CJUE – La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) – C-470/21

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-470/21

Nom:

La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon)

Date:

30 avril 2024

Pays:

France

Lien:

Cliquer ici

Contexte

Le Premier ministre ayant implicitement rejeté leur demande tendant à l’abrogation du décret no 2010-236, les requérantes au principal ont, par une requête du 12 août 2019, saisi le Conseil d’État (France) d’un recours tendant à l’annulation de cette décision implicite de rejet. Elles ont fait valoir, en substance, que l’article L. 331-21, troisième à cinquième alinéas, du CPI, qui fait partie de la base légale de ce décret, d’une part, est contraire au droit au respect de la vie privée consacré par la Constitution française et, d’autre part, méconnaît le droit de l’Union, en particulier l’article 15 de la directive 2002/58 ainsi que les articles 7, 8, 11 et 52 de la Charte.

En ce qui concerne l’aspect du recours relatif à la violation alléguée de la Constitution, le Conseil d’État a saisi le Conseil constitutionnel (France) d’une question prioritaire de constitutionnalité. 43 Par sa décision no 2020-841 QPC du 20 mai 2020, La Quadrature du Net et autres [Droit de communication à la Hadopi], le Conseil constitutionnel a déclaré contraires à la Constitution les troisième et quatrième alinéas de l’article L. 331-21 du CPI, mais a déclaré conforme à celle-ci le cinquième alinéa dudit article à l’exception du mot « notamment » y figurant.

S’agissant de l’aspect du recours relatif à la méconnaissance alléguée du droit de l’Union, le Conseil d'Etat a renvoyé la question devant la CJUE.

Apport(s)
Directe ePrivacy - Réglementation nationale autorisant l'autorité chargée de la protection des droits d'auteur sur Internet (Hadopi) à demander les informations de connexion aux FAI en vue d'identifier les auteurs d'infractions - Conventionnalité sous conditions Extrait(s) pertinent(s)164. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux trois questions préjudicielles que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui autorise l’autorité publique chargée de la protection des droits d’auteur et des droits voisins contre les atteintes à ces droits commises sur Internet à accéder aux données, conservées par les fournisseurs de services de communications électroniques accessibles au public, relatives à l’identité civile correspondant à des adresses IP collectées préalablement par des organismes d’ayants droit, afin que cette autorité puisse identifier les titulaires de ces adresses, utilisées pour des activités susceptibles de constituer de telles atteintes, et puisse prendre, le cas échéant, des mesures à leur égard, à condition que, en vertu de cette réglementation, – ces données soient conservées dans des conditions et selon des modalités techniques garantissant qu’il soit exclu que cette conservation puisse permettre de tirer des conclusions précises sur la vie privée de ces titulaires, par exemple en établissant leur profil détaillé, ce qui peut être accompli, en particulier, en imposant aux fournisseurs de services de communications électroniques une obligation de conservation des différentes catégories de données à caractère personnel, telles les données relatives à l’identité civile, les adresses IP ainsi que les données relatives au trafic et les données de localisation, garantissant une séparation effectivement étanche de ces différentes catégories de données empêchant, au stade de la conservation, toute exploitation combinée de ces différentes catégories de données, et pour une durée ne dépassant pas le strict nécessaire, – l’accès de cette autorité publique à de telles données conservées de manière séparée et effectivement étanche serve exclusivement à identifier la personne soupçonnée d’avoir commis une infraction pénale et soit entouré des garanties nécessaires pour exclure que, hormis dans des situations atypiques, cet accès puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP, par exemple en établissant leur profil détaillé, ce qui implique, en particulier, qu’il soit interdit aux agents de cette autorité autorisés à avoir un tel accès de divulguer, sous quelque forme que ce soit, des informations sur le contenu des fichiers consultés par ces titulaires, sauf à seules fins de saisir le ministère public, de procéder à un traçage du parcours de navigation de ces titulaires et, de manière plus générale, d’utiliser ces adresses IP à une fin autre que celle d’identifier leurs titulaires en vue de l’adoption d’éventuelles mesures contre ces derniers, – la possibilité, pour les personnes chargées de l’examen des faits au sein de ladite autorité publique, de mettre en relation de telles données avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit, soit subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante, lequel ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, cette dernière étant susceptible, dans de telles hypothèses, de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins, – le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements. Article(s) du RGPD Article 5 – Principes relatifs au traitement Fait référence à > CJUE – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) – C-252/21 > CJUE – M.I.C.M. – C-597/19 > CJUE – Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) – C-746/18 > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – Tele2 Sverige et Watson e.a. – C-203/15 et C-698/15 > CJUE – Ministerio Fiscal – C-207/16 > CJUE – Promusicae – C-275/06 Autres informations

