Le Conseil d’Etat enjoint au gouvernement de mettre en conformité le dispositif de "réponse graduée" pour lutter contre le piratage en ligne : ce dispositif n’impose pas que les données utilisées par l’Arcom soient conservées de façon cloisonnée par les opérateurs internet et autorise plus de deux recoupements de données par l’Arcom sans autorisation préalable par un juge.
Le code de la propriété intellectuelle impose à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de piratage d’œuvres protégées.
Pour assurer le respect de cette obligation, l’Arcom, qui a succédé à Hadopi le 1er janvier 2022, met en œuvre une procédure dite de "réponse graduée" en trois étapes successives : au premier manquement constaté, un avertissement est adressé à l’abonné ; au deuxième, un nouvel avertissement ; au troisième, le dossier est transmis au procureur de la République.
Pour identifier ces abonnés, l'Arcom est habilitée, sur la base de signalements réalisés par des organismes professionnels ou des autorités publiques, à saisir les opérateurs internet pour qu’ils associent les adresses IP ayant servi à télécharger illégalement des œuvres à des cordonnées d’identité. Une fois cette association faite par les opérateurs, l’Arcom peut ainsi connaître l’identité des personnes concernées et faire jouer à leur égard la "réponse graduée". Les caractéristiques de ce traitement de données personnelles ont été fixées par le décret n° 2010-236 du 5 mars 2010.
Plusieurs associations, opposées au principe même d’un tel dispositif, ont saisi le Conseil d’Etat pour demander l’annulation du décret.
Le 5 juillet 2021 (requête n° 433539), le Conseil d’Etat a interrogé la Cour de justice de l’Union européenne (CJUE) afin qu’elle précise l’interprétation à retenir de la directive 2002/58/CE du 12 juillet 2002.
Dans son arrêt rendu le 30 avril 2024 (affaire C-470/21), la CJUE a indiqué que si un Etat membre pouvait imposer une conservation généralisée des données relatives à l’identité civile et des adresses IP correspondantes aux opérateurs internet, les données en cause devaient alors être conservées de façon cloisonnée afin d’éviter les risques d’ingérences graves dans la vie privée des personnes par (...)
