La semaine prochaine, @laquadrature sera de retour devant la CJUE, à nouveau à propos des données de connexion. Avec @assoFDN, @federationfdn et @franciliens, nous nous attaquons à un sujet historique : la Hadopi/Arcom. Spoiler : ça sent le roussi pour la France. #CJUEHadopi 
@laquadrature @assoFDN @federationfdn @franciliens Aujourd'hui à 9h débutera l'audience à la CJUE concernant la Hadopi/Arcom. @laquadrature, @assoFDN, @federationfdn et @franciliens y prononceront leur plaidoirie ce matin, puis l'après-midi sera consacré aux questions de la Cour. #CJUEHadopi
Objectif de l'audience : faire reconnaître que le mécanisme de la « riposte graduée » est disproportionné. Autre objectif indirect : rappeler que le @Conseil_Etat s'est bien moqué de la CJUE en 2021 à propos du renseignement. #CJUEHadopi
Devant le @Conseil_Etat puis la CJUE, nous rappelions que les ayants-droit, agents assermentés par le ministère de la culture pour poursuivre la mission répressive de la Hadopi, accèdent à des données de connexion (l'adresse IP) en violation avec le droit de l'UE. #CJUEHadopi
Le @Conseil_Etat a tout simplement ignoré ce point et transmis à la CJUE une question préjudicielle tronquée, portant uniquement sur un autre point qui, on le verra, est finalement anecdotique. #CJUEHadopi
À tout à l'heure pour l'audience. #CJUEHadopi
En attendant, on vous a résumé l'affaire sur le site de @laquadrature. #CJUEHadopi laquadrature.net/2022/07/05/had…
L'audience commence. #CJUEHadopi
On commence par un rappel de ce qu'est la Hadopi : promouvoir l'offre légale et lutter contre le téléchargement illégal. Juridiquement, la Hadopi ne lutte pas directement contre le téléchargement illégal, mais contre le défaut de sécurisation d'une connexion Internet. #CJUEHadopi
L'infraction de défaut de sécurisation d'une connexion Internet est une contravention de 5e classe : en bout de course de la riposte graduée, c'est en réalité souvent des dispenses de peine, ou bien une centaine d'€ d'amende. #CJUEHadopi
On en vient au rôle des ayants-droit dans la riposte graduée. Ce sont des agents assermentés par le ministère. Ces agents repèrent les téléchargeurs pour transmettre l'IP à la Hadopi. #CJUEHadopi
(je passe sur les détails de la riposte graduée, on la présentait déjà sur le site de LQDN) #CJUEHadopi
On revient sur l'arrêt du @Conseil_Etat du 21 avril 2021. Pour nous, la France est en situation de manquement. Dans cet arrêt, le CE a validé le principe d'une conservation généralisée des données de connexion. #CJUEHadopi
On revient maintenant sur la formulation des QPJ. Le CE occulte le plus important : des données de connexion font bien l'objet d'un accès. Mais on sent le CE mal à l'aise dans cette affaire : il sait que la France est en infraction sur le volet de la conservation. #CJUEHadopi
On appelle donc la CJUE à la plus grande vigilance : le @Conseil_Etat attend la moindre faille pour s'y engouffrer et sauver la Hadopi. #CJUEHadopi
On en vient désormais à la nature des IP collectées par les agents assermentés (les ayants-droit). Un agent assermenté doit établir une connexion P2P avec l'internaute surveillé pour vérifier qu'il partage bien le fichier surveillé. #CJUEHadopi
Qui dit connexion, dit données de connexion. Le RPCE disait que les IP collectées par les agents assermentés ne sont pas des données de connexion : cela n'a pas de sens techniquement parlant. #CJUEHadopi
La qualification juridique de l'agent assermenté (ce n'est pas un hébergeur ni un fournisseur de contenus) importe peu. Ce qui compte, c'est qu'une connexion à l'internaute est provoquée et qu'une donnée de connexion (l'IP) est collectée. #CJUEHadopi
Mais qui dit connexion, dit aussi contenu d'une communication : l'agent assermenté puis la Hadopi connaissent le contenu de la communication associée à l'IP. Cela pose d'autant plus problème. #CJUEHadopi
