L’avocat général de la Cour de justice de l’UE (CJUE) Maciej Szpunar a rendu, jeudi 28 septembre, ses deuxièmes conclusions sur l’affaire opposant La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network à la France. Il estime que la conservation et l’accès des données d’identité civile couplées à l’adresse IP correspondante devraient être permis lorsque cela constitue le seul moyen d’investigation permettant l’identification d’auteurs d’infractions commises exclusivement en ligne.
Un mécanisme de réponse gradué
En France, la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) assure le respect des droits d’auteur sur Internet. En cas d’atteintes répétées et après divers avertissements, elle peut saisir l’autorité judiciaire compétente pour entamer des poursuites pénales. Or, cela suppose que l’institution puisse identifier l’auteur du délit. Par conséquent, un décret l’autorise à demander aux opérateurs de communications électroniques de lui fournir les données d’identité d’un utilisateur lorsque son adresse IP est associée à un délit.
Alors que quatre associations de protection des données ont contesté ce décret en justice, le Conseil d’État français a demandé à la CJUE si ce mécanisme était compatible avec le droit de l’Union.
Une « solution nuancée dans des circonstances particulières »
Dans ses conclusions, l’avocat général défend que les fournisseurs de services de communication peuvent être tenus de conserver l’adresse IP et les données de l’utilisateur correspondant. Le droit de l’UE autorise également une autorité administrative chargée de la protection des droits d’auteurs sur Internet à y avoir accès.
En effet, il considère que l’adresse IP, l’identité de l’utilisateur et les informations relatives à l’œuvre en cause ne permettent pas d’établir le profil détaillé de la personne concernée ni de tirer des conclusions précises sur sa vie privée. Elles visent simplement à permettre à HADOPI d’identifier les auteurs soupçonnés et, le cas échéant, de prendre des mesures à leur égard.
Par ailleurs, pour M. Szpunar, il n’est pas nécessaire que cet accès soit subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante, dans la mesure où ces données sont le seul moyen d’investigation permettant l’identification de l’auteur présumé.
Il ajoute, enfin, que son analyse aboutit à une « solution nuancée dans des circonstances particulières et très étroitement circonscrites » et résulte d’une mise en équilibre entre les différents intérêts en présence. Elle ne change donc pas la jurisprudence de la Cour sur la conservation et l’accès à des données telles que les adresses IP couplées aux identités, mais l’affine pour éviter « une impunité systémique des infractions exclusivement commises en ligne ».
Il s’agit des deuxièmes conclusions de l’avocat général sur le sujet, alors que la CJUE a décidé de rouvrir l’affaire en mars 2023 (EUROPE 13052/26).
Les conclusions : https://aeur.eu/f/8sb (Hélène Seynaeve)