Retour au 28 octobre 2009 : la loi Hadopi 2 ») vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi « Hadopi 1 »). Ensemble, ces deux lois créent la HADOPI (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de « riposte graduée ».

Avec ce système, l’objectif affiché par le gouvernement est le suivant : « assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Ou plutôt, comme nous le disions déjà à l’époque : permettre, sur la base de dénonciations d’acteurs privés, « la tenue de campagnes de traque, d’avertissements et de répression de masse ciblant les internautes partageant sur internet de la musique et des films sans autorisation ». Le tout fait suite à plusieurs mois de débats intenses au Parlement et devant le Conseil constitutionnel. Débats sur l’absurdité et les dangers de cette autorité pour nos libertés. Débats qui continueront après la création de la HADOPI et tout au long de ses années de fonctionnement (voir ici pour l’historique du dossier et la liste des articles publiés par LQDN sur le sujet).

Pour comprendre l’importance de notre recours et de la décision à venir du Conseil constitutionnel, il faut revenir sur le fonctionnement de cette « riposte graduée ».

  • Riposte graduée, comment ça marche ?

Comment fait la HADOPI pour retrouver une personne ayant partagé une œuvre ? La première étape consiste à collecter l’adresse IP des personnes qui partagent sur un réseau Peer-to-Peer une œuvre soumise à droit d’auteur (la HADOPI ne s’intéresse en effet qu’au partage d’œuvres par réseau Peer-to-Peer). Cette collecte n’est pas faite directement par la HADOPI mais par une entreprise privée, mandatée par les ayants droit (en site de l’autorité). L’étape qui nous intéresse pour notre action contentieuse est celle qui autorise la HADOPI à obtenir, auprès des opérateurs, le nom des personnes à partir des adresses IP. Ce pouvoir lui est donné par l’article L331-21 du code de la propriété intellectuelle.

C’est la constitutionnalité de cet article, qui donne aux « agents publics assermentés » de la HADOPI un accès aux données de connexion conservées par les fournisseurs d’accès à Internet, qui sera discuté, à notre demande, devant le Conseil constitutionnel. Comme on le voit, cette disposition est au centre de la « riposte graduée » de la HADOPI : sans elle, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et d’envoyer les mails d’avertissement.

Pour comprendre pourquoi cet article du code de la propriété intellectuelle risque une censure, il faut de nouveau revenir en arrière.

  •      La question de l’accès aux données de connexion

L’article L. 331-21 du code de la propriété intellectuelle fait directement référence aux articles du CPCE ( pour « code des postes et communications électroniques ») et la LCEN (pour « loi pour la confiance dans l’économie numérique ») qui organisent le régime français de conservation des données de connexion. En résumé, ce régime impose aux fournisseurs d’accès à Internet et aux hébergeurs Web de conserver pendant un an les données de connexion de l’ensemble de la population. Ce sont ces données qui permettent à la HADOPI d’identifier les personnes à partir de leur adresse IP.

Or, la Cour de Justice de l’Union européenne s’est, par deux arrêts de 2014 et 2016 (les arrêts dits « Digital Rights Ireland » et « Télé 2 Sverige AB »), opposée à un tel régime de conservation généralisée et indifférenciée des données de connexion. Elle a aussi considéré que l’accès par les autorités nationales à ces données de connexion devrait être limité « aux seules fins de lutte contre la criminalité grave », et « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ».

Bien entendu, le régime français de conservation des données, et les accès à ces données par certains agents de l’administration (dont la HADOPI) ne respectent nullement ces obligations (c’est d’ailleurs l’objet d’un autre de nos contentieux porté en ce moment devant la Cour de Justice de l’Union européenne qui tend à faire annuler les lois françaises relatives à de telles obligations de conservation).

En parallèle de ces arrêts de la Cour de Justice de l’Union européenne, le Conseil constitutionnel a commencé lui aussi, et dès 2015, à censurer des dispositions législatives sur le droit d’accès des agents de l’administration à ces données de connexion, en considérant notamment que ces accès n’étaient pas entourés des garanties propres à « assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ». C’est le cas donc en 2015 sur l’accès aux données de connexion pour les agents de l’Autorité de la concurrence. Même chose en 2017 pour la possibilité des agents de l’Autorité des marchés financiers de se faire communiquer les données de connexion. En février 2019 pour les douanes. Et en juin 2019 pour les agents des organismes de sécurité sociale.

Au fur et à mesure, le Conseil constitutionnel a donc dégagé une position claire et ferme quant à l’inconstitutionnalité des lois autorisant de tels accès aux métadonnées. La HADOPI, qui dispose d’un pouvoir d’accès semblable, devrait être la prochaine sur la liste.

