Language of document : ECLI:EU:C:2024:370

Affaire C470/21

La Quadrature du Net
et
Fédération des fournisseurs d’accès à Internet associatifs
et
Franciliens.net et French Data Network

contre

Premier ministre
et
Ministère de la Culture

[demande de décision préjudicielle, introduite par Conseil d’État (France)]

 Arrêt de la Cour (assemblée plénière) du 30 avril 2024

« Renvoi préjudiciel – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58/CE – Confidentialité des communications électroniques – Protection – Article 5 et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 et article 52, paragraphe 1 – Législation nationale visant à combattre, par l’action d’une autorité publique, les contrefaçons commises sur Internet – Procédure dite de “réponse graduée” – Collecte en amont par des organismes d’ayants droit des adresses IP utilisées pour des activités portant atteinte aux droits d’auteur ou aux droits voisins – Accès en aval de l’autorité publique chargée de la protection des droits d’auteur et des droits voisins à des données relatives à l’identité civile correspondant à ces adresses IP conservées par les fournisseurs de services de communications électroniques – Traitement automatisé – Exigence d’un contrôle préalable par une juridiction ou une entité administrative indépendante – Conditions matérielles et procédurales – Garanties contre les risques d’abus ainsi que contre tout accès à ces données et toute utilisation illicites de celles-ci  »

1.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de traitement de données à caractère personnel – Collecte, par des organismes d’ayants droit, des adresses IP d’utilisateurs d’un réseau de pair à pair aux fins de leur utilisation dans des procédures administratives ou juridictionnelles – Inclusion

[Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 2, et 6, § 1, 1er al., f)]

(voir points 54, 60-62)

2.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Champ d’application – Mise en correspondance, par les fournisseurs de services de communications électroniques, des adresses IP collectées avec les titulaires desdites adresses, aux fins d’utilisation de ces données dans des procédures administratives ou juridictionnelles – Inclusion

(Directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 3)

(voir points 55, 63)

3.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives à l’identité civile correspondant à des adresses IP – Objectif de lutte contre les infractions pénales en général – Admissibilité – Conditions – Obligation d’un État membre de prévoir des exigences strictes relatives aux modalités de conservation desdites données

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

(voir points 65-70, 73-93)

4.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale permettant à une autorité publique d’accéder aux données relatives à l’identité civile correspondant à des adresses IP – Réglementation visant à combattre les atteintes aux droits d’auteur et aux droits voisins commises sur Internet – Admissibilité – Conditions

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

(voir points 95-104, 110-114, 116-119, 122, 164 et disp.)

5.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale permettant à une autorité publique d’accéder aux données relatives à l’identité civile correspondant à des adresses IP – Réglementation visant à combattre les atteintes aux droits d’auteur et aux droits voisins commises sur Internet – Exigence d’un contrôle préalablement à l’accès auxdites données effectué par une juridiction ou une entité administrative indépendante – Portée – Modalités dudit contrôle préalable

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

(voir points 124-143, 145, 146, 148-151, 164 et disp.)

6.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale – Directive 2016/680 – Champ d’application – Notion d’autorité publique – Autorité nationale sans pouvoirs décisionnels chargée d’avertir les personnes soupçonnées d’avoir commis des infractions pénales – Inclusion – Applicabilité des garanties matérielles et procédurales

(Directive du Parlement européen et du Conseil 2016/680, art. 3)

(voir points 157-163)

Résumé

Ces dernières années, la Cour a été appelée, à plusieurs reprises, à se prononcer sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques et a établi, par conséquent, une riche jurisprudence en la matière (1). Saisie à titre préjudiciel par le Conseil d’État (France), l’assemblée plénière de la Cour développe cette jurisprudence en apportant des précisions concernant, d’une part, les conditions dans lesquelles une conservation généralisée d’adresses IP par des fournisseurs de services de communications électroniques peut ne pas être regardée comme entraînant une ingérence grave dans les droits au respect de la vie privée, à la protection des données à caractère personnel ainsi qu’à la liberté d’expression garantis par la Charte (2), ainsi que, d’autre part, la possibilité, pour une autorité publique, d’accéder à certaines données à caractère personnel conservées dans le respect de telles conditions, dans le cadre de la lutte contre les infractions aux droits de propriété intellectuelle commises en ligne.

En l’occurrence, quatre associations ont présenté au Premier ministre (France) une demande d’abrogation du décret relatif au traitement automatisé de données à caractère personnel (3). Cette demande n’ayant pas été suivie d’effet, ces associations ont saisi le Conseil d’État d’un recours tendant à l’annulation de cette décision implicite de rejet. Selon elles, ce décret ainsi que les dispositions qui en constituent la base légale (4) méconnaissent le droit de l’Union.

