Le Conseil d’État juge non conforme au droit européen le dispositif de réponse graduée de l'Arcom
Le Conseil d’État a récemment remis en cause la conformité au droit de l’Union européenne du dispositif français de « réponse graduée », mis en œuvre pour lutter contre le piratage d’œuvres protégées sur internet. Ce dispositif, aujourd’hui géré par l’Arcom (qui a succédé à la Hadopi), repose sur une procédure en trois étapes : un premier avertissement adressé à l’abonné en cas de téléchargement illégal, un second en cas de récidive, puis, en cas de troisième manquement, la transmission du dossier au procureur de la République.
Pour identifier les personnes concernées, l’Arcom utilise des données personnelles, notamment les adresses IP fournies par des organismes de surveillance, qu’elle fait ensuite associer par les fournisseurs d’accès à internet à l’identité des abonnés. Ce traitement de données est encadré par un décret de 2010 (
Toutefois, ce dispositif a été contesté par plusieurs associations, qui estimaient qu’il portait atteinte au droit au respect de la vie privée garanti par le droit européen. Saisi du litige, le Conseil d’État a décidé en 2021 d’interroger la Cour de justice de l’Union européenne (CJUE) afin de clarifier les exigences applicables en matière de conservation et d’utilisation des données personnelles.
Dans sa réponse de 2024, la CJUE a admis que les États peuvent imposer aux opérateurs internet de conserver certaines données, comme les adresses IP et les informations d’identité, même pour des infractions qui ne sont pas particulièrement graves, comme le piratage. Cependant, elle a posé des conditions strictes : ces données doivent être conservées de manière « cloisonnée », c’est-à-dire séparées des autres données, afin de limiter les atteintes à la vie privée. De plus, lorsque les autorités procèdent à des recoupements entre différentes données (par exemple entre l’identité d’un abonné et les contenus piratés), ces opérations ne doivent pas permettre de tirer des conclusions trop précises sur la vie privée des individus.
La CJUE a notamment précisé qu’au-delà de deux recoupements de ce type pour une même personne, une autorisation préalable d’un juge ou d’une autorité indépendante est nécessaire.
S’appuyant sur cette interprétation, le Conseil d’État a jugé que le dispositif français actuel n’est pas conforme au droit européen. En effet, le décret de 2010 ne garantit pas que les données utilisées par l’Arcom sont effectivement conservées de manière cloisonnée par les opérateurs. De plus, il permet à l’Arcom d’effectuer un troisième recoupement de données sans autorisation préalable, ce qui est contraire aux exigences posées par la CJUE.
En conséquence, le Conseil d’État enjoint au Gouvernement de modifier le cadre réglementaire afin de le rendre conforme au droit de l’Union européenne.
Dans l’attente de cette réforme, il précise les conditions d’application du dispositif. Pour les infractions ordinaires, comme le piratage simple, l’Arcom ne peut demander l’identification d’un abonné que si les données ont été conservées conformément aux exigences européennes. En revanche, en cas d’infractions plus graves, comme la contrefaçon, cette vérification n’est pas exigée.
Enfin, l’Arcom peut toujours procéder à des recoupements de données sans autorisation pour les deux premières étapes de la réponse graduée (les avertissements), mais pas au-delà.
Ainsi, cette décision illustre la volonté du juge administratif de concilier la lutte contre le piratage avec la protection des données personnelles et du droit à la vie privée, en imposant un encadrement plus strict des pratiques de surveillance numérique.