Lutte antipiratage : le Conseil d'État ordonne une refonte du traitement des données personnelles

Dans une décision majeure rendue ce 30 avril, le Conseil d'État a estimé que le décret régissant le système de riposte graduée contre le piratage d'œuvres protégées par l'Arcom doit être révisé pour se conformer au droit européen en matière de protection des données personnelles.

Le code de la propriété intellectuelle oblige les titulaires d'un accès internet à prévenir l'usage de leur connexion pour des téléchargements illégaux d'œuvres protégées. L'Arcom, successeur de l'Hadopi depuis 2022, applique une procédure en trois étapes : un premier avertissement par mail, un second par courrier recommandé, et à la troisième récidive, transmission du dossier au procureur. Pour identifier les abonnés, l'Arcom s'appuie sur des signalements d'organismes comme le CNC et demande aux fournisseurs d'accès d'associer adresses IP incriminées à des identités. Ce traitement, régi par le décret du 5 mars 2010, a été contesté par des associations comme La Quadrature du Net.

Saisi en 2019, le Conseil d'État a interrogé la Cour de justice de l'Union européenne (CJUE) en 2021. Le 30 avril 2024, la CJUE a statué que les États peuvent exiger des opérateurs une conservation généralisée d'adresses IP et données d'identité pour réprimer des infractions mineures, mais uniquement si ces données sont cloisonnées pour éviter les recoupements intrusifs avec d'autres informations sensibles. De plus, après deux associations IP-contenu pour un même abonné, toute troisième nécessite une autorisation judiciaire ou d'une autorité indépendante, afin de prévenir des atteintes disproportionnées à la vie privée.

Le Conseil d'État a annulé les dispositions du décret permettant à l'Arcom d'accéder à des données non cloisonnées et d'effectuer plus de deux recoupements sans contrôle. Le gouvernement est sommé de modifier le texte. Transitoirement, pour les piratages non graves, l'Arcom ne peut demander d'identification qu'aux données cloisonnées ; les deux premiers avertissements restent possibles, mais pas la saisine du parquet sans garanties renforcées. Pour les contrefaçons graves, l'accès est libre. Cette décision fragilise l'effet dissuasif du dispositif, qui a envoyé 12,5 millions d'avertissements depuis 2010 pour seulement 15 000 transmissions judiciaires.

Cette jurisprudence intervient dans un contexte où le piratage évolue vers le streaming illégal et l'IPTV pirate. Des opérations récentes ont démantelé d'immenses réseaux redistribuant des chaînes payantes via internet, mais la collecte d'adresses IP pose désormais des défis accrus. Par ailleurs, des cas comme celui où Altice a dû divulguer des identités d'abonnés présumés pirates illustrent les tensions entre droits d'auteur et vie privée.

L'Arcom envisage des concertations avec ayants droit et fournisseurs dès mai pour adapter le système : déclaration sur l'honneur de cloisonnement, limitation aux avertissements, ou recours systématique à un juge. Le coût annuel de 430 000 euros pour indemniser les FAI questionne l'efficacité face à la baisse du P2P au profit de formes plus opaques comme le card sharing ou IPTV.

Cette évolution pourrait redéfinir les outils antipiratage en France, forçant un arbitrage délicat entre innovation technologique et libertés fondamentales.