L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément au droit positif français, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) peut détecter des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer, puis, identifier les titulaires des abonnements auprès des fournisseurs d’accès, et, à défaut de cessation de l’infraction après mise en demeure, saisir le procureur de la République.
La question litigieuse soumise à la CJUE porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’un décret permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge .
La Cour a jugé, en substance, que même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence; par ailleurs, la CJUE ajoute qu’un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée).
Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant; le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
Bezirkshauptmannschaft Landeck | Police Justice | Tentative d’accès aux données d’un téléphone
L’accès et l’extraction des données stockées dans un smartphone saisi lors d’une perquisition, effectués par les services techniques de la police judiciaire, en l’absence de son propriétaire mis en cause qui avait refusé de communiquer son code de déverrouillage, relèvent de la Directive 2016/680 “Police Justice” (art. 3, 4, 8, 13, 15) et de la Charte Européenne des Droits Fondamentaux (art. 7, 8, 47).
Ces opérations doivent être strictement encadrées:
– Accès aux données: il doit être adéquat, pertinent et non excessif, en lien avec l’objet de l’enquête, et subordonné au contrôle et à l’autorisation préalable et spéciale d’un magistrat ayant pouvoir juridictionnel — ou d’une autorité administrative indépendante — afin de respecter le principe de proportionnalité, d’assurer une garantie d’impartialité et d’éviter toute violation injustifiée et abusive de la vie privée du mis en cause; une telle mesure pouvant, en effet, révéler des aspects très intimes de la vie privée.
– Droit à être informé : l’intéressé doit pouvoir exercer un recours effectif, et à cette fin, il doit être averti des mesures prises ou des opérations de lecture de ses données envisagées, ou déjà effectuées si l’autorité compétente avait décidé de différer la notification — sous peine de priver le recours de tout effet utile;
– Gravité de l’infraction et proportionnalité : il faudrait en outre exiger, de manière proportionnée, une gradation de l’ingérence qui doit s’avérer strictement nécessaire en fonction de la gravité de l’infraction poursuivie et de la sensibilité des données collectées.
CJUE 4 octobre 2024 | Bezirkshauptmannschaft Landeck | C-548/21
Contrefaçon & Accès à l’adresse IP par une autorité publique nationale e.g. HADOPI
L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément au droit positif français, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) peut détecter des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer, puis, identifier les titulaires des abonnements auprès des fournisseurs d’accès, et, à défaut de cessation de l’infraction après mise en demeure, saisir le procureur de la République.
La question litigieuse soumise à la CJUE porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’un décret permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge .
La Cour a jugé, en substance, que même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence; par ailleurs, la CJUE ajoute qu’un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée).
Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant; le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
CJUE 30 avril 2024 | La Quadrature du Net e.a. | C-470/21
Vie privée & Poursuites d’infractions qualifiées de “graves”
La directive 2002/58, lue à la lumière de la Charte, admet des dérogations à la confidentialité des communications uniquement pour la lutte contre la criminalité grave ou contre des menaces graves à la sécurité publique, sous réserve de strictes conditions de proportionnalité.
La Cour, dans son arrêt confirme que la législation italienne prévoyant un accès aux relevés téléphoniques pour toute infraction passible de trois ans d’emprisonnement n’est pas, en soi, contraire au droit de l’Union. Mais les juges italiens doivent vérifier, dans chaque dossier, si l’accès demandé est réellement justifié et proportionné : autrement dit, la « gravité » supposée de l’infraction (un vol de téléphone aggravé en l’occurrence) doit être appréciée à la lumière des circonstances de l’espèce, au cours d’un contrôle juridictionnel effectif.
Cette décision prolonge la ligne jurisprudentielle antérieure (Digital Rights Ireland, Tele2/Watson, Ministério Fiscal, Prokuratuur, etc.) en insistant à nouveau sur la nécessité de concilier l’objectif légitime de lutte contre les infractions (lorsqu’elles sont suffisamment graves) et les garanties fondamentales tirées des articles 7, 8, 11 et 52, paragraphe 1, de la Charte.
Ce faisant, si la Cour confirme que l’Union laisse aux États membres une marge de manœuvre pour définir et punir les infractions pénales, au besoin en prévoyant un accès aux métadonnées afin de poursuivre les responsables, elle réaffirme aussi que cette ingérence demeure très strictement encadrée : seul une juridiction peut en autoriser la mise en œuvre, après avoir apprécié la proportionnalité au regard du seuil de « criminalité grave » et de la gravité concrète des faits.
CJUE 30 avril 2024 | Procura della Repubblica presso il Tribunale di Bolzano | C-178/22