L’accès aux données personnelles, un moyen de lutte contre les infractions en ligne ?

L’accès aux données personnelles, un moyen de lutte contre les infractions en ligne ?
⏱ Lecture 4 min

Par Haas Avocats

La Cour de justice de l’Union européenne est-elle sur le point d’assouplir sa jurisprudence sur l’accès aux données personnelles dans le cadre de la lutte contre les infractions en ligne ?

Le Premier avocat de la Cour de justice de l’Union européenne estime en effet, dans ses conclusions du 27 octobre dernier, qu’une autorité nationale, comme Hadopi, doit pouvoir accéder aux données d’identité civile couplées à des adresses IP, lorsqu’elles constituent le seul moyen d’investigation permettant d’identifier les personnes soupçonnées d’atteintes aux droits d’acteurs en ligne, et ce, sans qu’une autorisation préalable ne soit nécessaire.

Quelles modalités pour l’accès aux données personnelles dans le cadre de la protection des œuvres intellectuelles en ligne par HADOPI ?                                       

Aux fins de lutte contre l’infraction qualifiée de « négligence caractérisée », qui consiste pour une personne à ne pas empêcher que son accès à Internet serve à commettre des actes de contrefaçon, le Décret n°2010-695 du 25 juin 2010 prévoit un mécanisme de « riposte graduée » qui consiste, dans un premier temps, à l’envoi d’un avertissement à la personne titulaire de l’accès en question, et en cas d’échec, à la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction.

 

En août 2019, quatre associations françaises des droits et libertés sur Internet[1] ont saisi par requête le Conseil d’État, réclamant un contrôle préalable de l’accès aux données par un juge ou une autorité présentant des garanties d’indépendance et d’impartialité et visant ainsi à obtenir l’abrogation du décret du 5 mars 2010.

 

Selon ces associations, ce décret porterait notamment « une atteinte excessive aux droits garantis par la Constitution française ». Or, pour elles, le droit de l’Union européenne ne permet pas la conservation généralisée et indifférenciée des données de connexion uniquement dans le cadre d’une menace à la sécurité nationale.

 

Le Conseil d’État arguait, quant à lui, que la Haute Autorité pour la diffusion des œuvres et des protections des droits sur Internet (HADOPI) recueillait un nombre considérable de données et qu’un contrôle préalable rendrait impossible l’objectif de la mesure.

 

Le 30 juillet 2021, le Conseil d’État a donc déposé une demande de décision préjudicielle devant la Cour de justice de l’Union européenne aux fins de savoir :

 

  • Si les données civiles correspondant à une adresse IP font partie des données de trafic pour lesquelles un contrôle préalable est requis ;
  • Si cet accès sans contrôle est contraire au droit de l’Union ;
  • Et enfin, si un contrôle doit être mis en place, s’il peut être effectué par un service interne à l’organisme procédant au recueil des données.

Le Premier avocat général de la CJUE a présenté, le 27 octobre 2022, ses conclusions en réponse à ces questions.

Dans quelles mesures les autorités nationales doivent-elles pouvoir accéder aux données dans le cadre d’atteintes aux droits d’auteur sur Internet ?

À la lumière des conclusions du Premier avocat général de la CJUE, Maciek Szpunar, il ressort que :

L’accès aux données est possible s’il s’agit du seul moyen d’investigation

La Cour de justice de l’Union européenne, dans trois arrêts en date du 6 octobre 2020, avait statué que la conservation généralisée et indifférenciée des données de connexion ne peut être imposée aux opérateurs que pour des besoins de sécurité nationale ou de menaces graves. Une exception était en effet faite à des fins de lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, dans le respect des conditions imposées par le droit de l’Union.

 

Pourtant, selon l’avocat général Szpunar, le droit de l’Union ne s’oppose pas à ce que, pour une période temporellement limitée au strict nécessaire et aux fins d’assurer la prévention, la recherche, la détection et la poursuite d’infraction en ligne, soient adoptées des mesures prévoyant une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion si elles constituent le seul moyen d’investigation permettant l’identification de la personne à laquelle l’adresse était attribuée au moment de l’infraction.

 

Il ajoute que l’accès par Hadopi aux données d’identité civile couplées à une adresse IP est justifié par un objectif d’intérêt général et que cet accès doit alors être rendu possible.

Le contrôle préalable de l’accès aux données n’a pas nécessairement à être obligatoire

De plus, le Premier avocat général de la CJUE expose que le droit de l’Union n’impose pas l’existence d’un contrôle préalable à Hadopi pour l’accès aux données d’identité civile couplées aux adresses IP.

 

Cette absence d’autorisation préalable serait justifiée, dans un premier temps, par le fait que ledit accès reste limité à mettre en relation les données d’identité civile avec l’adresse IP utilisée et le fichier consulté à un moment précis.

 

Les autorités ne peuvent donc pas reconstruire le parcours de navigation de l’utilisateur, ni même accéder à des données précises sur la vie privée, au-delà de la connaissance du fichier précis consulté au moment de l’infraction.

 

Enfin, cet accès aux données est strictement limité à ce qui est nécessaire pour atteindre l’objectif poursuivi.

Vers un assouplissement de la jurisprudence européenne en matière d’accès aux données ?

Si les conclusions de l’avocat général ne lient pas la Cour, qui rendra sa décision à une date ultérieure, on peut apercevoir, à l’aune de ces raisonnements, une évolution de l’accès aux données personnelles dans le cadre d’investigation en ligne de la part de la CJUE.

 

L’avocat général semble vouloir dénoncer le piège que la CJUE s’est tendue en interdisant la conservation généralisée et indifférenciée des données de connexion.

 

L’interprétation de la jurisprudence pourrait, en effet, conduire à l’impunité systématique des infractions en ligne, notamment des atteintes aux droits de propriété intellectuelle qui ne font pas partie de la criminalité grave.

 

À travers ces conclusions du 27 octobre 2022, l’avocat général propose ainsi une exception à ces interdictions pour les infractions liées aux droits de propriété intellectuelle, à condition que cela constitue le seul moyen d’identification et que les exigences de proportionnalité soient respectées.

 

La décision de la CJUE permettra de clarifier sa position sur les moyens de lutte contre les infractions en ligne. Ces précisions sont attendues, comme en témoigne l’application par la Cour de cassation de la jurisprudence concernant l’accès aux données dans le cadre de la criminalité grave. En effet, l’absence de définition de ce qui est entendu par « criminalité grave » pouvant être considéré par les acteurs et justiciables comme un obstacle à la défense de leurs droits.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il assiste et défend les personnes physiques et morales dans le cadre de contentieux judiciaires et extrajudiciaires. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

[1] La Quadrature du Net, la Fédération des Fournisseurs d’accès à Internet associatifs, Franciliens.net, et French Data Network

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin