’Arcom aux données d’identité civile correspondant aux adresses IP.

Dans son arrêt, la CJUE estime que les dispositions du Code de la propriété intellectuelle sur lesquelles est édicté le décret de 2010[4], notamment celles de l’article L. 331-23 du Code de la propriété intellectuelle, sont conformes au droit européen.

La Cour écarte tout d’abord la nécessité d’un contrôle préalable de l’autorité publique en amont de l’accès aux données personnelles des utilisateurs. Elle justifie sa position par l’absence d’ingérence grave dans leurs droits fondamentaux en se fondant notamment sur sa jurisprudence en la matière, rappelant que la proportionnalité de l’ingérence dans les droits fondamentaux doit être appréciée au regard de l’objectif d’intérêt public poursuivit[5] (cons.133).

La Cour rappelle également le risque, toutefois mesuré, de faux cas positif représenté par l’automaticité du traitement des données, c’est-à-dire la correspondance faite entre une adresse IP et une identité civile sans qu’une infraction ne soit ensuite constatée. Cette situation met ainsi en risque les données personnelles des individus soupçonnés et dont les données seraient exploitées à tort. Elle précise donc que le système de traitement doit être contrôlé à intervalles réguliers par une entité indépendante afin d’en assurer « l’intégrité » et de garantir « son efficacité et sa fiabilité », écartant d’autant plus l’idée d’un contrôle préalable (cons.155-156).

La CJUE conditionne toutefois cette conformité au respect des conditions suivantes :

 

  • S’agissant de la conservation des données

La Cour se penche ensuite sur les modalités techniques de conservation des données. Ces modalités techniques doivent ainsi éviter que l’autorité puisse tirer des conclusions précises sur la vie privée des titulaires des adresses IP relevées lors des atteintes aux droits d’auteurs.

Cet objectif peut être atteint selon la CJUE en mettant en œuvre une séparation étanche dans la conservation des différentes catégories de données : les données relatives à l’identité civile, les adresses IP et les données relatives au trafic et aux données de localisation, cela « de telle sorte que la combinaison de données appartenant à différentes catégories est effectivement exclue » (cons.103 et 164).

De plus, la mise en relation des adresses IP et des données civiles des utilisateurs ne pourra se faire qu’à travers un « procédé technique performant ne remettant pas en cause l’efficacité de la séparation étanche de ces catégories de données » (cons.88), garantissant d’autant plus l’absence de porosité entre les différentes catégories de données.

 

  • S’agissant de l’accès aux données : l’automaticité du traitement

La mise en œuvre d’un traitement automatisé fait également l’objet d’une attention particulière de la CJUE qui analysait cette méthode, permise en France sur la base des dispositions de l’article L. 331-23 du Code de la propriété intellectuelle, à l’aune des dispositions de la directive 2002/58.

En clair, la mise en relation des identités civiles et des adresses IP de titulaires soupçonnés d’infraction aux droits d’auteurs ne doit pas résulter d’un seul traitement uniquement automatisé, mais nécessite l’intervention d’une personne physique (cons.149).

La Cour souligne l’importance d’un juste équilibre dans la mesure de contrôle entre les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et le droit des personnes au respect de leur vie privée, ce qui justifie notamment l’intervention d’une personne physique dans la procédure (cons.148).

En ce sens, il existe un risque que le contrôle préalablement réalisé permette à l’autorité publique de tirer des conclusions sur la vie privée de la personne soupçonnée d’avoir commis l’infraction (cons.145).

_____

 

[1] CJUE, ass. Plen., 30 avril 2024, La Quadrature du Net, C470-21

[2] Directive 2002/58/CE (CELEX : 32002L0058) du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

[3] Décret n°2010-236 du 5 mars 2010 (NOR : MCCB1004830D) relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-23 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ».

[4] L. 331-15, L. 331-21, L. 331-24, L. 331-25, L. 331-28, L. 331-29 et L. 336-3 du code de la propriété intellectuelle

[5] CJUE, 6 octobre 2020, La Quadrature du Net, C-511/18, C-512/18 et C-520/18