L’accès et la conservation généralisée et indifférenciée des adresses IP validée par la Cour de justice à des fins de protection des œuvres couvertes par des droits d’auteur.
(CJUE, 30 avril 2024, C-470/21)
Le 30 avril dernier la Cour de justice de l’Union européenne réunie en assemblée plénière a rendu un arrêt crucial précisant les obligations liées à la conservation et à l’accès des adresses IP dans le cadre de la protection des droits d’auteurs.
En effet, à la suite d’une première décision du Conseil constitutionnel relative à la conformité à la constitution du code de la propriété intellectuelle instituant la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) (décision n° 2020-841 QPC du 20 mai 2020, La Quadrature du Net et autres), le Conseil d’Etat, dans le cadre du même litige a décidé de surseoir à statuer afin de poser plusieurs questions préjudicielles à la CJUE
Le Conseil d’Etat a alors demandé à la Cour de justice de préciser si les données relatives à l’identité civile correspondant à des adresses IP doivent respecter les mêmes obligations que les données relatives au trafic ou à la localisation, dans le cadre de la conservation, de l’accès ou encore du contrôle préalable par une juridiction ou une entité administrative indépendante. En effet, dans la mesure où la HADOPI peut avoir accès à de telles données afin de remplir ses objectifs, il était nécessaire de préciser le cadre entourant les données d’identité civile correspondants à des adresses IP.
La Cour, réunie en Assemblée plénière – ce qui témoigne de l’importance de la question tranchée – a répondu que la législation européenne ne s’opposait pas à une réglementation nationale qui autorisait l’autorité publique à accéder et conserver des données relatives à l’identité civile correspondant à des adresses IP dans le cas de la protection des droits d’auteur et des droits voisins. Elle a cependant précisé les exigences applicables à cette possibilité.
La Cour a d’abord évoqué les exigences tenant à la conservation de ces données. Elle rappelle qu’une telle conservation constitue une atteinte forte au droit au respect de la vie privée et au droit à la protection des données à caractère personnel : il s’agit donc d’une exception qui ne doit pas devenir la règle. C’est ainsi qu’il convient, selon la Cour, d’apprécier strictement les justifications. Or, n’est pas conforme à cette interprétation stricte l’argument selon lequel les adresses IP seraient en réalité des données de trafic à sensibilité moindre car elles permettraient d’identifier seulement la source de la communication et pas le destinataire. En effet, ces données peuvent être mises en relation avec d’autres données et ainsi permettre de dresser un profil détaillé des personnes et tirer des conclusions précises sur leur vie privée, ce que veut éviter la Cour. La Cour impose par conséquent que toute réglementation prévoyant une telle conservation dans le but de lutter contre les infractions pénales prévoie une séparation étanche des catégories de données, reposant sur un système informatique fiable et sécurisé et faisant l’objet de contrôles réguliers.
S’agissant ensuite de l’accès à ces données, la Cour note tout d’abord que HADOPI n’a pas un accès tel sur les données qu’il permette de tirer des conclusions précises sur la vie privée des personnes, et qu’il donc est possible – sauf cas atypique - de le justifier par des objectifs de prévention, de détection et de poursuite des infractions pénales. Même dans ces cas atypiques, la Cour note que l’accès aux adresses IP est souvent le seul moyen d’investigation, et que le refus d’un tel accès reviendrait à créer des risques d'impunité systémique. L’article 15 paragraphe 1 de la directive 2002/58 ne s’oppose pas donc pas, d’après la Cour, à un tel accès.
S’agissant enfin de l’exigence d’un contrôle par une juridiction ou une entité administrative indépendante préalablement à l’accès par HADOPI aux identités civiles, la Cour juge qu’un tel contrôle devrait s’imposer lorsqu’il y a un risque d’ingérence grave dans les droits fondamentaux se caractérisant par la possibilité de tirer des conclusions précises sur la vie privée des personnes.
En principe la séparation étanche des catégories de données permet de remédier à ces risques. Cependant dans des situations atypiques, notamment durant la procédure de réponse graduée au cours de laquelle les personnes sont notifiées à plusieurs reprises sous formes d’avertissements, l’ingérence peut atteindre un haut degré de gravité. Dans ce cas, un contrôle préalable doit être prévu à un certain stade de la procédure, plus précisément après deux recommandations et avant la notification, c’est-à-dire lorsque les faits constatés sont susceptibles d’être qualifiés d’infraction pénale. Ce contrôle préalable ne saurait toutefois, comme le demandait le gouvernement français, être entièrement automatisé, la juridiction ou l’entité administrative indépendante concernée devant être en mesure d’assurer un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et, d’autre part, les droits fondamentaux au respect de la vie privée.
De même le destinataire de ces communications doit-il bénéficier de certaines garanties procédurales telles que le droit de présenter des observations, le droit d’obtenir des précisions sur le manquement qui lui est reproché ainsi que, s’agissant de ladite notification, le droit de solliciter une audition et de se faire assister par un conseil.
M2 DEDH