Décision n° 433539 du Conseil d’Etat du 5 juillet 2021 sur le recueil des données personnelles

Paru dans le N°322 - 22 juillet 2021
Numérique

Par une décision du 5 juillet 2021(1), le Conseil d’Etat a décidé de saisir de trois questions préjudicielles la Cour de justice de l’Union européenne (CJUE), pour savoir notamment si la Directive européenne "Vie privée et communication"(2) impose à la Hadopi d’obtenir, avant toute demande de données personnelles aux fournisseurs d’accès internet, l’autorisation d’une juridiction ou d’une entité administrative indépendante.

Plusieurs associations requérantes demandaient au Conseil d’Etat d’enjoindre au Premier ministre d’abroger le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé des données à caractère personnel autorisé(3), par l'article L. 331-29 du code de la propriété intellectuelle dénommé  "Système de gestion des mesures pour la protection des œuvres sur internet". Ce décret permet notamment à la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) d’obtenir les informations personnelles attachées à une adresse IP auprès d’opérateurs de communications électroniques.

Les associations requérantes soutenaient que le décret litigieux était dépourvu de base légale du fait de la décision du Conseil constitutionnel n° 2020-841 QPC du 20 mai 2020(4) déclarant contraires à la Constitution les troisième et quatrième alinéas de l’article L. 331-21 du code de la propriété intellectuelle (CPI) "en l’absence de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle."

Le Conseil d’Etat considère cependant que les données à caractère personnel recueillies en application de l'article R. 331-37 du code de la propriété intellectuelle pour être enregistrées dans le traitement dénommé "Système de gestion des mesures pour la protection des œuvres sur internet" sont au nombre de celles mentionnées au cinquième alinéa de l'article L. 321-21 du code de la propriété intellectuelle dont la communication à la Hadopi a été déclarée conforme à la Constitution.

Il souligne que, conformément à l’article L. 336-3 du code de la propriété intellectuelle, "le titulaire d'un accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires de ces droits, lorsqu'elle est requise."

Il revient, par ailleurs, à la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) de prendre les mesures destinées à assurer le respect de cette obligation conformément au dispositif de la riposte graduée énoncé par l ’article L. 331-25 du CPI.

Le Conseil d’Etat précise qu’ "est autorisée la création, par la Haute Autorité, d'un traitement automatisé de données à caractère personnel portant sur les personnes faisant l'objet d'une procédure dans le cadre de la présente sous-section." Il considère que la commission de protection des droits de la Hadopi doit pouvoir identifier les utilisateurs concernés afin de leur adresser les recommandations prévues. Cette identification est réalisée à partir des données recueillies auprès des opérateurs de communications électroniques portant uniquement sur les noms et coordonnées de leurs abonnés, selon le décret du 5 mars 2010, qui sont "ainsi conservées dans le but de prévenir la commission des infractions pénales de négligence caractérisée et de contrefaçon", conformément aux dispositions de la directive "Vie privée et communications".

Le Conseil appuie sa décision sur l’interprétation retenue par la Cour de justice de l’Union européenne de la directive sur les mesures législatives prévoyant, "aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs de moyens de communications électroniques." En effet, "lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique", la directive reconnait que peuvent être prises par les Etats membres des mesures limitant la portée des droits et obligations prévus, notamment pour "sauvegarder la sécurité nationale" ou "assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques".

Le Conseil rappelle cependant que la CJUE précise, dans son arrêt du 21 décembre 2016 (C-203/15 et C-698/15), qu’ "il est essentiel que l'accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d'urgence dûment justifié, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d'une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales".

Concernant l’application de l’obligation d’un tel contrôle préalable pour les données d’identité civile correspondant à une adresse IP, le Conseil d’Etat estime nécessaire de saisir la CJUE d’une question préjudicielle sur l’interprétation qu’il convient de retenir de la directive 2002/58/CE du 12 juillet 2002 "Vie privée et communications" et si elle fait obstacle à ce que ce contrôle "soit effectué selon des modalités adaptées, tel qu'un contrôle automatisé, le cas échéant sous la supervision d'un service interne à l'organisme présentant des garanties d'indépendance et d'impartialité à l'égard des agents chargés de procéder à ce recueil".

Le Conseil d’Etat sursoit ainsi à statuer sur la requête des associations requérantes, dans l’attente que la CJUE se prononce.


Informations légales | Données personnelles