Données personnelles de connexion : un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI  

Par son arrêt du 5 juillet 2021, le Conseil d’Etat interroge la Cour de justice sur la nécessité ou non d’un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI aux données fournies par les opérateurs de communications électroniques.

A) Les questions préjudicielles à l’arrêt du 5 juillet 2021

  1. Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant
    2. S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ‘
    3. S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l’identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d’un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ‘

B) Ces questions préjudicielles interviennent après une décision du Conseil Constitutionnel !

En rouge les dispositions abrogées à compter du 31 décembre 2020 par la décision du Conseil Constitutionnel du 20 mai 2020, décision n° 2020_841 QPC du 20 mai 2020. On sait que le Conseil Constitutionnel n’est pas juge de la conformité des lois au droit de l’Union.

Article L331-21 du CPI

Pour l’exercice, par la commission de protection des droits, de ses attributions, la Haute Autorité dispose d’agents publics assermentés habilités par le président de la Haute Autorité dans des conditions fixées par un décret en Conseil d’Etat. Cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi.

Les membres de la commission de protection des droits et les agents mentionnés au premier alinéa reçoivent les saisines adressées à ladite commission dans les conditions prévues à l’article L. 331-24. Ils procèdent à l’examen des faits.

Ils peuvent, pour les nécessités de la procédure, obtenir tous documents, quel qu’en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques en application de l’article L. 34-1 du code des postes et des communications électroniques et les prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Ils peuvent également obtenir copie des documents mentionnés à l’alinéa précédent.

Ils peuvent, notamment, obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné dont l’accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.

Au CPI pour ces données communiquées par les opérateurs est prévu un traitement automatisé

Article L331-29

Est autorisée la création, par la Haute Autorité, d’un traitement automatisé de données à caractère personnel portant sur les personnes faisant l’objet d’une procédure dans le cadre de la présente sous-section.

Ce traitement a pour finalité la mise en œuvre, par la commission de protection des droits, des mesures prévues à la présente sous-section, de tous les actes de procédure afférents et des modalités de l’information des organismes de défense professionnelle et des organismes de gestion collective des éventuelles saisines de l’autorité judiciaire ainsi que des notifications prévues au cinquième alinéa de l’article L. 335-7.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent article. Il précise notamment :

― les catégories de données enregistrées et leur durée de conservation ;

― les destinataires habilités à recevoir communication de ces données, notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ;

― les conditions dans lesquelles les personnes intéressées peuvent exercer, auprès de la Haute Autorité, leur droit d’accès aux données les concernant conformément à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Et à la partie règlementaire du CPI une obligation de communication à la charge des opérateurs de communications électroniques est organisée par le décret du 5 mars 2020

Article R331-37

Les opérateurs de communications électroniques mentionnés à l‘article L. 34-1 du code des postes et des communications électroniques et les prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique sont tenus de communiquer, par une interconnexion au traitement automatisé de données à caractère personnel mentionné à l’article L. 331-29 ou par le recours à un support d’enregistrement assurant leur intégrité et leur sécurité, les données à caractère personnel et les informations mentionnées au 2° de l’annexe du décret n° 2010-236 du 5 mars 2010 dans un délai de huit jours suivant la transmission par la commission de protection des droits des données techniques nécessaires à l’identification de l’abonné dont l’accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.

Ces opérateurs et prestataires sont également tenus de fournir les documents et les copies des documents mentionnés aux troisième et quatrième alinéas de l’article L. 331-21 dans un délai de quinze jours suivant la demande qui leur en est faite par la commission de protection des droits.

Les opérateurs sont tenus d’adresser par voie électronique à l’abonné chacune des recommandations mentionnées respectivement au premier et au deuxième alinéa de l’article L. 331-25, dans un délai de vingt-quatre heures suivant sa transmission par la commission de protection des droits.

Différents associations ont demandé l’abrogation du décret mais sans succès, l’affaire est portée devant le Conseil d’Etat. L’arrêt est du 10 juillet 2021

C) Sur la conséquence de la décision du Conseil Constitutionnel

  1. Par sa décision n° 2020-841 QPC du 20 mai 2020, le Conseil constitutionnel a déclaré les troisième et quatrième alinéas de l’article L. 331-21 du code de la propriété intellectuelle cité au point 2, ainsi que le mot  » notamment  » figurant au cinquième alinéa du même article, contraires à la Constitution, en l’absence de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l’objectif de sauvegarde de la propriété intellectuelle. L’article 2 du dispositif de cette décision précise que la déclaration d’inconstitutionnalité prend effet dans les conditions prévues au paragraphe 21, qui prévoit qu’il  » y a lieu de reporter au 31 décembre 2020 la date de l’abrogation des dispositions contestées « . En revanche, le reste du dernier alinéa de l’article L. 331-21, qui permet à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet d’obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné est déclaré conforme à la Constitution.

D) Mais au regard des dispositions du droit de l’Union

La nécessité d’un contrôle préalable et indépendant posé par la Cour  de justice

  1. D’autre part, par son arrêt du 21 décembre 2016 Tele2 Sverige AB c/ Post-och telestyrelsen et Secretary of State for the Home Department c/ Tom Watson et autres (C 203/15 et C 698/15), la Cour de justice de l’Union européenne a dit pour droit que l’article 15 de la directive du 12 juillet 2002 devait :  » être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, (…) sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante « . Le point 120 de cet arrêt précise que  » Aux fins de garantir, en pratique, le plein respect de ces conditions, il est essentiel que l’accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales « . Si la Cour de justice n’a rappelé cette règle dans son arrêt du 6 octobre 2020 mentionné au point 14 qu’à propos du recueil en temps réel des données de connexion par les services de renseignement, elle a rappelé l’obligation d’un contrôle préalable de l’accès des autorités nationales aux données de connexion par une juridiction ou une autorité administrative indépendante dans son arrêt du 2 mars 2021 H.K. / Prokuratuur (C 746/18).

La situation au sein de l’HADOPI : l’importance des notifications et donc des données de connexion demandées aux opérateurs et nécessaires à la mission de service public

  1. Il ressort du rapport d’activité 2019 de la Hadopi que, depuis sa création en 2009, plus de 12.7 millions de recommandations ont été adressés aux titulaires d’abonnements en application de la procédure dite de  » réponse graduée «  détaillée au point 2, dont 827 791 recommandations au titre de la seule année 2019. Pour la mise en oeuvre de cette procédure, les agents de la commission de protection des droits de la Hadopi doivent pouvoir recueillir, chaque année, un nombre considérable de données relatives à l’identité civile des utilisateurs concernés. Le fait de soumettre ce recueil à un contrôle préalable risque ainsi de rendre impossible la mise en oeuvre des recommandations. Dans ces conditions, la question de savoir si les données d’identité civile correspondant à une adresse IP sont au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant soulève une difficulté d’interprétation du droit de l’Union européenne. S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ‘ S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l’identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d’un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ‘