Dans ses conclusions en réponse à trois questions préjudicielles posées par le Conseil d’État français à la Cour de justice de l'UE, l’avocat général Maciej Szpunar a donné raison, jeudi 27 octobre, aux autorités publiques françaises dans une affaire liée au traitement des données personnelles qui oppose quatre associations françaises (La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network) au Premier ministre français et au ministère français de la Culture.
Les quatre associations avaient demandé l’annulation d’un décret autorisant le traitement automatisé de données personnelles afin d’adresser des avertissements, prévus dans le code de la propriété intellectuelle, aux titulaires d’abonnements Internet dans le but de prévenir des atteintes aux droits d’auteur et droits voisins sur Internet et, plus précisément, de lutter contre l’infraction dite de « négligence caractérisée ».
Ces associations font valoir que ce décret autorise l’accès à des données de connexion de façon disproportionnée par rapport au niveau de gravité des infractions, sans contrôle préalable d’un juge ou d’une autorité présentant des garanties d’indépendance et d’impartialité comme le préconise la jurisprudence de la Cour (elles renvoient aux arrêts du 21 décembre 2016 C-203/15 et C-698/15).
Le Conseil d’État français relève que le volume des recommandations envoyées aux personnes concernées, en application de l’approche dite de « réponse graduée », est considérable, et que pour ce faire, les agents de la commission de protection des droits de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) doivent pouvoir recueillir un grand nombre de données relatives à l’identité civile des utilisateurs concernés. Le fait de soumettre ces recommandations à un contrôle préalable empêcherait la mise en œuvre des recommandations.
Dans ses conclusions, l’avocat général Szpunar propose à la Cour d'interpréter l’article 15(1) de la directive 2002/58/CE sur le traitement des données à caractère personnel, lu à la lumière des articles 7, 8 et 11 ainsi que l’article 52(1) de la Charte des droits fondamentaux de l’Union européenne comme suit.
Selon lui, l'article de la directive ne s’oppose pas, d'une part, à une règlementation nationale permettant la conservation, par des fournisseurs de services de télécommunications, de données (limitées à des données d’identité civile correspondant à des adresses IP) et, d’autre part, à l’accès à ces données par une autorité chargée de la protection des droits d’auteur et des droits voisins contre des atteintes commises sur Internet, quand bien même cet accès n'est pas subordonné à un contrôle préalable par une juridiction ou une entité administrative indépendante.
Cela, pour autant que ces données constituent le seul moyen d’investigation et d’identification de l’attribution de l’adresse au moment de la commission de l’infraction et pour une période limitée au strict nécessaire.
Lien vers les conclusions : https://aeur.eu/f/3tk (Émilie Vanderhulst)