(Pour info, la Commission européenne estimait qu'on n'est pas en présence d'une ingérence grave aux droits fondamentaux dans cette affaire... Allez dire ça à un ado outé auprès de ses parents parce qu'il a téléchargé un porno gay...) #CJUEHadopi
On revient sur l'infraction contre laquelle lutte la Hadopi. Ce n'est pas le téléchargement illégal. C'est le défaut de sécurisation d'une connexion Internet. Pourquoi ? Parce que derrière une IP on ne sait pas quelle personne a téléchargé. #CJUEHadopi
On critique désormais le terme de contrefaçon : télécharger un film et produire de faux-médicaments sont tous deux de la contrefaçon. La gravité de ces deux faits sont pourtant radicalement différents... #CJUEHadopi
Dans ses questions, la CJUE suggère que la Hadopi lutterait contre la contrefaçon : on s'inscrit en faux, juridiquement la Hadopi lutte contre le défaut de sécurisation d'un accès Internet. #CJUEHadopi
Mais en tout état de cause, on invite la CJUE à rappeler que la contrefaçon, quand il s'agit de télécharger un fichier soumis au droit d'auteur, n'est pas de la criminalité grave. #CJUEHadopi
Pourquoi passer par tout cela ? Parce que l'accès à l'IP se fait donc pour une infraction légère. Or la CJUE exige que seule la criminalité grave puisse justifier l'accès à des adresses IP. L'accès par les agents assermentés à l'IP est donc contraire au droit de l'UE. #CJUEHadopi
La jurisprudence de la Cour exige aussi un contrôle indépendant avant d'accéder à une donnée de connexion. Au sens strict, la CPJ du CE se limite à ce point. #CJUEHadopi
QPJ* #CJUEHadopi
Penser de manière autonome le contrôle indépendant n'a pas de sens : il ne se comprend qu'à la condition que l'autorité qui veut accéder à des données de connexion lutte contre de la criminalité grave. #CJUEHadopi
Une autorité qui ne lutte que contre des délits ordinaires n'aura jamais à accéder aux données de connexion : on n'a donc pas à se poser la question du contrôle de cet accès qui ne peut avoir lieu légalement. #CJUEHadopi
C'est pourtant ce que demande le CE : quelle nature devrait avoir un contrôle indépendant en cas d'accès à des données de connexion pour des faits de criminalité ordinaire ? Absurde. #CJUEHadopi
On continue notre raisonnement : la Hadopi ne lutte pas contre de la criminalité grave. Elle ne doit donc pas accéder à des données de connexion. C'est donc, in fine, la nature même de la Hadopi qui doit être remise en question. #CJUEHadopi
En conclusion, la CJUE est invitée à faire preuve d'une grande vigueur face à un @Conseil_Etat qui cherchera la moindre faille. On invite la Cour à ne pas créer d'exception Hadopi, à ne pas la sauver : cela ouvrirait la voie à d'autres atteintes sécuritaires. #CJUEHadopi
Deux éléments pour finir. Premièrement, on invite la CJUE à saisir cette affaire pour rappeler à la France qu'elle ne respecte pas le droit de l'UE en matière de conservation des données et qu'elle est donc en manquement, notamment depuis l'arrêt du CE d'avril 2021. #CJUEHadopi
2emement, on prévient la CJUE que la France est activement à la manœuvre pour modifier le droit dérivé afin de contourner la jurisprudence actuelle de la CJUE. Dans e-evidence, la France pousse à un nivellement par le bas des garanties en matière d'accès aux données. #CJUEHadopi
On invite donc la CJUE à préciser que la jurisprudence actuelle peut se baser sur la Charte (droit primaire) uniquement. #CJUEHadopi
Au tour de la France. #CJUEHadopi
Sans surprise, la France ne veut pas que la CJUE se prononce sur l'accès par les agents assermentés à l'adresse IP. Le malaise côté français est palpable. :) #CJUEHadopi
La France reprend l'argumentation du RPCE dans ses conclusions : l'adresse IP collectée par les agents assermentés ne serait pas une donnée de connexion soumise à la directive e-privacy. #CJUEHadopi
La collecte des IP ne ferait imposer aucune obligation de traitement aux FAI. L'adresse IP est « visible en ligne » en raison du fonctionnement même du réseau. #CJUEHadopi
