La loi HADOPI, tel un phénix

Était en cause dans cette affaire la législation française qui permet à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Loi n° 2009-669 du 12 juin 2009, JO 13 juin, dite « loi HADOPI ») d’accéder à certaines données que les fournisseurs de services de communications électroniques sont tenus de conserver afin de pouvoir identifier les responsables d’atteintes aux droits d’auteur ou aux droits voisins commises en ligne pour défaut de surveillance de l’accès à internet ayant été utilisé lors d’échange d’œuvres au mépris des autorisations des ayants droit (CPI, art. L. 336-3). Ces données portent sur l’identité civile des personnes concernées correspondant à leur adresse IP collectée préalablement par des organismes d’ayants droit.

L’identification des personnes permet à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI), selon la procédure dite de « réponse graduée », d’envoyer deux recommandations (avertissements) puis, si les activités persistent, une lettre notifiant que ces activités sont susceptibles de poursuites pénales. Enfin, elle est en droit de saisir le ministère public en vue de la poursuite desdites personnes.

À défaut d’avoir eu l’effet escompté dans la lutte de la contrefaçon massive des œuvres disponibles en ligne, la longévité de la loi HADOPI aura été à l’origine de décisions importantes en droit du numérique. La première, celle du Conseil constitutionnel de 2009 (Cons. const. 10 juin 2009, n° 2009-580 DC, Dalloz actualité, 11 juin 2009, obs. J. Daleau ; AJDA 2009. 1132 ; D. 2009. 1770, point de vue J.-M. Bruguière ; ibid. 2045, point de vue L. Marino ; ibid. 2010. 1508, obs. V. Bernaud et L. Gay ; ibid. 1966, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; Dr. soc. 2010. 267, chron. J.-E. Ray ; RFDA 2009. 1269, chron. T. Rambaud et A. Roblot-Troizier ; Constitutions 2010. 97, obs. H. Périnet-Marquet ; ibid. 293, obs. D. de Bellescize ; RSC 2009. 609, obs. J. Francillon ; ibid. 2010. 209, obs. B. de Lamy ; ibid. 415, étude A. Cappello ; RTD civ. 2009. 754, obs. T. Revet ; ibid. 756, obs. T. Revet ; RTD com. 2009. 730, étude F. Pollaud-Dulian ), aura permis l’émergence d’un droit fondamental à l’accès au réseau internet ; la dernière, celle de la Cour de justice de l’Union européenne du 30 avril 2024, vient (pour reprendre les mots de l’avocat général dans ses concl. du 27 oct. 2022) « adapter », « nuancer », « moduler », apporter « un développement nécessaire » « un raffinement » à la jurisprudence de la Cour relative à la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

Treize ans se sont écoulés entre ces deux décisions et l’époque n’est plus aux grands principes, mais aux détails. Depuis 2009, les règles du numérique se sont déployées dans toutes les branches du droit ; l’adresse IP a été qualifiée de donnée personnelle après un temps d’incertitudes (CJUE 24 nov. 2011, Scarlet Extended, aff. C-70/10, Dalloz actualité, 29 nov. 2011, obs. C. Manara ; D. 2012. 2343, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2836, obs. P. Sirinelli ; Légipresse 2011. 657 et les obs. ; ibid. 2012. 167, comm. O. Bustin ; RSC 2012. 163, obs. J. Francillon ; RTD eur. 2012. 404, obs. F. Benoît-Rohmer ; ibid. 957, obs. E. Treppoz  ; Civ 1^re, 3 nov. 2016, n° 15-22.595, AJDA 2017. 23 ; D. 2016. 2285 ; Dalloz IP/IT 2017. 120, obs. G. Péronne et E. Daoud ; Légipresse 2016. 647 et les obs. ; ibid. 2017. 27, Étude Nana Botchorichvili ; RTD civ. 2017. 94, obs. J. Hauser ; RGDP, consid. 30) ; les autorités administratives indépendantes ont assis leur stature de contrôleurs des affaires numériques ; la HADOPI s’est fondue dans l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM ; Loi n° 2021-1382 du 25 oct. 2021 dite « RPAOCEN ») ; les intermédiaires techniques ont réussi à conserver leur régime atténué de responsabilité (Loi n° 2004-575 du 21 juin 2004 [LCEN ou LEN]) en échange de quoi, ils remplissent un rôle « d’auxiliaires de justice », mais, surtout, ils garantissent l’identification des personnes qui commettent des actes illicites en ligne grâce à l’adresse IP des internautes dont ils ont accès par la conservation généralisée et indifférenciée des données de trafic et des données de localisation de leurs utilisateurs et de leurs abonnés pendant un an.