En vertu de la législation française, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi), afin de pouvoir identifier les responsables d’atteintes aux droits d’auteur ou aux droits voisins commises en ligne, est autorisée à accéder à certaines données que les fournisseurs de services de communications électroniques sont tenus de conserver. Ces données portent sur l’identité civile d’une personne concernée correspondant à son adresse IP collectée préalablement par des organismes d’ayants droit. Une fois que le titulaire de l’adresse IP utilisée pour des activités portant une telle atteinte est identifié, la Hadopi suit la procédure dite de « réponse graduée ». Concrètement, elle est habilitée à envoyer, à cette personne, deux recommandations qui s’apparentent à des avertissements et, si les activités persistent, une lettre lui notifiant que ses activités sont susceptibles de poursuites pénales. Enfin, elle est en droit de saisir le ministère public en vue de la poursuite de ladite personne (5).

Dans ce contexte, le Conseil d’État a interrogé la Cour sur l’interprétation de la directive « vie privée et communications électroniques », lue à la lumière de la Charte (6).

Appréciation de la Cour

En premier lieu, s’agissant de la conservation des données relatives à l’identité civile et des adresses IP correspondantes, la Cour souligne que toute conservation généralisée et indifférenciée des adresses IP ne constitue pas nécessairement une ingérence grave dans les droits au respect de la vie privée, à la protection des données à caractère personnel ainsi qu’à la liberté d’expression garantis par la Charte.

L’obligation d’assurer une telle conservation peut être justifiée par l’objectif de la lutte contre les infractions pénales en général, lorsqu’il est effectivement exclu que cette conservation puisse engendrer des ingérences graves dans la vie privée de la personne concernée en raison de la possibilité de tirer des conclusions précises sur celle-ci moyennant, notamment, une mise en relation de ces adresses IP avec un ensemble de données de trafic ou de localisation.

Partant, un État membre qui entend imposer aux fournisseurs de services de communications électroniques une telle obligation doit s’assurer que les modalités de conservation de ces données excluent que puissent être tirées des conclusions précises sur la vie privée des personnes concernées.

La Cour précise que les modalités de conservation doivent, à cet effet, concerner la structure même de la conservation qui, en substance, doit être organisée de manière à garantir une séparation effectivement étanche des différentes catégories de données conservées. Ainsi, les règles nationales relatives à ces modalités doivent assurer que chaque catégorie de données, y compris les données relatives à l’identité civile et les adresses IP, est conservée de manière pleinement séparée des autres catégories de données conservées et que cette séparation est effectivement étanche, moyennant un dispositif informatique sécurisé et fiable. De plus, dans la mesure où ces règles prévoient la possibilité d’une mise en relation des adresses IP conservées avec l’identité civile de la personne concernée à des fins de lutte contre des infractions, elles ne doivent permettre une telle mise en relation que par l’usage d’un procédé technique performant ne remettant pas en cause l’efficacité de la séparation étanche de ces catégories de données. La fiabilité de cette séparation doit faire l’objet d’un contrôle régulier par une autorité publique tierce. Pour autant que la législation nationale applicable prévoit de telles exigences strictes, l’ingérence résultant de cette conservation des adresses IP ne saurait être qualifiée de « grave ».

Dès lors, la Cour conclut que, en présence d’un dispositif législatif garantissant qu’aucune combinaison de données ne permettra de tirer des conclusions précises sur la vie privée des personnes dont les données sont conservées, la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas à ce qu’un État membre impose une obligation de conservation généralisée et indifférenciée des adresses IP, pour une durée ne dépassant pas le strict nécessaire, aux fins d’un objectif de lutte contre les infractions pénales en général.

En deuxième lieu, en ce qui concerne l’accès à des données relatives à l’identité civile correspondant à des adresses IP, la Cour dit pour droit que la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas, en principe, à une réglementation nationale permettant l’accès, par une autorité publique, à ces données conservées par les fournisseurs de services de communications électroniques de manière séparée et effectivement étanche, à la seule fin que cette autorité puisse identifier les titulaires de ces adresses soupçonnés d’être responsables d’atteintes aux droits d’auteur et aux droits voisins sur Internet et prendre des mesures à leur égard. Dans un tel cas, la réglementation nationale doit interdire aux agents disposant d’un tel accès, premièrement, de divulguer sous quelque forme que ce soit des informations sur le contenu des fichiers consultés par ces titulaires, sauf aux seules fins de saisir le ministère public, deuxièmement, d’effectuer tout traçage du parcours de navigation de ces titulaires et, troisièmement, d’utiliser ces adresses IP à des fins autres que celle de l’adoption de ces mesures.

