Les États membres peuvent imposer aux fournisseurs d’accès à l'Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre des infractions pénales.
C'est ce qu'a jugé la Cour de Justice de l’UE, mardi 30 avril, dans l'affaire C-470/21 ayant pour objet une demande de décision préjudicielle présentée dans le cadre d’un litige opposant quatre associations françaises (La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network) aux autorités publiques françaises et portant sur l’interprétation de la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (2002/58/CE), modifiée par la directive 2009/136/CE.
Les associations souhaitaient l’annulation de décrets autorisant le traitement automatisé de données personnelles pour adresser des avertissements, prévus par le code de propriété intellectuelle, aux titulaires d’abonnements Internet afin de prévenir des atteintes aux droits d’auteur et droits voisins sur Internet.
Le Conseil d’État français avait fait valoir que le nombre des recommandations envoyées aux personnes concernées, suivant l’approche 'de réponse graduée', était considérable et que, pour mettre en œuvre l'approche, les agents de la commission de protection des droits de la Haute Autorité Hadopi devaient pouvoir recueillir de nombreuses données relatives à l’identité civile des utilisateurs concernés. De plus, soumettre ces recommandations à un contrôle préalable entraverait la mise en œuvre des recommandations.
Comme souvent, la Cour a suivi les conclusions de l’avocat général (EUROPE 13052/26, 13260/21), donnant ici raison aux autorités françaises et précisant certaines exigences liées aux modalités de conservation et aux conditions d’accès à ces données.
Ainsi, la Cour a jugé que le droit européen ne s’opposait pas à ce que les États membres imposent aux fournisseurs d’accès Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre des infractions pénales.
Les autorités peuvent prendre, le cas échéant, des mesures concernant les titulaires de ces adresses, à condition de garantir que leur conservation ne puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des données.
Enfin, les États membres peuvent, sous conditions, autoriser l’autorité compétente à accéder aux données d’identité civile liées à des adresses IP, à condition de garantir une séparation étanche des catégories de données.
Et si, dans certaines situations, les spécificités d’une procédure régissant cet accès peuvent permettre d’identifier des éléments précis sur la vie privée d'un individu concerné, l’accès doit être contrôlé ex ante par une juridiction ou administration indépendante.
Plus d'informations : https://aeur.eu/f/c0q (Émilie Vanderhulst)