Saisi par La Quadrature du Net, French Data Network, Franciliens.net et la Fédération des fournisseurs d’accès à internet associatifs, le juge administratif annule partiellement le refus du gouvernement d’abroger le décret du 5 mars 2010 encadrant le traitement automatisé de données utilisé pour la protection des œuvres sur internet.
La décision ne supprime pas la réponse graduée. Mais elle impose de nouvelles garanties, directement tirées du droit de l’Union européenne, sur deux points sensibles : la conservation des adresses IP par les opérateurs et l’accès de l’ARCOM aux données permettant d’identifier un internaute, surtout lorsque celui-ci est visé pour la troisième fois.
Un long contentieux autour de l’adresse IP
L’affaire remonte à une demande d’abrogation du décret n° 2010-236 du 5 mars 2010, relatif au traitement automatisé de données intitulé « Système de gestion des mesures pour la protection des œuvres sur internet ». Ce dispositif permet à l’autorité chargée de la lutte contre le piratage de traiter des informations transmises par les ayants droit, notamment des adresses IP, afin d’identifier les abonnés concernés et de leur adresser des avertissements.
En 2021, le Conseil d’État avait déjà écarté plusieurs arguments des associations requérantes, mais avait sursis à statuer pour interroger la Cour de justice de l’Union européenne. La question centrale était simple : les données d’identité civile rattachées à une adresse IP peuvent-elles être recueillies par une autorité administrative sans contrôle préalable d’un juge ou d’une autorité indépendante ?
La CJUE a répondu le 30 avril 2024. Deux ans plus tard, le Conseil d’État applique cette grille d’analyse au droit français.
Ce que permet encore le droit européen
Le Conseil d’État commence par rappeler un point essentiel : le droit de l’Union n’interdit pas, par principe, la conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales. Mais cette conservation n’est possible que si elle ne permet pas de tirer des conclusions précises sur la vie privée des personnes concernées.
Pour cela, les données doivent être séparées de manière stricte. La décision exige des « règles claires et précises » garantissant une séparation « effectivement étanche » entre les différentes catégories de données : identité civile, adresses IP, données de trafic ou de localisation. Cette séparation doit être assurée par un dispositif informatique « sécurisé et fiable », et faire l’objet d’un contrôle régulier par une autorité publique distincte de celle qui demande l’accès aux données.
À LIRE – Réalité et désinformation : Philip K. Dick avait déjà écrit l’étude de l’Arcom
Autrement dit, l’adresse IP peut être conservée, mais pas dans n’importe quelles conditions. Ce que sanctionne ici le Conseil d’État, c’est l’absence d’un cadre légal suffisamment strict imposant ces garanties aux opérateurs.
Le point décisif : la troisième identification
La décision reprend ici le raisonnement européen : lorsque l’autorité met en relation, pour une même personne, des données d’identité avec des informations relatives aux œuvres concernées, elle peut être renseignée sur des aspects « y compris sensibles » de la vie privée.
Le juge rappelle donc plusieurs interdictions. Les agents ayant accès à ces données ne peuvent pas divulguer les informations sur les fichiers consultés, sauf pour saisir le ministère public. Ils ne peuvent pas non plus tracer le parcours de navigation des personnes concernées ni utiliser leurs adresses IP à d’autres fins que l’identification en vue d’éventuelles mesures.
La décision devient particulièrement importante au stade de la troisième occurrence. La réponse graduée fonctionne en plusieurs étapes : une première recommandation est envoyée à l’abonné, puis une seconde en cas de renouvellement dans un délai de six mois. Si de nouveaux faits sont constatés dans l’année suivant cette seconde recommandation, l’ARCOM peut engager la suite de la procédure, avec une possible transmission au procureur.
Or, pour le Conseil d’État, lorsque l’ARCOM veut accéder une troisième fois aux données d’identité d’une même personne, après deux recommandations, un contrôle préalable devient nécessaire. La décision souligne qu’aucune disposition française n’impose aujourd’hui à l’ARCOM de solliciter l’autorisation d’un juge ou d’une entité administrative indépendante avant ce troisième accès. C’est précisément ce défaut d’encadrement qui méconnaît le droit de l’Union européenne.
Le contrôle ne peut pas être purement automatique. Il doit être exercé, sauf urgence justifiée, par une juridiction ou une autorité administrative indépendante de l’ARCOM, capable d’agir « de manière objective et impartiale ».
Le décret de 2010 partiellement illégal
Le Conseil d’État estime que le gouvernement n’aurait pas dû laisser le décret de 2010 en l’état. Deux problèmes sont pointés. D’abord, le texte ne garantit pas que les données utilisées par l’ARCOM – notamment les adresses IP – aient été conservées par les opérateurs dans des conditions conformes au droit européen, qui impose une séparation stricte et sécurisée des informations personnelles.