Apport(s)

Directe ePrivacy - Réglementation nationale autorisant l'autorité chargée de la protection des droits d'auteur sur Internet (Hadopi) à demander les informations de connexion aux FAI en vue d'identifier les auteurs d'infractions - Conventionnalité sous conditions

Extrait(s) pertinent(s)164. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux trois questions préjudicielles que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui autorise l’autorité publique chargée de la protection des droits d’auteur et des droits voisins contre les atteintes à ces droits commises sur Internet à accéder aux données, conservées par les fournisseurs de services de communications électroniques accessibles au public, relatives à l’identité civile correspondant à des adresses IP collectées préalablement par des organismes d’ayants droit, afin que cette autorité puisse identifier les titulaires de ces adresses, utilisées pour des activités susceptibles de constituer de telles atteintes, et puisse prendre, le cas échéant, des mesures à leur égard, à condition que, en vertu de cette réglementation,

– ces données soient conservées dans des conditions et selon des modalités techniques garantissant qu’il soit exclu que cette conservation puisse permettre de tirer des conclusions précises sur la vie privée de ces titulaires, par exemple en établissant leur profil détaillé, ce qui peut être accompli, en particulier, en imposant aux fournisseurs de services de communications électroniques une obligation de conservation des différentes catégories de données à caractère personnel, telles les données relatives à l’identité civile, les adresses IP ainsi que les données relatives au trafic et les données de localisation, garantissant une séparation effectivement étanche de ces différentes catégories de données empêchant, au stade de la conservation, toute exploitation combinée de ces différentes catégories de données, et pour une durée ne dépassant pas le strict nécessaire,

– l’accès de cette autorité publique à de telles données conservées de manière séparée et effectivement étanche serve exclusivement à identifier la personne soupçonnée d’avoir commis une infraction pénale et soit entouré des garanties nécessaires pour exclure que, hormis dans des situations atypiques, cet accès puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP, par exemple en établissant leur profil détaillé, ce qui implique, en particulier, qu’il soit interdit aux agents de cette autorité autorisés à avoir un tel accès de divulguer, sous quelque forme que ce soit, des informations sur le contenu des fichiers consultés par ces titulaires, sauf à seules fins de saisir le ministère public, de procéder à un traçage du parcours de navigation de ces titulaires et, de manière plus générale, d’utiliser ces adresses IP à une fin autre que celle d’identifier leurs titulaires en vue de l’adoption d’éventuelles mesures contre ces derniers,

– la possibilité, pour les personnes chargées de l’examen des faits au sein de ladite autorité publique, de mettre en relation de telles données avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit, soit subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante, lequel ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, cette dernière étant susceptible, dans de telles hypothèses, de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins,

– le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Fait référence à > CJUE – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) – C-252/21
> CJUE – M.I.C.M. – C-597/19
> CJUE – Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) – C-746/18
> CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18
> CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18
> CJUE – Tele2 Sverige et Watson e.a. – C-203/15 et C-698/15
> CJUE – Ministerio Fiscal – C-207/16
> CJUE – Promusicae – C-275/06
Autres informations