Victoire pour le piratage : l’action de l’Arcom est jugée illégale par le Conseil d’État, qu’est-ce que ça change ?

Le Conseil d’État a rendu son verdict et juge que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n'est pas légal. Il réclame une modification du système au gouvernement et à l'Arcom.

Quatre associations, dont La Quadrature du Net, avaient saisi le Conseil d’État pour contester le dispositif antipiratage mis en place par l'Hadopi, qui est depuis devenue l'Arcom. L'institution a enfin tranché et donné raison aux associations : le système de lutte contre le piratage actuellement en vigueur ne respecte pas le droit européen, est par conséquent illégal, et doit être revu.

La procédure dite de « réponse graduée » de l'Arcom est dans le viseur. Pour rappel, elle consiste en une échelle de sanctions progressives : au premier manquement constaté, un avertissement est adressé à l’abonné ; au deuxième, un nouvel avertissement ; au troisième, le dossier est transmis au procureur de la République. Mais celle-ci était accusée de violer les lois européennes sur la protection des données.

La réponse graduée de l'Arcom et la loi française ne sont pas conformes au droit de l'UE

Le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) le 5 juillet 2021 quant à l’interprétation à retenir de la directive vie privée et communications électroniques du 12 juillet 2002. La CJUE a répondu le 30 avril 2024 (il ne faut pas être pressé), déclarant que “les données en cause doivent être conservées de façon cloisonnée afin d’éviter les risques d’ingérences graves dans la vie privée des personnes par recoupement avec d’autres données conservées”.

Quelle que soit la gravité de l’infraction, “si une autorité publique nationale est autorisée à accéder à des données d’identité de personnes soupçonnées d’avoir commis des infractions, elle ne doit pas être en mesure de tirer des conclusions précises sur la vie privée des internautes”, a également précisé la CJUE. L'organisme est ainsi autorisé à mettre en relation les données d’identité d’un même abonné avec des informations sur le contenu d’œuvres qu’il aurait piratées deux fois, mais pas trois.

Il aura fallu pile deux ans au Conseil d'État pour prendre une décision suite à cette intervention de la CJUE. Ce 30 avril 2026, il a été officialisé que “le traitement de données doit être revu pour être conforme au droit de l’UE”. En effet, le mécanisme de réponse graduée utilisé par l'Arcom prévoit de recouper à trois reprises les données des utilisateurs.

Quelles conséquences à court terme ?

Le décret du 5 mars 2010, qui fixe les règles de traitement des données, ne respecte donc pas le droit de l’Union européenne et va devoir être modifié par le gouvernement. C'est sur lui que se base l'Arcom pour identifier les utilisateurs qui auraient eu recours au piratage d'œuvres protégées. L'Arcom devra par conséquent changer de stratégie.

Actuellement, la loi française “n’empêche pas l’Arcom de recevoir des données d’identité des opérateurs internet qui n’auraient pas été conservées de manière cloisonnée, comme l’exige le droit européen en matière de lutte contre des infractions pénales ne présentant pas une particulière gravité”. Elle autorise également l’Arcom à mettre en relation librement une troisième fois pour une même personne, les données d’identification des abonnés avec les informations sur les contenus piratés, ce qui ne doit pas être possible au sein de l'UE.

En attendant le vote d'un nouveau décret ou d'une nouvelle loi, l'Arcom est-elle pieds et poings liés en matière de lutte contre le piratage ? Elle a perdu du pouvoir, mais ne reste pas sans outils. “Dans le cas d’infractions pénales ne présentant pas une particulière gravité, l'Arcom ne peut demander aux opérateurs l'identification d'un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE”, fait savoir le Conseil d'État. Par contre, si des faits de criminalité grave lui sont signalés, comme un délit de contrefaçon, “l’Arcom peut demander une telle identification aux opérateurs de communications électroniques, sans avoir à vérifier que les données sont conservées de façon étanche”, est-il spécifié.

“Enfin, quelle que soit la gravité de l’infraction, l’Arcom peut continuer à croiser les données sur les contenus des œuvres avec les coordonnées personnelles des internautes, mais uniquement pour leur adresser les deux premiers avertissements de la réponse graduée”, apprend-on. L'Arcom pourrait-elle supprimer un avertissement et saisir le procureur de la République dès la deuxième infraction constatée, ce qui la ferait rentrer dans les clous et rendrait son action plus sévère ? Rendez-vous dans les semaines ou mois à venir pour le savoir.