ORDONNANCE DE LA COUR (assemblée plénière)
23 mars 2023 (*)
« Réattribution de l’affaire – Réouverture de la phase orale de la procédure »
Dans l’affaire C‑470/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Conseil d’État (France), par décision du 5 juillet 2021, parvenue à la Cour le 30 juillet 2021, dans la procédure
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
contre
Premier ministre,
Ministère de la Culture,
LA COUR (assemblée plénière),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice‑président, M. A. Arabadjiev, Mmes A. Prechal (rapporteure), K. Jürimäe, MM. C. Lycourgos, E. Regan, M. Safjan, P. G. Xuereb, Mme L. S. Rossi, M. D. Gratsias et Mme M. L. Arastey Sahún, présidents de chambre, MM. M. Ilešič, J.-C. Bonichot, T. von Danwitz, S. Rodin, F. Biltgen, N. Piçarra, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, Mme I. Ziemele, MM. J. Passer, M. Gavalec, Z. Csehi et Mme Spineanu‑Matei, juges,
avocat général : M. M. Szpunar,
greffier : M. A. Calot Escobar,
l’avocat général entendu,
rend la présente
Ordonnance
1 La demande de décision préjudicielle porte sur l’interprétation de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11), lue à la lumière de la charte des droits fondamentaux de l’Union européenne.
2 Cette demande a été présentée dans le cadre d’un litige opposant La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network au Premier ministre (France) et au ministre de la Culture (France) au sujet de la légalité du décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (JORF no 56, du 7 mars 2010, texte no 19), tel que modifié par le décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (JORF no 109, du 10 mai 2017, texte no 176).
3 Le 10 mai 2022, la Cour a décidé de renvoyer la présente affaire devant la grande chambre. Le 16 juin 2022, le gouvernement français a déposé des observations en réponse à des questions pour réponse écrite posées par la Cour. Une audience a eu lieu le 5 juillet 2022 et M. l’avocat général a présenté ses conclusions le 27 octobre 2022, la phase orale de la procédure ayant été ensuite clôturée.
4 À la demande de la grande chambre, présentée en application de l’article 60, paragraphe 3, du règlement de procédure de la Cour, cette dernière a décidé, le 7 mars 2023, de renvoyer la présente affaire à l’assemblée plénière.
5 Dès lors, conformément à l’article 83 du règlement de procédure, l’avocat général entendu, il y a lieu d’ordonner la réouverture de la phase orale de la procédure. Il y a lieu en outre, en application de l’article 24, second alinéa, du statut de la Cour de justice de l’Union européenne, d’inviter le Contrôleur européen de la protection des données (CEPD) ainsi que l’Agence de l’Union européenne pour la cybersécurité (ENISA) à participer à l’audience et à prendre position, lors de celle-ci, sur les réponses qui seront apportées aux questions pour réponse écrite figurant à l’annexe de la présente ordonnance.
Par ces motifs, la Cour (assemblée plénière) ordonne :
1) La phase orale de la procédure dans l’affaire C-470/21 est rouverte.
2) La date de l’audience de plaidoiries est fixée aux 15 et 16 mai 2023.
3) Les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne sont invités, chacun en ce qui le concerne, à répondre aux questions pour réponse écrite et orale figurant à l’annexe de la présente ordonnance.
4) Le Contrôleur européen de la protection des données (CEPD) et l’Agence de l’Union européenne pour la cybersécurité (ENISA) sont invités à participer à l’audience et à prendre position, lors de celle-ci, sur les réponses apportées aux questions pour réponse écrite figurant à l’annexe de la présente ordonnance.
5) Les dépens sont réservés.
Signatures
Annexe – Questions aux intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne
I. Questions pour réponse oraleA. Les intéressés sont invités à répondre lors de l’audience aux questions suivantes :
1) Quels éléments factuels et quels intérêts juridiques protégés convient-il de prendre en compte aux fins de l’appréciation de la gravité et de la licéité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte (1) résultant de la conservation, prévue par la législation nationale applicable, des données relatives à l’identité civile correspondant à des adresses IP aux fins de la lutte contre les contrefaçons commises en ligne ?
En particulier :
a) Est-il pertinent, aux fins de cette appréciation, que cette conservation puisse permettre à une autorité publique indépendante (en l’espèce la Hadopi (2), devenue l’ARCOM (3)) de mettre ces données en relation avec le contenu d’un fichier consulté par la personne concernée ?
b) Une ingérence telle que celle résultant de l’obligation de conserver l’ensemble des données relatives à l’identité civile correspondant à des adresses IP aux fins de la lutte contre les contrefaçons commises en ligne devrait-elle pouvoir être justifiée en tenant compte, notamment, des garanties entourant l’accès aux données ainsi conservées ?