La France veut que l'exigence de lutte contre la criminalité grave ne s'applique pas en raison de l'absence de conservation par les agents assermentés des IP. Ces agents assermentés accèdent à des IP rendues publiques. #CJUEHadopi
La France revient sur la décision du @Conseil_constit de 2020. Je n'ai pas bien compris où elle veut aller. #CJUEHadopi
En gros, pour l'adresse IP, la France dit qu'il n'y a ni obligation de conservation, ni obligation faite aux FAI de fournir ces données (qui sont publiques). #CJUEHadopi
La France revient sur la finalité de la riposte graduée et estime qu'il s'agit d'une lutte contre la contrefaçon en ligne et relèverait de la criminalité grave... o_O #CJUEHadopi
(Franchement, si télécharger un film est de la criminalité grave, je ne vois pas ce qui relèvera de la criminalité ordinaire...) #CJUEHadopi
Subtilité : l'agente de la France précise que c'est le droit français qui fait de la contrefaçon de la criminalité grave. Parce qu'il y a de fortes peines encourues. Elle dit aussi que le caractère massif du téléchargement en fait de la criminalité grave. #CJUEHadopi
(Je traverse souvent la rue quand le feu est rouge, en infraction avec le code de la route. Suis-je un grand criminel ?) #CJUEHadopi
La France estime qu'il y a peu d'ingérence dans les droits fondamentaux. Elle ne pourrait tirer aucune information sur la vie privée des personnes. #CJUEHadopi
Grosse contradiction : la France est d'accord pour dire qu'il est impossible de dire avec précision qui télécharge quoi, donc qu'on ne peut pas caractériser l'acte de contrefaçon. Mais ça serait quand même de la lutte contre la contrefaçon... #CJUEHadopi
Les dates et heure du téléchargement ne donnerait aucune information sur l'abonné·e. Euh... ? #CJUEHadopi
La France vient sur l'encadrement du contrôle indépendant. Vu que la France considère que l'ingérence dans les droits est faible, le contrôle indépendant pourrait être allégé. #CJUEHadopi
La France ne veut pas de contrôle préalable. Elle dit que les autres garanties sont suffisantes. Un contrôle préalable paralyserait le rôle de la Hadopi (je suis bien d'accord sur ce point :D). #CJUEHadopi
La France estime que si la CJUE veut impérativement un contrôle préalable, alors elle appelle à la possibilité d'automatisation de ce contrôle et qu'on puisse se contenter de contrôles aléatoires. #CJUEHadopi
France : « Pour clore cette plaidoirie particulièrement dense ». Ah oui, j'allais presque sortir le paracétamol. :) #CJUEHadopi
La conclusion de la France est une répétition de ce qu'elle a développé dans sa plaidoirie. En même temps, elle est partie tellement loin que c'est nécessaire de rappeler où elle voulait aller. #CJUEHadopi
Au tour du Danemark. #CJUEHadopi
Le Danemark revient sur la possibilité pour un État membre d'utiliser les adresses IP pour lutter contre la criminalité ordinaire, dont les atteintes au droit d'auteur. Il rappelle que la CJUE considère que le traçage permis par les IP est important. #CJUEHadopi
(Fun fact: la traduction est en avance sur la plaidoirie, les traducteur·rices doivent avoir le verbatim de la plaidoirie. :D)
Le Danemark estime que l'adresse IP est le seul moyen de lutter contre certains délits en ligne. Particulièrement pour le téléchargement illégal. #CJUEHadopi
Le Danemark estime que e-privacy ne s'applique pas quand une autorité administrative ne reçoit des données d'identité à partir d'une IP. Bon, c'est le même raisonnement que le gouvernement FR après la censure du @Conseil_constit. #CJUEHadopi
L'agente appelle que l'identité civile seule ne révèle pas grand chose sur la vie privée d'un internaute. Je ne vois pas où elle veut venir, puisque la Hadopi associe cela à une donnée de connexion (l'IP) et à une communication (le fichier téléchargé)... #CJUEHadopi
Le Danemark fait le parallèle entre l'adresse IP reçue par la Hadopi, et un numéro de téléphone. Il oublie que la Hadopi connaît également le contenu de la communication... #CJUEHadopi
