Quel équilibre entre protection des données personnelles de communication et lutte contre les atteintes à la propriété intellectuelle ?
Richard Milchior, associé, le 4 janvier 2023
Article publié dans le n°610 du 7 décembre 2022 de la revue Option Droit & Affaires
L’arrêt de la Cour de Justice de l’Union européenne (CJUE) intervenu dans une nouvelle affaire lancée par La Quadrature du Net définira les possibilités effectives de lutter contre les atteintes en ligne à la propriété intellectuelle tout en respectant la liberté des internautes. Par Richard Milchior, associé, Herald.
Le combat pour la liberté des internautes continue . Les conclusions de l’avocat général Maciej Szpunar du 27 octobre dernier devant la Cour de Justice de l’Union européenne (CJUE) font le point sur l’arbitrage entre la protection des libertés individuelles des internautes et les possibilités pour des institutions telle l’Hadopi (qui certes n’existe plus sous ce nom) de protéger les titulaires de droits de propriété intellectuelle.
La Quadrature du Net et d’autres associations avaient demandé au Premier ministre d’abroger le décret du 5 mars 2010 autorisant l’accès à des données de connexion afin de permettre de réprimer les atteintes au droit d’auteur. Le refus implicite d’abrogation par le Premier ministre a été attaqué devant le Conseil d’Etat qui lui-même a interrogé la Cour de Justice à titre préjudiciel pour demander si diverses dispositions de la Charte mais également de la directive 2002/58 (directive vie privée et communications électroniques) s’opposaient à une réglementation nationale permettant l’accès par une autorité administrative chargée de la protection des droits d’auteur à des données d’identité civile correspondant à des adresses IP afin d’identifier les titulaires de ces adresses sans que cet accès soit subordonné à un contrôle préalable par une autorité administrative indépendante ou judiciaire.
L’avocat général a considéré que les questions préjudicielles ne visent que la question de la mise en relation de l’adresse IP avec l’identité civile des personnes, donnée qui selon le Conseil d’Etat serait de faible sensibilité. Cette question est indissociable de celle de la conservation des adresses IP par les fournisseurs de communication car l’accès aux données dépend de leur conservation préalable.
Les principes dégagés par la jurisprudence européenne Il rappelle que la Cour a déjà jugé que les principes gouvernant l’examen de la compatibilité avec le droit de l’Union de l’accès des autorités nationales à certaines données personnelles et celles de la conservation de ces données sont les mêmes et relève que la Cour a indiqué que l’accès aux données ne peut être octroyé que pour autant qu’elles aient été conservées d’une manière conforme à l’article 15, paragraphe 1, de la directive 2002/58 . Il ajoute que la Cour juge de façon constante que l’accès à des données relatives au trafic et à des données de localisation conservées par les fournisseurs en application d’une mesure prise au titre de cet article 15 doit s’effectuer dans le respect des conditions de la jurisprudence et ne peut en principe être justifié que par un objectif d’intérêt général pour lequel cette conservation était imposée aux fournisseurs.
Sur la base de ces principes, l’avocat général a ensuite rappelé la jurisprudence de la Cour et en est arrivé à constater qu’il y a une contradiction entre deux lignes de jurisprudence. La première n’autorise que de manière exceptionnelle la conservation des données, et ce afin de protéger la vie privée, les données personnelles et la liberté d’expression. Cette conservation est autorisée uniquement si certains objectifs sont poursuivis dont celui de lutter contre la criminalité grave.
La directive 2002/58 n’autorise une dérogation à l’interdiction de conservation indifférenciée des données de communication que lorsqu’une telle mesure est « nécessaire, appropriée et proportionnée au sein d’une société démocratique ». Dans le cadre de cette ligne de jurisprudence, il y a encore une distinction entre, d’une part, l’accès aux données qui fournissent des informations précises sur les communications en cause, et donc sur la vie privée pour lesquelles le régime de conservation est strict, et, d’autre part, les ingérences qui résultent de l’accès des données qui ne peuvent fournir toutes les informations que couplées à d’autres données. C’est ainsi le cas des
adresses IP qui sont parfois les seuls éléments permettant d’identifier la personne ayant commis une infraction.
Selon cette première ligne de jurisprudence, une mesure législative prévoyant une conservation généralisée et indifférenciée des adresses IP attribuée à la source d’une connexion n’est pas en principe contraire au droit de l’Union sous réserve de respecter les conditions matérielles et procédurales devant régir l’utilisation desdites données. Une telle ingérence n’est permise que pour lutter contre la criminalité grave et la prévention des menaces graves contre la sécurité publique.
