@laquadrature @assoFDN @federationfdn @franciliens Aujourd'hui à 9h débutera l'audience à la CJUE concernant la Hadopi/Arcom. @laquadrature, @assoFDN, @federationfdn et @franciliens y prononceront leur plaidoirie ce matin, puis l'après-midi sera consacré aux questions de la Cour. #CJUEHadopi

Objectif de l'audience : faire reconnaître que le mécanisme de la « riposte graduée » est disproportionné. Autre objectif indirect : rappeler que le @Conseil_Etat s'est bien moqué de la CJUE en 2021 à propos du renseignement. #CJUEHadopi

Devant le @Conseil_Etat puis la CJUE, nous rappelions que les ayants-droit, agents assermentés par le ministère de la culture pour poursuivre la mission répressive de la Hadopi, accèdent à des données de connexion (l'adresse IP) en violation avec le droit de l'UE. #CJUEHadopi

Le @Conseil_Etat a tout simplement ignoré ce point et transmis à la CJUE une question préjudicielle tronquée, portant uniquement sur un autre point qui, on le verra, est finalement anecdotique. #CJUEHadopi

À tout à l'heure pour l'audience. #CJUEHadopi

En attendant, on vous a résumé l'affaire sur le site de @laquadrature. #CJUEHadopi laquadrature.net/2022/07/05/had…

L'audience commence. #CJUEHadopi

On commence par un rappel de ce qu'est la Hadopi : promouvoir l'offre légale et lutter contre le téléchargement illégal. Juridiquement, la Hadopi ne lutte pas directement contre le téléchargement illégal, mais contre le défaut de sécurisation d'une connexion Internet. #CJUEHadopi

L'infraction de défaut de sécurisation d'une connexion Internet est une contravention de 5e classe : en bout de course de la riposte graduée, c'est en réalité souvent des dispenses de peine, ou bien une centaine d'€ d'amende. #CJUEHadopi

On en vient au rôle des ayants-droit dans la riposte graduée. Ce sont des agents assermentés par le ministère. Ces agents repèrent les téléchargeurs pour transmettre l'IP à la Hadopi. #CJUEHadopi

(je passe sur les détails de la riposte graduée, on la présentait déjà sur le site de LQDN) #CJUEHadopi

On revient sur l'arrêt du @Conseil_Etat du 21 avril 2021. Pour nous, la France est en situation de manquement. Dans cet arrêt, le CE a validé le principe d'une conservation généralisée des données de connexion. #CJUEHadopi

On revient maintenant sur la formulation des QPJ. Le CE occulte le plus important : des données de connexion font bien l'objet d'un accès. Mais on sent le CE mal à l'aise dans cette affaire : il sait que la France est en infraction sur le volet de la conservation. #CJUEHadopi

On appelle donc la CJUE à la plus grande vigilance : le @Conseil_Etat attend la moindre faille pour s'y engouffrer et sauver la Hadopi. #CJUEHadopi

On en vient désormais à la nature des IP collectées par les agents assermentés (les ayants-droit). Un agent assermenté doit établir une connexion P2P avec l'internaute surveillé pour vérifier qu'il partage bien le fichier surveillé. #CJUEHadopi

Qui dit connexion, dit données de connexion. Le RPCE disait que les IP collectées par les agents assermentés ne sont pas des données de connexion : cela n'a pas de sens techniquement parlant. #CJUEHadopi

La qualification juridique de l'agent assermenté (ce n'est pas un hébergeur ni un fournisseur de contenus) importe peu. Ce qui compte, c'est qu'une connexion à l'internaute est provoquée et qu'une donnée de connexion (l'IP) est collectée. #CJUEHadopi

Mais qui dit connexion, dit aussi contenu d'une communication : l'agent assermenté puis la Hadopi connaissent le contenu de la communication associée à l'IP. Cela pose d'autant plus problème. #CJUEHadopi

(Pour info, la Commission européenne estimait qu'on n'est pas en présence d'une ingérence grave aux droits fondamentaux dans cette affaire... Allez dire ça à un ado outé auprès de ses parents parce qu'il a téléchargé un porno gay...) #CJUEHadopi