Le Danemark n'avait produit aucun mémoire pendant la phase écrite. Je me disais bien qu'il y avait beaucoup d'avocats : les EM ont rappliqué pour sauver leurs accès illégaux aux données de connexion... #CJUEHadopi
Le Danemark dit que comme on ne peut pas déduire l'historique des sites web visités dans le cadre de la riposte graduée de la Hadopi, il n'y a pas de traçage exhaustif, donc pas d'ingérence grave dans les droits fondamentaux. #CJUEHadopi
Le Danemark revient sur la jurisprudence Ministerio Fiscale. Dans cette affaire, la CJUE avait validé l'association d'une carte SIM avec l'identité civile, parce qu'il n'y avait pas de traçage possible. #CJUEHadopi
Le Danemark n'a visiblement pas lu nos écritures. :) On disait bien que la Hadopi n'est pas dans la même situation que Ministerio Fiscal : la Hadopi sait très bien quel fichier a été utilisé, et l'IP est utilisable au-delà de la riposte graduée. #CJUEHadopi
Au tour de la Finlande. Elle n'a pas non plus présenté d'observations écrites parce qu'il n'y a pas d'équivalent à la Hadopi en Finlande. On parie qu'elle va quand même défendre la Hadopi ? #CJUEHadopi
En effet, la Finlande estime que le droit de l'UE ne s'oppose pas au système Hadopi, pour de la criminalité ordinaire et donc sans contrôle indépendant préalable. #CJUEHadopi
Comme la France et le Danemark, la Finlande estime que l'ingérence dans l'accès à l'identité civile n'est pas grave. #CJUEHadopi
(J'ai l'impression d'être en 2019 : les EM étaient venus chouiner les uns après les autres pour sauver leurs législations nationales de surveillance généralisée...) #CJUEHadopi
La Finlande estime qu'il ne faudrait pas de contrôle indépendant préalable quand une autorité veut accéder à l'identité civile à partir d'une IP. Exactement ce que nous préparent les trilogues de e-evidence... #CJUEHadopi
Elle veut aussi un tel accès pour lutter contre la criminalité ordinaire. #CJUEHadopi
La Finlande reprend l'argument de la France : la quantité de demandes d'accès est incompatible avec l'exigence de contrôle indépendant préalable. #CJUEHadopi
Comme une impression de déjà-vu...
https://twitter.com/BLeQuerrec/status/1521464395704029185#CJUEHadopi
Au tour de la Suède. Elle avait produit un mémoire pendant la phase écrite pour défendre la Hadopi. « Le gouvernement suédois souscrit à ce qui s'est déjà dit » (par les États membres, pas par nous, forcément). #CJUEHadopi
Rien de nouveau. Je sens que la matinée va être une longue répétition par les États membres... :) #CJUEHadopi
La Suède affirme que l'accès à l'IP est la seule manière de lutter contre certains délits ordinaires. Elle affirme aussi que l'accès aux données d'identité civile n'est pas une ingérence grave. On reparle de Ministerio Fiscal. La fatigue... #CJUEHadopi
(Il y a quand même une forme de rupture de l'égalité des armes : les EM se sont visiblement donné rendez-vous pour répéter ad nauseam toute la journée que l'IP+identité civile devraient faire l'objet d'un accès sans contrôle et pour de la criminalité ordinaire...) #CJUEHadopi
La Suède revient sur la notion de la criminalité grave. La notion ne serait pas la même d'un État à un autre. Autrement dit, en sous-titre : la Suède veut que les EM soient les seuls à définir ce qui relève de la criminalité grave. #CJUEHadopi
C'est long. #CJUEHadopi
Pour rappel, on n'avait que 20 minutes (on a dû déborder de 4-5 minutes). Les EM ont 15 minutes multipliées par le nombre d'ÉM... #CJUEHadopi
On continue notre voyage en Europe du Nord : au tour de la Norvège. #CJUEHadopi
La Norvège revient sur l'applicabilité de la directive e-privacy. Elle estime que cette directive n'est pas applicable : « les organisations collectent les adresses IP sans l'aide des FAI ». #CJUEHadopi
La Norvège dit qu'il faut donc regarder cet accès au regard du RGPD et de la directive police-justice (2016/680). Elle dit finalement que l'accès aux IP par les agents assermentés est hors champ de la QPJ. #CJUEHadopi