Dans ce contexte, la Cour rappelle notamment que, même si la liberté d’expression et la confidentialité des données à caractère personnel sont des préoccupations primordiales, ces droits fondamentaux ne sont pas pour autant absolus. En effet, dans le cadre d’une mise en balance des droits et intérêts en cause, ceux-ci doivent parfois s’effacer devant d’autres droits fondamentaux et des impératifs d’intérêt général tels que la défense de l’ordre public et la prévention des infractions pénales ou la protection des droits et libertés d’autrui. Tel est, en particulier, le cas lorsque la prépondérance accordée auxdites préoccupations primordiales est de nature à entraver l’efficacité d’une enquête pénale, notamment en rendant impossible ou excessivement difficiles l’identification effective de l’auteur d’une infraction pénale et l’imposition d’une sanction à son égard.

Dans ce même contexte, la Cour se réfère également à sa jurisprudence selon laquelle, s’agissant de la lutte contre les infractions pénales portant atteinte aux droits d’auteur ou aux droits voisins commises en ligne, la circonstance que l’accès aux adresses IP peut constituer le seul moyen d’investigation permettant l’identification de la personne concernée tend à établir que la conservation de ces adresses et l’accès à celles-ci sont strictement nécessaires à la réalisation de l’objectif poursuivi et répondent donc à l’exigence de proportionnalité. Ne pas permettre un tel accès comporterait d’ailleurs un réel risque d’impunité systémique d’infractions pénales commises en ligne ou dont la commission ou la préparation est facilitée par les caractéristiques propres à Internet. Or, l’existence d’un tel risque constitue une circonstance pertinente afin d’apprécier, dans le cadre d’une mise en balance des différents droits et intérêts en présence, si une ingérence dans les droits au respect de la vie privée, à la protection des données personnelles ainsi qu’à la liberté d’expression est une mesure proportionnée au regard de l’objectif de lutte contre les infractions pénales.

En troisième lieu, en se prononçant sur le point de savoir si l’accès de l’autorité publique à des données relatives à l’identité civile correspondant à une adresse IP doit être subordonné à un contrôle préalable par une juridiction ou une entité administrative indépendante, la Cour considère que l’exigence d’un tel contrôle s’impose lorsque, dans le contexte d’une réglementation nationale, cet accès comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée en ce sens qu’il pourrait permettre à cette autorité publique de tirer des conclusions précises sur la vie privée de cette personne et, le cas échéant, d’établir son profil détaillé. Inversement, cette exigence d’un contrôle préalable n’a pas vocation à s’appliquer lorsque l’ingérence dans les droits fondamentaux ne peut être qualifiée de grave.

À cet égard, la Cour précise que, dans le cas où un dispositif de conservation garantissant une séparation effectivement étanche des différentes catégories de données conservées est mis en place, l’accès de l’autorité publique aux données relatives à l’identité civile correspondant aux adresses IP n’est, en principe, pas subordonné à l’exigence d’un contrôle préalable. En effet, un tel accès à seule fin d’identifier le titulaire d’une adresse IP ne constitue pas, en règle générale, une ingérence grave dans les droits susvisés.

Toutefois, la Cour n’exclut pas que, dans des situations atypiques, un risque existe que, dans le cadre d’une procédure telle que la procédure de réponse graduée en cause au principal, l’autorité publique puisse tirer des conclusions précises sur la vie privée de la personne concernée, notamment lorsque cette personne se livre à des activités portant atteinte aux droits d’auteur ou aux droits voisins, sur des réseaux de pair à pair, de manière répétée, voire à grande échelle, en lien avec des œuvres protégées de types particuliers, révélant des informations, le cas échéant sensibles, sur la vie privée de ladite personne.