On revient sur l'infraction contre laquelle lutte la Hadopi. Ce n'est pas le téléchargement illégal. C'est le défaut de sécurisation d'une connexion Internet. Pourquoi ? Parce que derrière une IP on ne sait pas quelle personne a téléchargé. #CJUEHadopi

On critique désormais le terme de contrefaçon : télécharger un film et produire de faux-médicaments sont tous deux de la contrefaçon. La gravité de ces deux faits sont pourtant radicalement différents... #CJUEHadopi

Dans ses questions, la CJUE suggère que la Hadopi lutterait contre la contrefaçon : on s'inscrit en faux, juridiquement la Hadopi lutte contre le défaut de sécurisation d'un accès Internet. #CJUEHadopi

Mais en tout état de cause, on invite la CJUE à rappeler que la contrefaçon, quand il s'agit de télécharger un fichier soumis au droit d'auteur, n'est pas de la criminalité grave. #CJUEHadopi

Pourquoi passer par tout cela ? Parce que l'accès à l'IP se fait donc pour une infraction légère. Or la CJUE exige que seule la criminalité grave puisse justifier l'accès à des adresses IP. L'accès par les agents assermentés à l'IP est donc contraire au droit de l'UE. #CJUEHadopi

La jurisprudence de la Cour exige aussi un contrôle indépendant avant d'accéder à une donnée de connexion. Au sens strict, la CPJ du CE se limite à ce point. #CJUEHadopi

QPJ* #CJUEHadopi

Penser de manière autonome le contrôle indépendant n'a pas de sens : il ne se comprend qu'à la condition que l'autorité qui veut accéder à des données de connexion lutte contre de la criminalité grave. #CJUEHadopi

Une autorité qui ne lutte que contre des délits ordinaires n'aura jamais à accéder aux données de connexion : on n'a donc pas à se poser la question du contrôle de cet accès qui ne peut avoir lieu légalement. #CJUEHadopi

C'est pourtant ce que demande le CE : quelle nature devrait avoir un contrôle indépendant en cas d'accès à des données de connexion pour des faits de criminalité ordinaire ? Absurde. #CJUEHadopi

On continue notre raisonnement : la Hadopi ne lutte pas contre de la criminalité grave. Elle ne doit donc pas accéder à des données de connexion. C'est donc, in fine, la nature même de la Hadopi qui doit être remise en question. #CJUEHadopi

En conclusion, la CJUE est invitée à faire preuve d'une grande vigueur face à un @Conseil_Etat qui cherchera la moindre faille. On invite la Cour à ne pas créer d'exception Hadopi, à ne pas la sauver : cela ouvrirait la voie à d'autres atteintes sécuritaires. #CJUEHadopi

Deux éléments pour finir. Premièrement, on invite la CJUE à saisir cette affaire pour rappeler à la France qu'elle ne respecte pas le droit de l'UE en matière de conservation des données et qu'elle est donc en manquement, notamment depuis l'arrêt du CE d'avril 2021. #CJUEHadopi

2emement, on prévient la CJUE que la France est activement à la manœuvre pour modifier le droit dérivé afin de contourner la jurisprudence actuelle de la CJUE. Dans e-evidence, la France pousse à un nivellement par le bas des garanties en matière d'accès aux données. #CJUEHadopi

On invite donc la CJUE à préciser que la jurisprudence actuelle peut se baser sur la Charte (droit primaire) uniquement. #CJUEHadopi

Au tour de la France. #CJUEHadopi

Sans surprise, la France ne veut pas que la CJUE se prononce sur l'accès par les agents assermentés à l'adresse IP. Le malaise côté français est palpable. :) #CJUEHadopi

La France reprend l'argumentation du RPCE dans ses conclusions : l'adresse IP collectée par les agents assermentés ne serait pas une donnée de connexion soumise à la directive e-privacy. #CJUEHadopi

La collecte des IP ne ferait imposer aucune obligation de traitement aux FAI. L'adresse IP est « visible en ligne » en raison du fonctionnement même du réseau. #CJUEHadopi

La France veut que l'exigence de lutte contre la criminalité grave ne s'applique pas en raison de l'absence de conservation par les agents assermentés des IP. Ces agents assermentés accèdent à des IP rendues publiques. #CJUEHadopi