Ensuite, il permet encore à l’autorité d’accéder, pour une troisième fois, à l’identité d’un internaute sans contrôle préalable d’un juge ou d’une autorité indépendante, alors même que cette étape peut révéler des éléments sensibles sur sa vie privée.
Dans ces conditions, le Conseil d’État annule le refus du gouvernement de modifier le décret et lui demande de corriger ces points pour le mettre en conformité avec le droit européen.
L’affaire elle-même remonte à une demande formulée en 2019, à l’époque où Édouard Philippe était Premier ministre. Depuis, plusieurs gouvernements se sont succédé. En pratique, cela ne change rien : ce n’est pas une personne qui est visée, mais l’État, représenté par le Premier ministre en tant qu’autorité chargée des textes réglementaires.
Les associations obtiennent gain de cause partiellement
La ministre de la Culture demandait que les effets de l’annulation soient différés de douze mois, le temps d’adopter les nouvelles dispositions nécessaires. Le Conseil d’État refuse. Il estime qu’aucune « nécessité impérieuse » ne justifie, à titre exceptionnel, de retarder les effets d’une annulation fondée sur la méconnaissance du droit de l’Union européenne. La correction du dispositif est donc exigée sans délai particulier. En revanche, le Conseil d’État ne prononce pas d’astreinte contre le Premier ministre.
La décision ne supprime pas la réponse graduée : l’ARCOM peut toujours identifier un internaute pour envoyer les deux premiers avertissements. En revanche, pour aller plus loin, elle devra vérifier que les données ont été conservées selon les règles européennes. Une exception est prévue en cas de criminalité grave, où ces exigences sont allégées.
Les associations requérantes n’obtiennent pas l’abrogation totale du décret, mais elles remportent une victoire importante sur les garanties entourant les données personnelles. L’État devra en outre verser 1000 € à chacune des quatre associations – La Quadrature du Net, French Data Network, Franciliens.net et la Fédération des fournisseurs d’accès à internet associatifs – au titre des frais de justice.
Quid du livre ?
Pour les ayants droit, l’enjeu est donc moins la disparition de la réponse graduée que son ralentissement possible. Côté piratage de livres, la portée de la décision doit être nuancée. La réponse graduée vise les atteintes au droit d’auteur commises sur internet, mais elle reste historiquement liée aux usages repérables par adresse IP, notamment les échanges en pair à pair.
Or une partie importante du piratage éditorial passe aujourd’hui par des sites de téléchargement direct, des bibliothèques pirates, des moteurs miroirs ou des plateformes étrangères, contre lesquels les éditeurs mobilisent plutôt des actions de blocage, de déréférencement ou de retrait de liens. Le SNE indique ainsi proposer à ses adhérents une solution mutualisée contre le piratage en ligne des livres numériques et des livres imprimés numérisés illégalement.
L’exemple de Z-Library illustre ce déplacement du terrain judiciaire. En septembre 2024, le tribunal judiciaire de Paris a ordonné le blocage d’une centaine de noms de domaine liés à cette bibliothèque pirate, à la demande du Syndicat national de l’édition. Le SNE avait déjà obtenu en 2022 le blocage de noms de domaine associés à la plateforme.
La France fortement touchée
Pour le piratage du livre, souvent diffus, internationalisé et organisé autour de sites miroirs, l’impact sera donc probablement indirect : il fragilise un outil historique de lutte contre le téléchargement illicite, mais ne remet pas en cause les procédures de blocage ou les actions engagées par les ayants droit contre des plateformes identifiées.
L’enjeu reste pourtant considérable pour l’édition. Le piratage mondial a représenté 216,3 milliards de visites sur des sites illicites en 2024 selon MUSO, en baisse globale de 5,7 %, mais le secteur de l’édition fait figure d’exception : les visites liées au piratage éditorial ont progressé de 4,3 %, pour atteindre 66,4 milliards. MUSO attribue notamment cette hausse au manga et à la fiction numérique, deux segments particulièrement exposés aux délais de traduction, aux séries longues et à la circulation rapide de versions non autorisées.
À LIRE – LibGen, Z-Library, Anna’s Archive… condamnés en Belgique pour piratage de livres
En France, cette pression est loin d’être marginale. Le pays figurait en 2024 parmi les territoires les plus touchés par le piratage éditorial, avec 2,06 milliards de visites sur des sites illégaux diffusant des livres numériques, soit 3,10 % du trafic mondial du secteur. La même source souligne que le manga représente plus de 70 % du piratage éditorial mondial, tandis que les romans, essais et formes littéraires plus traditionnelles demeurent beaucoup plus minoritaires.
Crédits illustration : Hasselqvist CC 0
Par Hocine BouhadjeraContact : hb@actualitte.com
Source:
actualitte.com