2) Quels éléments factuels et quels intérêts juridiques protégés convient-il de prendre en compte aux fins de l’appréciation de la gravité et de la licéité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte résultant de l’accès, par la Hadopi, aux données relatives à l’identité civile correspondant à une adresse IP ?
En particulier :
a) Dans l’hypothèse où la Hadopi, notamment lorsqu’elle décide de saisir le procureur de la République de faits susceptibles de constituer une atteinte aux droits d’auteur ou aux droits voisins, prend connaissance du contenu des fichiers téléchargés, cette prise de connaissance est-elle susceptible de révéler des informations protégées par la liberté d’expression consacrée à l’article 11 de la Charte ainsi que, le cas échéant, des informations sensibles portant sur des caractéristiques protégées de l’utilisateur d’Internet visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679 (4) et à l’article 10 de la directive (UE) 2016/680 (5) ?
b) Quelle est l’éventuelle incidence sur cette gravité de la circonstance que la personne concernée a téléchargé le contenu en cause sur un réseau de pair à pair et doit-il être considéré qu’un utilisateur d’Internet qui télécharge un contenu sur un tel réseau rend son adresse IP accessible sur Internet ?
c) Est-il concevable, sur la base du régime d’accès institué par la législation nationale applicable, de tirer des conclusions très précises sur la vie privée des utilisateurs des réseaux de pair à pair, en ce qui concerne, par exemple, leurs orientations sexuelles ou leurs convictions politiques ou religieuses, notamment i) en procédant à un profilage de ces utilisateurs par un retraçage en tout ou en partie de leurs parcours de navigation et/ou ii) en se fondant sur le contenu du/des fichier(s) concerné(s) par l’atteinte au(x) droit(s) d’auteur ou au(x) droit(s) voisin(s) en cause ?
d) Les principes relatifs à l’accès aux données à caractère personnel s’appliquent-ils de manière différente selon qu’il s’agit de la lutte par la sphère privée contre les contrefaçons commises en ligne, telle qu’encadrée par les enseignements issus des arrêts du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), ou de la lutte par la sphère publique contre ces contrefaçons ?
3) Quelle incidence est susceptible d’avoir sur la licéité des traitements de données tels que ceux découlant du régime de droit national régissant la Hadopi, au regard de l’exigence de proportionnalité consacrée à l’article 15, paragraphe 1, de la directive 2002/58 (6), le fait que, dans le cas d’infractions commises exclusivement en ligne, telles que les contrefaçons que la Hadopi a pour mission de détecter et de prévenir, l’adresse IP peut constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 154) ? Qu’en est-il dans ce contexte d’autres types d’infractions commises en ligne et touchant principalement des intérêts privés, comme les discours de haine et les injures ou encore les menaces proférées sur Internet ?
4) Dans l’hypothèse où la conservation et l’accès aux données permettant d’identifier les titulaires d’adresses IP soupçonnés d’avoir commis une atteinte au droit d’auteur en ligne devraient être admis, en principe, dans une situation telle que celle en cause au principal, la jurisprudence de la Cour (7) selon laquelle un tel accès exige un contrôle préalable par une juridiction ou par une entité administrative indépendante ayant la qualité de tiers s’applique-t-elle, ou une telle exigence peut-elle (et, dans l’affirmative, dans quelle mesure) être aménagée en fonction d’une appréciation globale du système mis en place par la législation nationale régissant la Hadopi ?
Les éléments suivants présentent-ils une pertinence à cet égard :
a) la gravité de l’ingérence potentielle dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte découlant d’un tel accès, entre autres la possibilité ou non de tirer des conclusions très précises sur la vie privée du titulaire d’une adresse IP i) en retraçant en tout ou en partie le parcours de navigation de celui-ci et/ou ii) en se fondant sur le contenu du/des fichier(s) concerné(s) par l’atteinte au(x) droit(s) d’auteur ou au(x) droit(s) voisin(s) en cause ;
b) la possibilité, voire l’éventuelle nécessité de recourir à des dispositifs automatiques au regard de l’importance du nombre d’infractions en ligne considérées ;
c) les garanties institutionnelles ou procédurales offertes, le cas échéant, par l’autorité souhaitant accéder aux données en cause et, en particulier, le fait que cette autorité est elle‑même indépendante, et
d) la circonstance qu’une législation telle que celle en cause au principal vise à protéger le droit à la propriété consacré à l’article 17 de la Charte ?