La Norvège rappelle la jurisprudence Ministerio Fiscal. On sent que c'est la stratégie des États membres. #CJUEHadopi
La Norvège estime qu'on est donc dans le cas d'un recoupement d'une identité civile avec une IP qui n'a pas été obtenue avec la collaboration des FAI. Il n'y aurait pas d'ingérence grave dans les droits fondamentaux. #CJUEHadopi
Ici, on ne pourrait tirer une conclusion qu'en ce qui concerne la violation du droit d'auteur. Cela ne serait pas une ingérence grave car limité à un cas très précis. #CJUEHadopi
(Je rappelle que TMG avait laissé accessible en ligne à n'importe qui des listes d'adresses IP d'internautes repéré·es...) #CJUEHadopi
Suspension d'audience pour quelques minutes. Il reste encore des plaidoiries d'EM, et probablement aussi celle de la Commission. #CJUEHadopi
On reprend avec la Commission. On a entendu tous les États membres, donc. La Commission estime que cette affaire est l'occasion de clarifier la nature de l'ingérence de l'accès à l'identité civile à partir d'une IP. L'ingérence ne serait pas grave. #CJUEHadopi
Sur le recueil des IP par les agents assermentés (ayants-droit) : la Commission estime qu'il faut regarder cette situation à la lumière de e-privacy et RGPD (je dirais qu'il faut aussi prendre en compte la directive police-justice si on intègre le RGPD). #CJUEHadopi
« La Commission relève un doute quant à l'applicabilité de eprivacy en ce qui concerne le traitement en amont » (l'accès à l'IP par les agents assermentés). Ce serait plutôt le RGPD qui s'appliquerait. #CJUEHadopi
La Commission revient sur l'arrêt MICM (C-597/19) : dans le cadre d'une procédure civile, l'accès à l'identité civile a été permise à partir d'une IP. #CJUEHadopi
Pour affirmer que l'ingérence dans la vie privée serait faible, la Commission estime que peu de données sont accessibles à la Hadopi. Ce ne serait pas comparable avec les cas d'une enquête pénale. #CJUEHadopi
(Commission européenne et EM oublient que la Hadopi accède également à la communication en cause...) #CJUEHadopi
La Commission ne dit toutefois pas qu'il n'y a aucune ingérence dans les droits fondamentaux. Il faut donc que l'accès soit proportionné aux risques encourus. #CJUEHadopi
La Commission estime qu'il faut un contrôle préalable. Mais elle dit que ce contrôle ne doit pas être le même que celui dégagé dans les arrêts LQDN 1 et Prokuratuur. #CJUEHadopi
La Commission joue donc totalement le jeu du @Conseil_Etat : un pseudo contrôle dépouillé de toute effectivité serait suffisant, à l'écouter. Elle dit par exemple qu'un contrôle interne suffirait. Pourtant la CJUE a bien dit dans Síochána que ce n'est pas possible. #CJUEHadopi
Je crois que la Commission a dit qu'on ne devait pas exclure un contrôle automatisé. On passe aux questions et celles de la rapporteure en premier. #CJUEHadopi
La rapporteure pose une question sur le déroulé de la mission de la Hadopi : où se situe l'humain alors qu'on dirait que la réception des IP par les agents assermentés, l'accès à l'identité civile puis l'envoi des avertissement semble entièrement automatisé ? #CJUEHadopi
La deuxième question de la rapporteure revient sur une étape où il y a un humain, mais lors de laquelle on dirait que cet humain n'a pas vraiment le choix que d'appuyer « sur le bouton ». #CJUEHadopi
La troisième question de la rapporteure porte sur le contrôle humain des échantillons. #CJUEHadopi
Réponses de l'agente française. Le traitement est « essentiellement automatisé ». Il n'y a pas de contrôle in concreto pour chaque cas. Mais une intervention humaine est prévue pour des lots de demandes d'accès transmises aux opérateurs et leurs réponses. #CJUEHadopi
Pour ces lots, l'agent « déclenche » manuellement l'étape suivante, mais contrôle avant l'échantillon. Le contrôle est quotidien, ça serait la raison d'être des agents de la Hadopi (on parle des agents de la Hadopi, pas des agents assermentés/ayants-droit). #CJUEHadopi