La France revient sur la décision du @Conseil_constit de 2020. Je n'ai pas bien compris où elle veut aller. #CJUEHadopi

En gros, pour l'adresse IP, la France dit qu'il n'y a ni obligation de conservation, ni obligation faite aux FAI de fournir ces données (qui sont publiques). #CJUEHadopi

La France revient sur la finalité de la riposte graduée et estime qu'il s'agit d'une lutte contre la contrefaçon en ligne et relèverait de la criminalité grave... o_O #CJUEHadopi

(Franchement, si télécharger un film est de la criminalité grave, je ne vois pas ce qui relèvera de la criminalité ordinaire...) #CJUEHadopi

Subtilité : l'agente de la France précise que c'est le droit français qui fait de la contrefaçon de la criminalité grave. Parce qu'il y a de fortes peines encourues. Elle dit aussi que le caractère massif du téléchargement en fait de la criminalité grave. #CJUEHadopi

(Je traverse souvent la rue quand le feu est rouge, en infraction avec le code de la route. Suis-je un grand criminel ?) #CJUEHadopi

La France estime qu'il y a peu d'ingérence dans les droits fondamentaux. Elle ne pourrait tirer aucune information sur la vie privée des personnes. #CJUEHadopi

Grosse contradiction : la France est d'accord pour dire qu'il est impossible de dire avec précision qui télécharge quoi, donc qu'on ne peut pas caractériser l'acte de contrefaçon. Mais ça serait quand même de la lutte contre la contrefaçon... #CJUEHadopi

Les dates et heure du téléchargement ne donnerait aucune information sur l'abonné·e. Euh... ? #CJUEHadopi

La France vient sur l'encadrement du contrôle indépendant. Vu que la France considère que l'ingérence dans les droits est faible, le contrôle indépendant pourrait être allégé. #CJUEHadopi

La France ne veut pas de contrôle préalable. Elle dit que les autres garanties sont suffisantes. Un contrôle préalable paralyserait le rôle de la Hadopi (je suis bien d'accord sur ce point :D). #CJUEHadopi

La France estime que si la CJUE veut impérativement un contrôle préalable, alors elle appelle à la possibilité d'automatisation de ce contrôle et qu'on puisse se contenter de contrôles aléatoires. #CJUEHadopi

France : « Pour clore cette plaidoirie particulièrement dense ». Ah oui, j'allais presque sortir le paracétamol. :) #CJUEHadopi

La conclusion de la France est une répétition de ce qu'elle a développé dans sa plaidoirie. En même temps, elle est partie tellement loin que c'est nécessaire de rappeler où elle voulait aller. #CJUEHadopi

Au tour du Danemark. #CJUEHadopi

Le Danemark revient sur la possibilité pour un État membre d'utiliser les adresses IP pour lutter contre la criminalité ordinaire, dont les atteintes au droit d'auteur. Il rappelle que la CJUE considère que le traçage permis par les IP est important. #CJUEHadopi

(Fun fact: la traduction est en avance sur la plaidoirie, les traducteur·rices doivent avoir le verbatim de la plaidoirie. :D)

Le Danemark estime que l'adresse IP est le seul moyen de lutter contre certains délits en ligne. Particulièrement pour le téléchargement illégal. #CJUEHadopi

Le Danemark estime que e-privacy ne s'applique pas quand une autorité administrative ne reçoit des données d'identité à partir d'une IP. Bon, c'est le même raisonnement que le gouvernement FR après la censure du @Conseil_constit. #CJUEHadopi

L'agente appelle que l'identité civile seule ne révèle pas grand chose sur la vie privée d'un internaute. Je ne vois pas où elle veut venir, puisque la Hadopi associe cela à une donnée de connexion (l'IP) et à une communication (le fichier téléchargé)... #CJUEHadopi

Le Danemark fait le parallèle entre l'adresse IP reçue par la Hadopi, et un numéro de téléphone. Il oublie que la Hadopi connaît également le contenu de la communication... #CJUEHadopi