B. Le gouvernement français est invité à répondre lors de l’audience aux questions suivantes en tenant compte de la législation nationale qui encadrait l’action de la Hadopi, en cause dans le litige au principal, et après avoir recueilli préalablement, le cas échéant, les informations nécessaires à cette réponse auprès de l’ARCOM :
1) Dans quelle mesure la Hadopi, notamment lorsqu’elle décide de saisir le procureur de la République de faits susceptibles de constituer une atteinte aux droits d’auteur ou aux droits voisins, prend-elle connaissance du contenu des fichiers téléchargés ?
2) Les adresses IP communiquées à la Hadopi par les organismes d’ayants droit sont‑elles uniquement relevées sur les réseaux de pair à pair ?
3) Les organismes d’ayants droit relèvent-ils et peuvent-ils techniquement relever les adresses IP de ceux qui se bornent à consulter un contenu protégé, sans le télécharger ?
4) Les adresses IP des utilisateurs d’Internet pratiquant la consultation en streaming de contenus protégés sont-elles également relevées ?
5) Les adresses IP transmises à la Hadopi sont-elles uniquement celles des utilisateurs d’Internet qui téléchargent des contenus protégés ou seulement celles des utilisateurs qui mettent ces contenus à la disposition d’autres utilisateurs ?
6) La Hadopi exerce-t-elle un contrôle sur les conditions dans lesquelles les adresses IP qui lui sont communiquées sont relevées par les organismes d’ayants droit ?
7) Selon quels critères cette autorité décide-t-elle d’adresser une première recommandation, puis une seconde, puis de saisir le procureur de la République ?
II. Questions pour réponse écrite
Les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne sont invités à répondre par écrit (maximum dix pages), dans un délai de trois semaines à partir de la réception de la présente ordonnance, délai de distance inclus, aux questions suivantes :
1) Eu égard à la jurisprudence de la Cour [arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 132 et 176, ainsi que du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 49 et jurisprudence citée] (8), quelles pourraient être les conditions matérielles et les conditions procédurales autres que le contrôle préalable visé à la question I, A, 4 devant entourer l’accès à des données relatives à l’identité civile correspondant à une adresse IP par une autorité publique indépendante telle que la Hadopi dans le cadre d’un système de traitement de données à caractère personnel essentiellement automatisé, compte tenu également du fait qu’un tel traitement automatisé comporte inévitablement un certain nombre de faux cas positifs ou négatifs ainsi que le risque qu’un nombre de données à caractère personnel potentiellement très élevé soit détourné par des tiers à des fins abusives ?
2) Sur un plan technique :
a) Est-il possible, dans l’hypothèse où un État membre impose aux opérateurs de services de communications électroniques la conservation, pour une certaine durée, des seules adresses IP, au titre d’une législation nationale spécifique telle que celle applicable à la Hadopi, tout en obligeant ces opérateurs, au titre d’une autre législation, à conserver, pour une certaine durée, tant les adresses IP que d’autres données de trafic et de localisation, ou en leur permettant de conserver ces autres données pour des raisons techniques ou de facturation, d’assurer « l’étanchéité » entre ces différents types de conservation ?
b) Est-il possible de restreindre le fonctionnement de la procédure administrative dans le cadre de laquelle une autorité publique indépendante telle que la Hadopi a accès à des adresses IP à une liste prédéterminée d’œuvres protégées par le droit d’auteur ou un droit voisin ou de fichiers dont elle entend poursuivre le téléchargement illégal, liste dont le contenu serait régulièrement mis à jour par une entité administrative indépendante de cette autorité ou soumis au contrôle préalable d’une instance indépendante ? Le recours à des techniques telles que la vérification de la présence de codes alphanumériques obtenus par la technique du « hachage numérique » ou « hashing » est-elle susceptible de permettre de recourir à une solution de cet ordre ?
c) Les adresses IP sont-elles en pratique conservées par les fournisseurs de services de communications électroniques, au titre des autorisations de stockage contenues aux articles 5 et 6 de la directive 2002/58, notamment pour des raisons techniques ou de facturation, et, dans l’affirmative, pour quelle durée ? Ces fournisseurs conservent-ils un « log » de tous les sites web consultés et disposent-ils donc d’un historique de ces consultations ?
d) Est-il techniquement possible d’accéder, à partir des seules adresses IP, à des données de trafic ou de localisation et, si tel est le cas, quelles sont ces données ? Et une adresse IP peut-elle être, ainsi, exploitée pour suivre ou retracer l’ensemble des activités en ligne effectuées sur l’appareil (par exemple un smartphone ou un ordinateur) auquel cette adresse a été assignée ?