La seconde ligne de jurisprudence autorise les Etats membres à prévoir l’obligation de divulguer des données à caractère personnel dans le cadre de poursuites civiles. L’avocat général mentionne que la violation des droits de propriété intellectuelle ne relève pas de la criminalité grave et que transmettre les adresses IP irait à l’encontre de la jurisprudence de la Cour interdisant la conservation des données personnelles. Il a donc proposé une solution mettant en balance les intérêts en présence en tenant compte du fait qu’interdire la conservation et la transmission des données en cause pourrait conduire à ce que toute une série d’infractions pénales ne puisse jamais faire l’objet de poursuites.
La recherche d’un équilibre
Il en est arrivé à proposer un aménagement de la jurisprudence à savoir que l’article 15, paragraphe 1, de la directive 2002/58 ne s’opposerait pas à des mesures de conservation généralisée et indifférenciée des adresses IP pour une période strictement nécessaire si cela constitue l’unique moyen d’investigation permettant l’identification d’une personne à laquelle cette adresse était attribuée au moment de l’infraction. Cette proposition lui paraît proportionnée en allant dans le sens de la poursuite d’un objectif d’intérêt général tout en étant limité à des hypothèses précises, à savoir les infractions pénales commises en ligne et ne pouvant être attribuées à un auteur que via l’identification de son adresse IP.
Selon la jurisprudence, une telle possibilité doit aussi être soumise « au strict respect des conditions matérielles et procédurales devant régir l’utilisation de ces données » et sous réserve qu’elle prévoie « des conditions de garantie stricte quant à l’exploitation de ces données » . Une telle garantie est en principe subordonnée à un contrôle préalable effectué par une juridiction ou entité administrative indépendante . L’avocat général relève que cette jurisprudence a été établie dans des circonstances impliquant des intrusions particulièrement graves dans la vie privée, or, en l’espèce, l’accès par l’Hadopi reste limité à mettre en relation les données civiles à l’adresse IP utilisée et au fichier consulté à un moment précis sans permettre de retracer le parcours de navigation de l’internaute ni d’en tirer des conclusions précises sur sa vie privée au-delà de la connaissance du fichier consulté au moment de l’infraction.
Enfin, cela ne concerne que les données de personnes s’étant livrées à des faits susceptibles de constituer une infraction à l’article L. 336-3 du CPI. L’accès est donc strictement limité à ce qui est nécessaire pour atteindre l’objectif poursuivi, à savoir la prévention, la recherche, la détection et la poursuite d’infraction pénale en ligne pour lesquelles l’adresse IP constitue le seul moyen d’investigation. Pour l’avocat général, il n’est donc pas nécessaire d’avoir ici un contrôle préalable de l’activité de l’Hadopi par une juridiction ou entité administrative indépendante.
Cette affaire concerne le décret du 5 mars 2010 dans sa version applicable en 2019. L’intégration de l’Hadopi dans l’Arcom et la modification du décret de 2010 par un décret du 24 décembre 2021 conduit à croire que l’arrêt qui sera rendu s’appliquera aussi au texte dans sa version actuelle. Si la Cour suit l’avocat général, la lutte contre les atteintes à la propriété intellectuelle en ligne tout en conservant une certaine protection de la vie privée et la liberté d’expression sera possible. L’arrêt à intervenir sera d’autant plus important qu’il pourra certainement s’appliquer dans le cadre de la lutte à venir contre les infractions liées au développement de technologies telles que la blockchain et les NFT. Dans le cas inverse, la bataille contre les infractions en ligne en matière de propriété intellectuelle sera extrêmement affaiblie.
1. Conclusions de l’avocat général Szpunar du 27/10/22 dans l’affaire C-470/21, La Quadrature du Net et autres/Premier Ministre et ministre de la Culture.
2. Arrêt du 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788).
3. Arrêt du 2 mars 2021, Prokuratuur, C-746/18.
4. Arrêt du 19 avril 2012, Bonnier Audio, C-461-10, EU:C:2012:219, du 4 mai 2017, Rigas satiskme, C-13/16, EU:C:2017:336, du 17 juin 2021, M.I.C.M, C-597/19, EU:C:2021:492, et du 29 janvier 2008, Promusicae, C-275/06, EU:C:2008:54.
5. Arrêt du 6 octobre 2020, La Quadrature du Net, C-511/18, EU:C:2020:791.
6. idem.
7. Arrêt du 21 décembre 2016, C-203/15, Telé 2, EU:C:2016:970 ; arrêt du 2 mars 2021, Prokuratuur, C-746/18.