En l’occurrence, un titulaire d’une adresse IP peut être particulièrement exposé à un tel risque lorsque l’autorité publique est appelée à décider de saisir ou non le ministère public en vue de sa poursuite. En effet, l’intensité de l’atteinte au droit au respect de la vie privée est susceptible de croître au fur et à mesure que la procédure de réponse graduée, qui opère selon un processus séquentiel, parcourt les différentes étapes qui la composent. L’accès de l’autorité compétente à l’ensemble des données relatives à la personne concernée et cumulées au cours des différentes étapes de cette procédure peut permettre de tirer des conclusions précises sur la vie privée de celle-ci. Par conséquent, la réglementation nationale doit prévoir un contrôle préalable qui doit intervenir avant que l’autorité publique puisse mettre en relation des données d’identité civile et un tel ensemble de données, et avant l’éventuel envoi de la lettre de notification constatant que cette personne s’est livrée à des faits susceptibles de poursuites pénales. Ce contrôle doit par ailleurs préserver l’efficacité de la procédure de réponse graduée en permettant en particulier d’identifier les cas de nouvelle réitération possible du comportement infractionnel en cause. À cette fin, cette procédure doit être organisée et structurée de manière à ce que les données d’identité civile d’une personne correspondant à des adresses IP préalablement collectées sur Internet ne soient pas automatiquement susceptibles d’être mises en relation, par les personnes chargées de l’examen des faits au sein de l’autorité publique compétente, avec des éléments dont cette dernière dispose déjà et qui pourraient permettre de tirer des conclusions précises sur la vie privée de cette personne.

En outre, s’agissant de l’objet du contrôle préalable, la Cour relève que, dans les cas où la personne concernée est soupçonnée d’avoir commis une infraction relevant des infractions pénales en général, la juridiction ou l’entité administrative indépendante en charge de ce contrôle doit refuser l’accès lorsque ce dernier permettrait à l’autorité publique de tirer des conclusions précises sur la vie privée de ladite personne. En revanche, même un accès permettant de tirer de telles conclusions précises devrait être autorisé dans les cas où la personne concernée est soupçonnée d’avoir commis des délits considérés par l’État membre concerné comme portant atteinte à un intérêt fondamental de la société et relevant ainsi des formes graves de criminalité.

La Cour précise également qu’un contrôle préalable ne saurait en aucun cas être entièrement automatisé puisque, s’agissant d’une enquête pénale, un tel contrôle exige la mise en balance, d’une part, des intérêts légitimes liés à la lutte contre la criminalité et, d’autre part, du respect de la vie privée et de la protection des données à caractère personnel. Cette mise en balance nécessite l’intervention d’une personne physique, celle-ci étant d’autant plus nécessaire que l’automaticité et la grande échelle du traitement de données en cause emportent des risques pour la vie privée.

Ainsi, la Cour conclut que la possibilité, pour les personnes chargées de l’examen des faits au sein de l’autorité publique, de mettre en relation des données relatives à l’identité civile d’une personne correspondant à une adresse IP avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit doit être subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante. Ce contrôle ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, susceptible dans de telles hypothèses de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins.

En quatrième et dernier lieu, la Cour note que le système de traitement de données utilisé par l’autorité publique doit faire l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique. Ce contrôle vise à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements.

Dans ce cadre, la Cour observe que, en l’occurrence, le traitement automatisé des données à caractère personnel effectué par l’autorité publique sur la base des informations relatives aux contrefaçons constatées par les organismes d’ayants droit est susceptible de comporter un certain nombre de faux cas positifs et surtout le risque qu’un nombre de données potentiellement très élevé soit détourné par des tiers à des fins abusives ou illicites, ce qui explique la nécessité d’un tel contrôle.

En outre, elle ajoute que ce traitement doit respecter les règles spécifiques de protection des données à caractère personnel prévues par la directive 2016/680 (7). En effet, en l’espèce, même si l’autorité publique ne dispose pas de pouvoirs décisionnels propres dans le cadre de la procédure dite de réponse graduée, elle doit être qualifiée d’« autorité publique » impliquée dans la prévention et la détection des infractions pénales, et relève donc de son champ d’application. Ainsi, les personnes impliquées dans une telle procédure doivent bénéficier d’un ensemble de garanties matérielles et procédurales prescrit par la directive 2016/680, dont il appartient à la juridiction de renvoi de vérifier qu’elles sont prévues par la législation nationale.

1      Voir, notamment, arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970), du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791), du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2021:152), du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), et du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258).

2      Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

3      Décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (JORF no 56 du 7 mars 2010, texte no 19), tel que modifié par le décret no 2017-924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (JORF no 109 du 10 mai 2017, texte no 176).

4      Notamment l’article L. 331-21, troisième à cinquième alinéas, du code de la propriété intellectuelle.

5      À compter du 1er janvier 2022, la Hadopi a été fusionnée avec le Conseil supérieur de l’audiovisuel (CSA), autre autorité publique indépendante, pour constituer l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). La procédure de réponse graduée est toutefois restée en substance inchangée.

6      Article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive ‟vie privée et communications électroniques” »), lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte.

7      Directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).