Surveillance généralisée : Hadopi devant la Cour de Justice de l'UE
Face aux juges de la Cour de justice de l'Union européenne, l’organisation La Quadrature du Net a tenté de faire valoir mardi que l'ancienne autorité de régulation française des services audiovisuels Hadopi a commis des actions de surveillance contraires au droit européen.
Face aux juges de la Cour de justice de l’Union européenne, l’organisation La Quadrature du Net a tenté de faire valoir mardi (16 mai) que l’ancienne autorité de régulation française des services audiovisuels Hadopi a commis des actions de surveillance contraires au droit européen. Les conclusions de la Cour, attendues pour fin 2023, pourraient avoir des conséquences sérieuses pour les États membres.
L’association française de défense et promotion des droits sur internet, La Quadrature du Net, a attaqué le cadre législatif français, qui, dans le but de protéger les droits d’auteur, conserve des bases de données sensibles à grande échelle.
Une pratique que l’association estime contraire au règlement général sur la protection des données (RGPD) et la directive européenne ePrivacy, qui vise notamment à protéger les données personnelles dans le cadre de communications électroniques.
En octobre 2022, l’opinion de l’avocat général, Maciej Szpunar, n’avait pas convaincu les juges de la Cour réunis en Grande Chambre, tant il remettait en question 10 ans de jurisprudence sur les droits et libertés numériques. Les 15 juges de la Grande Chambre ont décidé de porter le cas à l’assemblée plénière et ses 27 juges, une première pour un cas de droits numériques.
10 ans de jurisprudence
Depuis l’arrêt du Digital Rights Ireland de la Grande Chambre de la CJUE de 2014 concernant la conservation de données de services de communications numériques, il existe une jurisprudence européenne qui rappelle que la surveillance généralisée de la population est interdite.
En 2020, suite à une saisine de la Quadrature du Net, la Cour a répété son interdiction à la conservation de ces données, tout en ajoutant que pour des cas de « criminalité grave », comme les cas de terrorisme ou de crime organisé, les autorités nationales seraient exceptionnellement autorisées à les conserver à grande échelle sur un temps limité.
Il reste que la « criminalité grave » est un concept qu’il n’appartient pas à la CJUE de définir. Ses prérogatives se limitant à dire le droit, ce sont aux États membres de juger à partir de leurs propres bases légales, ce qui relève de la « criminalité grave ».
Interrogé par EURACTIV France, Benjamin Bayart, co-fondateur de La Quadrature du Net, déplore que « les États membres puissent chacun utiliser leur propre interprétation de ce qui relève de la « criminalité grave ». Cela donne lieu à des cas de surveillance trop divers. Il est nécessaire d’avoir une norme d’interprétation commune. »
Dans ce « cas Hadopi », l’association souhaite donc dépasser l’enjeu « franco-français » pour faire émerger ce que M. Bayart définit comme « des sujets sérieux », c’est-à-dire « la surveillance généralisée de la population dans des États démocratiques ».
En effet, l’ex-agence de régulation Hadopi, devenue CSA puis Arcom, a accès aux adresses IP de millions d’utilisateurs. Or, de telles adresses sont considérées comme des données sensibles, car elles permettent de retracer des comportements d’utilisateurs.
Selon FranceInter, entre 2009 et 2021, Hadopi s’était pourtant servi de ces fichiers d’adresses afin d’envoyer plus de 14 millions de lettres d’avertissements à des utilisateurs qui avaient enfreint les droits d’auteur sur internet, ce qui correspondait à 11 % des internautes français.
Polémique sur le retournement de la jurisprudence
L’analyse de l’association a d’ailleurs été reprise par l’avocat général M. Szpunar. Il a confirmé dans son opinion d’octobre 2022 que les adresses IP étaient effectivement des données sensibles.
Cependant, il a suggéré un retournement de la jurisprudence européenne en proposant que la rétention généralisée et indiscriminée de ces données puisse être tolérée si tant est qu’il s’agisse de l’unique manière d’identifier les utilisateurs fraudeurs.
Cette conclusion, qui va à l’encontre de presque 10 ans de jurisprudence européenne, n’a pas convaincu les juges de la Grande Chambre, qui se réunissaient à nouveau mardi en assemblée plénière.
M. Bayart exprime à ce propos qu’il « comprend l’argument policier qu’il est plus simple de se battre contre la délinquance en surveillant tout le monde », mais souligne que légalement, c’est décision « n’est pas conforme à la Charte des droits fondamentaux de l’UE ».
M. Bayart espère une confirmation de la jurisprudence de la CJUE, qui pourrait, en jugeant le cas Hadopi comme relevant où non de la « criminalité grave », « poser de facto les fondations d’une norme d’interprétation commune. »
L’opinion de l’avocat général est attendue pour le 28 septembre 2023 et le jugement de la Cour pour la fin d’année.
[Édité par Théo Bourgery-Gonse]