En revanche, on relève une constance, celle de la détermination d’associations comme La Quadrature du Net de faire abroger les règles de la loi HADOPI jugées inefficaces et nocives en ce qu’elles auraient pour raison d’être « de contourner la justice afin de surveiller le plus grand nombre d’internautes » (La Quadrature du Net, Tremble, HADOPI !, 24 févr. 2020). Il ne s’agit pas d’une critique isolée. Au sein de la doctrine des désaveux se sont fait entendre très tôt (DAVSI 2, HADOPI, Création et internet » … De bonnes questions ? De mauvaises réponse, D. 2008. 2290 ). Plus encore, pour mener cette bataille judiciaire, La Quadrature du Net a été rejointe par French Data Network, Franciliens.net et la Fédération des fournisseurs d’accès à internet associatifs. Aussi, pour comprendre la portée de la décision de la Cour de justice du 30 avril dernier, il convient de résumer les recours qui l’ont précédée.

Couper le bras pour abattre la tête

La stratégie des opposants au dispositif de réponse graduée a été de contester la légalité des moyens d’action de la HADOPI, à savoir l’autorisation donnée à ses agents d’accéder aux données permettant d’identifier les internautes à partir de leur adresse IP, afin d’éteindre toute portée utile à ce dispositif prévu par la loi de 2009.

Pour ce faire, la revendication a eu pour objet l’abrogation du décret n° 2010-236 du 5 mars 2010 auprès du Premier ministre dont le refus implicite a permis de présenter une demande auprès du Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution des trois derniers alinéas de l’article L. 331-21 du code de la propriété intellectuelle. Les requérants soutiennent que les trois derniers alinéas du dit article méconnaissent le droit au respect de la vie privée, le droit à la protection des données à caractère personnel et le secret des correspondances, protégés par les articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen dans la mesure où le droit de communication des données personnelles accordé aux membres de la commission de protection des droits et aux agents de la Haute Autorité n’est pas assorti de garanties propres à assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la protection du droit d’auteur et des droits voisins. Par une décision du 12 février 2020, le Conseil d’État, après avoir rappelé que le Conseil constitutionnel avait déclaré ces dispositions, au moment de leur adoption, conformes à la Constitution (Cons. const. 10 juin 2009, n° 2009-580 DC, préc.), en raison des changements de circonstances (en particulier des décis. du Cons. const. n° 2015-715 DC du 5 août 2015, AJDA 2015. 1570 ; D. 2016. 807, obs. P. Lokiec et J. Porta ; ibid. 1461, obs. N. Jacquinot et A. Mangiavillano ; Constitutions 2015. 421, chron. A. Fabre ; RTD com. 2015. 699, obs. E. Claudel et n° 2017-646/647 QPC du 21 juill. 2017, AJDA 2017. 2234 ; D. 2017. 1527 ; Rev. sociétés 2017. 582, note N. Martial-Braz ; RSC 2018. 496, obs. J.-M. Brigant ), il y avait lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité relative aux trois derniers alinéas de l’article L. 331-21 du code de la propriété intellectuelle. En effet, par ces deux décisions, qui depuis ont été complétées par deux autres décisions (n° 2018-764 QPC du 15 févr. 2019, D. 2019. 311, et les obs. ; Dalloz IP/IT 2019. 447, obs. O. de Maison Rouge ; Constitutions 2019. 115, chron. O. Le Bot ; ibid. 149, Décision et n° 2019-789 QPC du 14 juin 2019, AJDA 2019. 1257 ; D. 2020. 68 , note M. Lassalle ; Constitutions 2019. 308, Décision ), le Conseil constitutionnel a censuré des dispositions législatives (dans le secteur de la concurrence, des marchés financiers, des douanes et de la Sécurité sociale) sur le droit d’accès des agents de l’administration à ces données de connexion, en considérant notamment que ces accès n’étaient pas entourés des garanties propres à « assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ».

Par ailleurs, la stratégie menée contre la loi HADOPI semblait prendre appui sur la jurisprudence de la CJUE qui, par deux décisions de 2014 (arrêt Digital Rights Ireland e.a., aff. C-293/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo Carabot et C-594/12, RTD eur. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo Carabot ) et de 2016 (arrêt Télé 2 Sverige AB, aff. C-203/15 et C-698/15, Dalloz actualité, 2 janv. 2017, obs. M.-C. de Montecler ; AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ), a considéré que l’accès par les autorités nationales aux données de connexion devrait être limité « aux seules fins de lutte contre la criminalité grave », et « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ». Or, l’accès aux données de connexion par les agents habilités et assermentés de la HADOPI est justifié non par une lutte contre la criminalité grave, mais pour constater des contraventions de...