La rapporteure questionne la France sur sa position concernant des aménagements qu'on pourrait apporter au contrôle et que propose la Commission. Réponse : aujourd'hui ce que propose la Commission correspondrait à l'existant en pratique (contrôle d'échantillons). #CJUEHadopi
La France répond aussi que la Hadopi est une autorité administrative indépendante, donc qu'on n'aurait pas vraiment besoin d'un contrôle fait par une autre autorité. Argh, c'est n'importe quoi... #CJUEHadopi
La France fait le parallèle avec une juridiction qui a des pouvoirs d'instruction. En France, une telle juridiction peut demander l'accès à des données de connexion alors qu'elle va juger l'affaire après. #CJUEHadopi
Question d'un juge sur le nombre de saisines du procureur. J'ai pas noté la réponse, mais la Hadopi dit 942 suites pénales en 2021 dont 274 classements sans suite, 1 relaxe, 393 mesures alternatives aux poursuites, et 274 sanctions pénales. #CJUEHadopi
La Commission est questionnée sur les garanties à apporter dans l'hypothèse d'un contrôle aménagé à la situation Hadopi. #CJUEHadopi
Réponse : le contrôle par catégories (j'ai pas suivi de quelles catégories il s'agirait) suffirait. #CJUEHadopi
Autre question : est-ce qu'un agent assermenté pourra connaître l'identité civile d'un abonné ? Réponse : non, la Hadopi est là pour faire interface entre les FAI et les ayants-droit. #CJUEHadopi
Mais si le dossier est transmis au procureur, les ayants-droit vont connaître l'identité civile de l'internaute. #CJUEHadopi
Question pour nous : quel système avoir pour lutter contre la violation de propriété intellectuelle ? Réponse : on n'a pas à déterminer le système idéal, et d'ailleurs certains États n'ont pas leur Hadopi. #CJUEHadopi
On rappelle aussi que la Hadopi, c'est des millions d'accès aux données de connexion, pour moins de 1000 suites pénales dont 274 sanctions... #CJUEHadopi
Il y a d'autres manières de faire que cette répression. C'est le développement de l'offre légale, plutôt qu'une politique répressive, qui va sauver les ayants-droit. #CJUEHadopi
S'attaquer aux plateformes qui surfent sur ce téléchargement, plutôt que les internautes, est aussi une autre réponse, qui n'implique pas d'accès aux données d'identité civile. #CJUEHadopi
Question de l'AG sur le cas d'une adresse IP dynamique. On répond que la Hadopi ne concerne pas que des abonnés qui ont une adresse IP dynamique. Et cela ne change rien sur les possibilités d'identification par la Hadopi. #CJUEHadopi
On termine l'audience par une courte réplique. On rappelle que la Hadopi et les agents assermentés accèdent au contenu d'une communication. #CJUEHadopi
On reprend l'exemple de l'ado qui se fait outer par l'avertissement de la Hadopi suite au téléchargement d'un film pornographique. Le fait que la riposte graduée comporte un accès au contenu de la communication est crucial pour comprendre la gravité de l'ingérence. #CJUEHadopi
Réplique de la France : la Hadopi, c'est le choix de la pédagogie. C'est pour cela qu'il y a peu de poursuites pénales. Ça serait aussi parce qu'on peut difficilement imputer le téléchargement à une personne individuelle. #CJUEHadopi
Point « exception culturelle » française qui justifierait l'existence de la Hadopi... #CJUEHadopi
La France affirme que plus on envoie des avertissements, moins il y a de téléchargements P2P. #CJUEHadopi
Réplique de la Suède : les situations au sein des EM est très diverses. La CJUE ne devrait pas généraliser au point de soumettre tout accès à des données de connexion à un contrôle préalable. #CJUEHadopi
C'était pas la Suède. J'ai pas noté de quel EM il s'agissait. #CJUEHadopi
J'ai pas compris la réplique de la Suède. #CJUEHadopi
Conclusions de l'AG le 27 octobre prochain. Ça sent le jugement rapide. Fin de l'audience. #CJUEHadopi
De retour à Paris. Autant dire qu'on savoure cette bière, l'audience était épuisante. :) #CJUEHadopi
• • •
Missing some Tweet in this thread? You can try to
force a refresh