Le Danemark n'avait produit aucun mémoire pendant la phase écrite. Je me disais bien qu'il y avait beaucoup d'avocats : les EM ont rappliqué pour sauver leurs accès illégaux aux données de connexion... #CJUEHadopi

Le Danemark dit que comme on ne peut pas déduire l'historique des sites web visités dans le cadre de la riposte graduée de la Hadopi, il n'y a pas de traçage exhaustif, donc pas d'ingérence grave dans les droits fondamentaux. #CJUEHadopi

Le Danemark revient sur la jurisprudence Ministerio Fiscale. Dans cette affaire, la CJUE avait validé l'association d'une carte SIM avec l'identité civile, parce qu'il n'y avait pas de traçage possible. #CJUEHadopi

Le Danemark n'a visiblement pas lu nos écritures. :) On disait bien que la Hadopi n'est pas dans la même situation que Ministerio Fiscal : la Hadopi sait très bien quel fichier a été utilisé, et l'IP est utilisable au-delà de la riposte graduée. #CJUEHadopi

Au tour de la Finlande. Elle n'a pas non plus présenté d'observations écrites parce qu'il n'y a pas d'équivalent à la Hadopi en Finlande. On parie qu'elle va quand même défendre la Hadopi ? #CJUEHadopi

En effet, la Finlande estime que le droit de l'UE ne s'oppose pas au système Hadopi, pour de la criminalité ordinaire et donc sans contrôle indépendant préalable. #CJUEHadopi

Comme la France et le Danemark, la Finlande estime que l'ingérence dans l'accès à l'identité civile n'est pas grave. #CJUEHadopi

(J'ai l'impression d'être en 2019 : les EM étaient venus chouiner les uns après les autres pour sauver leurs législations nationales de surveillance généralisée...) #CJUEHadopi

La Finlande estime qu'il ne faudrait pas de contrôle indépendant préalable quand une autorité veut accéder à l'identité civile à partir d'une IP. Exactement ce que nous préparent les trilogues de e-evidence... #CJUEHadopi

Elle veut aussi un tel accès pour lutter contre la criminalité ordinaire. #CJUEHadopi

La Finlande reprend l'argument de la France : la quantité de demandes d'accès est incompatible avec l'exigence de contrôle indépendant préalable. #CJUEHadopi

Comme une impression de déjà-vu... #CJUEHadopi

Au tour de la Suède. Elle avait produit un mémoire pendant la phase écrite pour défendre la Hadopi. « Le gouvernement suédois souscrit à ce qui s'est déjà dit » (par les États membres, pas par nous, forcément). #CJUEHadopi

Rien de nouveau. Je sens que la matinée va être une longue répétition par les États membres... :) #CJUEHadopi

La Suède affirme que l'accès à l'IP est la seule manière de lutter contre certains délits ordinaires. Elle affirme aussi que l'accès aux données d'identité civile n'est pas une ingérence grave. On reparle de Ministerio Fiscal. La fatigue... #CJUEHadopi

(Il y a quand même une forme de rupture de l'égalité des armes : les EM se sont visiblement donné rendez-vous pour répéter ad nauseam toute la journée que l'IP+identité civile devraient faire l'objet d'un accès sans contrôle et pour de la criminalité ordinaire...) #CJUEHadopi

La Suède revient sur la notion de la criminalité grave. La notion ne serait pas la même d'un État à un autre. Autrement dit, en sous-titre : la Suède veut que les EM soient les seuls à définir ce qui relève de la criminalité grave. #CJUEHadopi

C'est long. #CJUEHadopi

Pour rappel, on n'avait que 20 minutes (on a dû déborder de 4-5 minutes). Les EM ont 15 minutes multipliées par le nombre d'ÉM... #CJUEHadopi

On continue notre voyage en Europe du Nord : au tour de la Norvège. #CJUEHadopi

La Norvège revient sur l'applicabilité de la directive e-privacy. Elle estime que cette directive n'est pas applicable : « les organisations collectent les adresses IP sans l'aide des FAI ». #CJUEHadopi

La Norvège dit qu'il faut donc regarder cet accès au regard du RGPD et de la directive police-justice (2016/680). Elle dit finalement que l'accès aux IP par les agents assermentés est hors champ de la QPJ. #CJUEHadopi

La Norvège rappelle la jurisprudence Ministerio Fiscal. On sent que c'est la stratégie des États membres. #CJUEHadopi

La Norvège estime qu'on est donc dans le cas d'un recoupement d'une identité civile avec une IP qui n'a pas été obtenue avec la collaboration des FAI. Il n'y aurait pas d'ingérence grave dans les droits fondamentaux. #CJUEHadopi

Ici, on ne pourrait tirer une conclusion qu'en ce qui concerne la violation du droit d'auteur. Cela ne serait pas une ingérence grave car limité à un cas très précis. #CJUEHadopi

(Je rappelle que TMG avait laissé accessible en ligne à n'importe qui des listes d'adresses IP d'internautes repéré·es...) #CJUEHadopi

Suspension d'audience pour quelques minutes. Il reste encore des plaidoiries d'EM, et probablement aussi celle de la Commission. #CJUEHadopi

On reprend avec la Commission. On a entendu tous les États membres, donc. La Commission estime que cette affaire est l'occasion de clarifier la nature de l'ingérence de l'accès à l'identité civile à partir d'une IP. L'ingérence ne serait pas grave. #CJUEHadopi

Sur le recueil des IP par les agents assermentés (ayants-droit) : la Commission estime qu'il faut regarder cette situation à la lumière de e-privacy et RGPD (je dirais qu'il faut aussi prendre en compte la directive police-justice si on intègre le RGPD). #CJUEHadopi

« La Commission relève un doute quant à l'applicabilité de eprivacy en ce qui concerne le traitement en amont » (l'accès à l'IP par les agents assermentés). Ce serait plutôt le RGPD qui s'appliquerait. #CJUEHadopi

La Commission revient sur l'arrêt MICM (C-597/19) : dans le cadre d'une procédure civile, l'accès à l'identité civile a été permise à partir d'une IP. #CJUEHadopi

Pour affirmer que l'ingérence dans la vie privée serait faible, la Commission estime que peu de données sont accessibles à la Hadopi. Ce ne serait pas comparable avec les cas d'une enquête pénale. #CJUEHadopi

(Commission européenne et EM oublient que la Hadopi accède également à la communication en cause...) #CJUEHadopi

La Commission ne dit toutefois pas qu'il n'y a aucune ingérence dans les droits fondamentaux. Il faut donc que l'accès soit proportionné aux risques encourus. #CJUEHadopi

La Commission estime qu'il faut un contrôle préalable. Mais elle dit que ce contrôle ne doit pas être le même que celui dégagé dans les arrêts LQDN 1 et Prokuratuur. #CJUEHadopi

La Commission joue donc totalement le jeu du @Conseil_Etat : un pseudo contrôle dépouillé de toute effectivité serait suffisant, à l'écouter. Elle dit par exemple qu'un contrôle interne suffirait. Pourtant la CJUE a bien dit dans Síochána que ce n'est pas possible. #CJUEHadopi

Je crois que la Commission a dit qu'on ne devait pas exclure un contrôle automatisé. On passe aux questions et celles de la rapporteure en premier. #CJUEHadopi

La rapporteure pose une question sur le déroulé de la mission de la Hadopi : où se situe l'humain alors qu'on dirait que la réception des IP par les agents assermentés, l'accès à l'identité civile puis l'envoi des avertissement semble entièrement automatisé ? #CJUEHadopi

La deuxième question de la rapporteure revient sur une étape où il y a un humain, mais lors de laquelle on dirait que cet humain n'a pas vraiment le choix que d'appuyer « sur le bouton ». #CJUEHadopi

La troisième question de la rapporteure porte sur le contrôle humain des échantillons. #CJUEHadopi

Réponses de l'agente française. Le traitement est « essentiellement automatisé ». Il n'y a pas de contrôle in concreto pour chaque cas. Mais une intervention humaine est prévue pour des lots de demandes d'accès transmises aux opérateurs et leurs réponses. #CJUEHadopi

Pour ces lots, l'agent « déclenche » manuellement l'étape suivante, mais contrôle avant l'échantillon. Le contrôle est quotidien, ça serait la raison d'être des agents de la Hadopi (on parle des agents de la Hadopi, pas des agents assermentés/ayants-droit). #CJUEHadopi

La rapporteure questionne la France sur sa position concernant des aménagements qu'on pourrait apporter au contrôle et que propose la Commission. Réponse : aujourd'hui ce que propose la Commission correspondrait à l'existant en pratique (contrôle d'échantillons). #CJUEHadopi

La France répond aussi que la Hadopi est une autorité administrative indépendante, donc qu'on n'aurait pas vraiment besoin d'un contrôle fait par une autre autorité. Argh, c'est n'importe quoi... #CJUEHadopi

La France fait le parallèle avec une juridiction qui a des pouvoirs d'instruction. En France, une telle juridiction peut demander l'accès à des données de connexion alors qu'elle va juger l'affaire après. #CJUEHadopi

Question d'un juge sur le nombre de saisines du procureur. J'ai pas noté la réponse, mais la Hadopi dit 942 suites pénales en 2021 dont 274 classements sans suite, 1 relaxe, 393 mesures alternatives aux poursuites, et 274 sanctions pénales. #CJUEHadopi

La Commission est questionnée sur les garanties à apporter dans l'hypothèse d'un contrôle aménagé à la situation Hadopi. #CJUEHadopi

Réponse : le contrôle par catégories (j'ai pas suivi de quelles catégories il s'agirait) suffirait. #CJUEHadopi

Autre question : est-ce qu'un agent assermenté pourra connaître l'identité civile d'un abonné ? Réponse : non, la Hadopi est là pour faire interface entre les FAI et les ayants-droit. #CJUEHadopi

Mais si le dossier est transmis au procureur, les ayants-droit vont connaître l'identité civile de l'internaute. #CJUEHadopi

Question pour nous : quel système avoir pour lutter contre la violation de propriété intellectuelle ? Réponse : on n'a pas à déterminer le système idéal, et d'ailleurs certains États n'ont pas leur Hadopi. #CJUEHadopi

On rappelle aussi que la Hadopi, c'est des millions d'accès aux données de connexion, pour moins de 1000 suites pénales dont 274 sanctions... #CJUEHadopi

Il y a d'autres manières de faire que cette répression. C'est le développement de l'offre légale, plutôt qu'une politique répressive, qui va sauver les ayants-droit. #CJUEHadopi

S'attaquer aux plateformes qui surfent sur ce téléchargement, plutôt que les internautes, est aussi une autre réponse, qui n'implique pas d'accès aux données d'identité civile. #CJUEHadopi

Question de l'AG sur le cas d'une adresse IP dynamique. On répond que la Hadopi ne concerne pas que des abonnés qui ont une adresse IP dynamique. Et cela ne change rien sur les possibilités d'identification par la Hadopi. #CJUEHadopi

On termine l'audience par une courte réplique. On rappelle que la Hadopi et les agents assermentés accèdent au contenu d'une communication. #CJUEHadopi

On reprend l'exemple de l'ado qui se fait outer par l'avertissement de la Hadopi suite au téléchargement d'un film pornographique. Le fait que la riposte graduée comporte un accès au contenu de la communication est crucial pour comprendre la gravité de l'ingérence. #CJUEHadopi

Réplique de la France : la Hadopi, c'est le choix de la pédagogie. C'est pour cela qu'il y a peu de poursuites pénales. Ça serait aussi parce qu'on peut difficilement imputer le téléchargement à une personne individuelle. #CJUEHadopi

Point « exception culturelle » française qui justifierait l'existence de la Hadopi... #CJUEHadopi

La France affirme que plus on envoie des avertissements, moins il y a de téléchargements P2P. #CJUEHadopi

Réplique de la Suède : les situations au sein des EM est très diverses. La CJUE ne devrait pas généraliser au point de soumettre tout accès à des données de connexion à un contrôle préalable. #CJUEHadopi

C'était pas la Suède. J'ai pas noté de quel EM il s'agissait. #CJUEHadopi

J'ai pas compris la réplique de la Suède. #CJUEHadopi

Conclusions de l'AG le 27 octobre prochain. Ça sent le jugement rapide. Fin de l'audience. #CJUEHadopi