  •        Hadopi et surveillance de masse

Du côté de La Quadrature du Net et des fournisseurs d’accès à Internet associatifs (FFDN, Franciliens.net et FDN) , la stratégie était du coup plutôt enthousiasmante, ces décisions ne laissant pas trop de doute quant à l'[il]légalité de la « riposte graduée » de la HADOPI. Nous sommes donc intervenus à plusieurs reprises devant le Conseil constitutionnel sur ses décisions citées plus haut concernant l’accès aux données de connexion, l’objectif étant de renforcer sa position sur les garanties à apporter à ces accès (voir notamment notre article de février 2019 sur la censure de l’article 65 du code des douanes).

Enfin, en août 2019, La Quadrature, avec FFDN, Franciliens.net et FDN, ont attaqué devant le Conseil d’État le décret n°2010-236 du 5 mars 2010, un des décrets d’application de loi « Hadopi 1 ». Et c’est dans le cadre de ce contentieux que nous en avons demandé au Conseil d’État de poser au Conseil constitutionnel une « question prioritaire de constitutionnalité » sur l’article L. 331-21 du code de propriété intellectuelle. Ce que le Conseil d’État a accepté de faire dans sa décision du 12 février.

Dans notre demande, nous rappelons les jurisprudences citées plus haut sur l’obligation de prévoir des garanties sur l’accès de l’administration aux données de connexion – et nous soulignons que ces garanties sont inexistantes pour la HADOPI (comme pour les autres autorités). Nous y rappelons surtout que, et contrairement à ce qu’exige l’Union européenne, il ne s’agit pas ici de criminalité grave. Au contraire, il ne s’agit, au sens du code pénal, ni d’un crime, ni même d’un délit, mais seulement d’une contravention. Plus précisément, il s’agit sanctionner le manquement à l’obligation de surveillance de son accès à Internet (c’est-à-dire de vérifier que celui-ci n’est pas utilisé pour du partage d’œuvres contraire au droit d’auteur).

Bref, autant de raisons qui nous laissent espérer que le Conseil constitutionnel prendra ici la même décision qu’il a déjà pris pour des cas semblables. Et, du même coup, mettre à mal un des rouages essentiels de la HADOPI en la privant de son pouvoir de surveillance de masse.

Car la « riposte graduée » de la HADOPI est un outil de surveillance de masse. Selon ses propres chiffres, la HADOPI a ainsi envoyé, rien qu’entre les mois de février et août 2019, 319 175 mails de 1er avertissement, ce qui correspond donc à 319 175 personnes identifiées. Or, un tel traitement massif ne peut justement fonctionner que parce que la HADOPI est fondée sur la surveillance massive de la population. En cas de décision en notre faveur du Conseil constitutionnel, il sera d’ailleurs bien difficile au gouvernement de corriger ou d’encadrer une telle pratique : en théorie, un juge pourrait autoriser l’identification de chacune des 300 000 personnes, une à une ; en pratique, cela semble impossible, alors mêmes qu’il s’agirait de la seule correction juridiquement valide.

  •  Interférences dans la loi audiovisuelle

Le timing de notre action n’est évidemment pas innocent : la jurisprudence étant claire depuis plusieurs années, nous aurions pu le faire avant, mais l’objectif est de peser dans les débats législatifs déjà en cours sur le projet de loi audiovisuel. Ce texte est en ce moment en discussion devant la commission des affaires culturelles de l’Assemblée nationale – il concerne de multiples sujets, de la transposition de la directive Copyright (voir notre dernier article sur cette directive), au blocage des sites miroirs en passant donc par la création d’une nouvelle autorité, résultat de la fusion entre le CSA et la HADOPI : l’ARCOM (pour « Autorité de régulation de la communication audiovisuelle et numérique »).

Or, les articles 22 (alinéa 20) et 25 de ce texte organisent justement le transfert des pouvoirs illégitimes de la HADOPI à la nouvelle ARCOM. Ces dispositions, comme d’autres du projet de loi (et sur lesquels nous reviendrons bientôt), doivent donc être supprimées pour que cette autorité, quel que soit son nom, respecte enfin le droit européen et la Constitution. Il sera d’ailleurs intéressant de suivre la réaction de l’actuel ministre de la Culture, Franck Riester, à la décision à venir du Conseil, lui qui porte aujourd’hui ce projet de loi et qui était il y a dix ans… rapporteur des lois HADOPI.

La décision à venir du Conseil constitutionnel pourrait être d’une importance majeure. Elle pourrait participer à la fin d’une autorité absurde et à la destruction de ses pouvoirs fondés sur la surveillance de masse. Elle pourrait aussi réparer l’erreur faite il y a dix ans : celle de refuser l’idée d’une contribution créative et de sanctionner les échanges non marchands d’oeuvres culturelles sur les réseaux P2P.