Le Quotidien du 7 juillet 2021 : Données personnelles

[Brèves] Recueil des données personnelles des internautes par la Hadopi : le Conseil d'État interroge la CJUE

Réf. : CE 9° et 10° ch.-r., 5 juillet 2021, n° 433539, inédit au recueil Lebon (N° Lexbase : A30134YA)

Lecture: 4 min

N8221BY7

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Recueil des données personnelles des internautes par la Hadopi : le Conseil d'État interroge la CJUE. Lire en ligne : https://www.lexbase.fr/article-juridique/70110061-breves-recueil-des-donnees-personnelles-des-internautes-par-la-hadopi-le-conseil-detat-interroge-la-
Copier

par Marie-Lou Hardouin-Ayrinhac

le 07 Juillet 2021

► Avant de se prononcer sur le décret n° 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du Code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (N° Lexbase : L6093IGR), le Conseil d'État estime nécessaire de poser trois questions préjudicielles à la Cour de justice de l’Union européenne (CJUE), pour savoir notamment si la Directive européenne « Vie privée et communications » (Directive n° 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43) impose à la Hadopi d’obtenir, avant toute demande de données personnelles aux fournisseurs d’accès internet, l’autorisation d’une juridiction ou d’une entité administrative indépendante.

Contexte. La Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) peut obtenir auprès des fournisseurs d’accès à internet les données d’identité civile (identité, coordonnées électroniques, téléphoniques et postales) correspondant à une adresse IP, afin de lutter contre la reproduction et la diffusion illégale d’œuvres protégées par les droits d’auteurs. Elle utilise en effet ces données pour adresser aux auteurs de manquements une première puis, le cas échéant, une deuxième recommandation de respecter la loi, avant de saisir l’autorité judiciaire pour qu’elle engage des poursuites pénales si les manquements se poursuivent. Depuis 2009, la Hadopi a envoyé 12,7 millions de recommandations, dont 827 791 en 2019.

Procédure. Plusieurs associations engagées dans le domaine de la protection des données personnelles contestent devant le Conseil d'État le décret qui encadre ce recueil de données personnelles par la Hadopi.

Le Conseil d’État renvoie d’abord au Conseil constitutionnel une question prioritaire de constitutionnalité (QPC) sur la loi autorisant la Hadopi à obtenir ces informations. Par sa décision du 20 mai 2020, le Conseil constitutionnel valide les dispositions de la loi qui permettent à la Hadopi de recueillir l'identité et les coordonnées électroniques, téléphoniques et postales des auteurs des manquements (Cons. const., décision n° 2020-841 QPC, du 20 mai 2020 N° Lexbase : A83343LA ; lire F. Fajgenbaum et T. Lachacinski, Lexbase Affaires, juin 2020, n° 639 N° Lexbase : N3719BYE).

Le Conseil d’État doit désormais contrôler que le décret attaqué respecte le droit de l’Union européenne, et notamment la Directive « Vie privée et communications électroniques ». Ce contrôle pose une question d’interprétation de la Directive européenne sur les garanties qu’elle prévoit en matière d’accès des autorités aux données d’identité des utilisateurs d’internet. 

Questions préjudicielles. Le Conseil d'État estime nécessaire de poser les questions suivantes à la CJUE : 

  • Les données d’identité civile correspondant à une adresse IP sont-elles des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ?
  • S’il est répondu par l’affirmative à la première question, eu égard à la faible sensibilité des données concernées, une autorisation préalable d’une juridiction ou une entité administrative indépendante est-elle véritablement nécessaire, avant toute demande auprès d’un fournisseur ?
  • S’il est répondu par l’affirmative à la deuxième question, eu égard à la faible sensibilité des données concernées, le contrôle préalable des requêtes aux fournisseurs d’accès peut-il être notamment automatisé, sous la supervision d'un service interne à l’organisme (la Hadopi, ici) présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ?

Une fois que la CJUE aura statué sur ces questions, il reviendra au Conseil d’État d’en tirer les conséquences et de se prononcer sur le décret attaqué.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:478221

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus