La riposte graduée : vers une nouvelle exception à la conservation généralisée et indifférenciée des données de connexion ?

La Quadrature du Net, avec la Fédération des fournisseurs d’accès à internet associatifs, a déposé un recours devant le Conseil d’État demandant l’abrogation d’un décret d’application Hadopi des lois de 2009 mettant en place le mécanisme de « riposte graduée ». Ce mécanisme consiste en « un dispositif visant à assurer le respect du droit d’auteur sur internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction » (Hadopi, La réponse graduée), or la Cour de justice de l’Union européenne proscrit l’obligation faite aux fournisseurs de communications électroniques de conservation généralisée et indifférenciée des données de connexion. Les conclusions de l’avocat général dans cette affaire pendante devant la CJUE (concl. de l’avocat général M. Maciej Szpunar, La Quadrature du Net c. Premier ministre, Ministère de la Culture, aff. C-470/21, 27 oct. 2022) pointent d’une part les difficultés posées par la Cour elle-même pour l’identification des auteurs d’infractions en ligne et, d’autre part plaide pour l’autorisation de conservation et d’accès par une autorité publique indépendante aux données d’identité civile pour les infractions relevant de la protection du droit d’auteur et des droits voisins sur internet.

L’affaire au principal, la problématique liée aux adresses IP

Le Conseil d’État cherche à savoir en substance si l’interdiction de conservation des données de connexion s’applique également aux infractions de droit de propriété intellectuelle en ligne. En 2019, La Quadrature du Net et la Fédération des fournisseurs d’accès à internet associatifs attaquent le décret d’application (décr. n° 2010-236, 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ») des lois Hadopi de 2009 devant le Conseil d’État et demandent son abrogation. Ce décret met en place le mécanisme de « riposte graduée », celui-ci permet à l’Hadopi (depuis fusionnée avec le CSA pour devenir l’Arcom en 2021) de combiner l’adresse IP de l’auteur d’une infraction en ligne aux droits de propriété intellectuelle (par exemple le partage sans autorisation d’une musique ou d’un film) avec les données d’identité civile détenues par les fournisseurs de communications électroniques. Selon La Quadrature du Net, ce mécanisme est contraire au droit de l’Union européenne dans la mesure où la conservation généralisée et indifférenciée des données de connexion ne connaît d’exception que celle d’une menace à la sécurité nationale (v. C. Saillant, La CJUE et la conservation de masse des métadonnées, Dalloz actualité, 12 oct. 2022). Le Conseil d’État sursoit à statuer et se tourne vers la CJUE afin de savoir (i) si les données d’identité civile correspondant à une adresse IP font partie des données de trafic pour lesquelles un contrôle préalable par une juridiction ou une entité indépendante est requis ; (ii) s’il est contraire au droit de l’Union de...