Brèves juridiques

Conservation et accès aux données de connexion : un avocat général de la CJUE favorable à une exception à la jurisprudence de la Cour s’agissant des droits d’auteur

By 30 novembre 2022 No Comments

Les questions de la conservation et de l’accès aux données de connexion ne cessent de faire l’actualité.

On sait désormais que le droit de l’union européenne[1], d’une part, s’oppose, sauf en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité[2], d’autre part, n’autorise l’accès aux données de trafic et de localisation que si celui-ci est limité aux procédures concernant la lutte contre la criminalité grave et est soumis à un contrôle préalable d’une juridiction ou d’une autorité administrative indépendante.

On sait également que la Chambre criminelle de la Cour de cassation a fait application des principes dégagés par la CJUE et fixé le nouveau cadre interne en matière de conservation et d’accès aux données de connexion dans ses arrêts du 12 juillet 2022[3] ; principes dont elle a pu récemment déduire qu’une commission rogatoire rédigée en des termes généraux équivaut à une absence de contrôle préalable par une juridiction aux fins d’autorisation de l’accès aux données de trafic et de localisation.

Il se pourrait, à la lecture des conclusions de l’avocat général Maciej SZPUNAR publiées le 27 octobre 2022[4], que la jurisprudence de la Cour de justice de l’Union européenne (CJUE) soit aménagée selon la nature des droits en cause ou, plus vraisemblablement, selon le type d’infractions (en ligne ou non) et les moyens requis pour identifier le ou les auteurs.

En effet, saisie par le Conseil d’Etat de questions préjudicielles posées dans le cadre du recours formé par La Quadrature du Net, La Fédération des fournisseurs d’accès à internet associatifs, Franciliens.net et French Data Network, contre le refus du Premier ministre d’abroger le décret n° 2010-236 du 5 mars 2010[5], Monsieur Maciej SZPUNAR propose à la Cour, ni plus, ni moins, que de consacrer une première exception à sa jurisprudence relative à la conservation et à l’accès aux données de connexion.

Pour les requérants, le décret n° 2010-236 est contraire au droit européen dans la mesure où la « réponse graduée »[6] permet de recouper l’adresse IP de l’auteur d’une infraction et les données d’identité civiles alors que la Cour a précisément proscrit, sauf en cas de menace pour la sécurité nationale, la conservation généralisée et indifférenciée des données de connexion.

L’intérêt de cette affaire tient notamment à un risque que beaucoup de praticiens du droit ont évoqué et que la Conférence Nationale des Procureurs de la République avait relayé le 15 juillet 2022, même s’il s’agissait alors des réquisitions de téléphonie. Ce risque, c’est ici celui de ne pas pouvoir identifier les auteurs d’une infraction en ligne à défaut de conservation des adresses IP.

L’avocat général, Monsieur Maciej SZPUNAR, ne dit pas autre chose et évoque dans ses conclusions « Les limites de la jurisprudence relative à l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58 s’agissant de mesures visant la conservation des adresses IP attribuées à la source d’une connexion » et, plus spécifiquement, le « risque d’une impunité systémique pour les infractions constituées exclusivement en ligne ».

En effet, ainsi que le relève l’avocat général, dans le cas particulier d’une infraction commise en ligne, l’interdiction généralisée de la conservation des données de connexion « est la source de difficultés pratiques » :

« 78. (…)

Ainsi que le souligne la Cour elle-même, dans le cas d’une infraction commise exclusivement en ligne, l’adresse IP peut constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction.

  1. Pour autant, il me semble que cet élément n’est pas entièrement pris en compte dans la mise en balance des intérêts en cause. Dès lors que la Cour limite tout de même la possibilité de conservation des adresses IP au cadre de la lutte contre la criminalité grave, elle exclut dans le même temps que ces données puissent être conservées afin de lutter contre des infractions pénales en général, alors que certaines de ces infractions ne peuvent être prévenues, détectées ou sanctionnées que grâce auxdites données.
  2. En d’autres termes, la jurisprudence de la Cour pourrait conduire à priver les autorités nationales du seul moyen d’identification des auteurs d’infractions en ligne ne relevant toutefois pas de la criminalité grave, telles que les infractions aux droits de propriété intellectuelle. Il en résulterait de fait une impunité systémique pour les infractions commises exclusivement en ligne, au-delà d’ailleurs des seules infractions aux droits de propriété intellectuelle. Je songe notamment aux actes de diffamation commis en ligne. Le droit de l’Union prévoit certes des injonctions à l’encontre des intermédiaires dont les services sont utilisés pour la commission de telles infractions, mais il pourrait résulter de la jurisprudence de la Cour que les auteurs mêmes de ces actes pourraient n’être jamais poursuivis.
  3. Sauf à admettre que toute une série d’infractions pénales ne puisse jamais faire l’objet de poursuites, je suis d’avis que l’équilibre entre les différents intérêts en présence devrait faire l’objet d’une nouvelle analyse.
  4. Ces différentes considérations me conduisent à proposer à la Cour un certain aménagement de la jurisprudence relative aux mesures nationales visant la conservation des adresses IP interprétées à la lumière de l’article 15, paragraphe 1, de la directive 2002/58.»

L’aménagement proposé consiste à interpréter l’article 15, paragraphe 1, de la directive 2002/58 :

« comme ne s’opposant pas à des mesures prévoyant une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, aux fins d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales en ligne pour lesquelles l’adresse IP constitue le seul moyen d’investigation permettant l’identification de la personne[7] à laquelle cette adresse était attribuée au moment de la commission de l’infraction. »

Certains y verront une première entorse inacceptable à la protection de la vie privée. D’autres se satisferont, d’une part, que cet « aménagement » de la jurisprudence très stricte de la CJUE ne soit proposé que pour des infractions en ligne circonscrites aux atteintes à la propriété intellectuelles, d’autre part, que Monsieur Maciej SZPUNAR suggère que la notion de « criminalité grave » reçoive « une interprétation autonome »[8] et « ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l’article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave ».

Ceux qui restent demeureront inquiets de l’absence de définition de cette notion mais verront dans les conclusions de l’avocat général l’amorce d’un mouvement vers une interdiction de la conservation des données, voire de leur accès, qui serait à la carte et non plus indifférenciée ; et ce dans le seul objectif de permettre l’identification des auteurs d’infractions, que celles-ci relèvent ou non de la criminalité grave.

La réponse de la CJUE est très attendue et donnera un indice quant à sa possible évolution dans les mois et années à venir.

 

[1] CJUE, 6 octobre 2020, La Quadrature du Net e.a, French Data Network e.a, C- 511/18, C- 512/18, C- 520/18.

[2] Note explicative relative aux arrêts de la chambre criminelle du 12 juillet 2022 (pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652)

[3] Voir nos précédentes news, ici, ou encore .

[4] Conclusions de Monsieur Matiej SZPUNAR, avocat général, sur l’affaire C-470/21, CJUE, 27 octobre 2022.

[5] Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-23 du code de la propriété intellectuelle dénommé  » Système de gestion des mesures pour la protection des œuvres sur internet « .

[6] Le décret n° 2010-236 du 5 mars 2010 précise les conditions de mise en œuvre du dispositif dit de « réponse graduée » issu des lois Hadopi de 2009 (désormais à la disposition de l’ARCOM) ; dispositif « visant à assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ».

[7] Mis en gras et souligné par nos soins.

[8] Cf. point 74 des conclusions.