Une affaire de bon sens ? La Quadrature du Net II (aff. C-470/21) devant l’Assemblée plénière de la Cour de Justice de l’Union européenne
Edouard Dubout, Professeur à l’Université Panthéon-Assas
Loïc Azoulai, Professeur à Sciences Po Paris
Dominique Ritleng, Professeur à l’Université de Strasbourg
I – Liberté versus sécurité
Le droit et la jurisprudence de l’Union européenne seraient-ils allés trop loin en privant les États membres de la capacité de conserver les données des utilisateurs d’Internet ?
C’est ce que l’Avocat général Szpunar, relayant une position partagée par certaines juridictions nationales et une partie de la doctrine, suggère à l’Assemblée plénière de la Cour de justice dans l’affaire Quadrature du Net II, à l’occasion d’une nouvelle question préjudicielle posée le Conseil d’État français en matière d’accès des autorités nationales aux données de connexion[1]. Selon l’Avocat général, la spécificité des infractions numériques et le risque d’impunité de leurs auteurs requièrent une « adaptation » du cadre protecteur des droits fondamentaux mis en place par la jurisprudence de la Cour[2].
Le nœud du conflit porte sur la conservation et l’accès aux données de connexion des utilisateurs d’Internet. Tandis que la Cour de justice s’est efforcée de dégager un cadre protecteur des droits des individus dans la société, à travers notamment un test de proportionnalité stricto sensu des mesures de conservation et d’accès à leurs données, le juge français – probablement animé par son rôle de gardien de la puissance de l’État[3] – a préconisé une autre approche, centrée sur un test d’efficacité en matière de protection de la sécurité publique[4].
La retentissante affaire French Data Network avait donné lieu à un premier échange et à une divergence de vue entre ces deux juridictions[5]. A présent, le Conseil d’État français revient à la charge dans le cadre des infractions en ligne au droit de propriété intellectuelle et aux droits d’auteurs. En substance, le gouvernement français réclame la possibilité pour la HADOPI d’accéder aux adresses IP, puis aux identités civiles, des détenteurs d’accès à Internet à partir desquelles de telles infractions en ligne ont été commises. Cela suppose de conserver les données d’identité numérique des utilisateurs à chacune de leur connexion.
Or, la jurisprudence établie par la Cour de justice dans l’arrêt Quadrature du Net I est claire : les infractions aux droits d’auteur et droits voisins, consistant à téléverser sur Internet des œuvres protégées ne sont pas considérées comme étant d’une gravité suffisante pour la sécurité publique au point de justifier une atteinte – quant à elle jugée grave – à la vie privée des utilisateurs[6].
Pour schématiser, la Cour distingue, dans sa jurisprudence, trois degrés d’atteinte à la sécurité et à la liberté : « extrême », « grave », « modéré ». Seule une menace « extrême » pour la sécurité (dite pour cette raison « nationale ») pourra justifier une atteinte « extrême » à la liberté ; un risque « grave » pour la sécurité publique sera en mesure de justifier une ingérence « grave » dans la liberté individuelle ; un risque « léger » pour la sécurité et l’ordre public ne permettra qu’une entorse « légère » à la liberté. C’est pourquoi une simple atteinte aux droits de propriété intellectuelle ne saurait justifier une conservation généralisée des adresses IP des internautes.
Reste que les résistances et les critiques adressées à ce cadre semblent avoir fait douter une partie des juges à la Cour de justice du bien-fondé de leur grille d’analyse, au point de renvoyer la question devant l’Assemblée plénière.
A l’appui de la proposition d’adaptation de la jurisprudence existante, l’Avocat général avance trois principaux arguments :
- le parallélisme des pouvoirs des personnes privées et des autorités publiques ;
- la redéfinition du degré de gravité des atteintes à la liberté individuelle ;
- le risque d’impunité des infractions commises en ligne.
On voudrait les discuter brièvement. Il nous apparaît en effet que, malgré le sérieux et l’apparente « évidence » des arguments développés, ceux-ci portent en germe un délitement du modèle d’équilibre sur lequel la jurisprudence s’est fixée.
II – Public versus privé
Le premier argument avancé pour élargir l’accès des autorités publiques à l’identité des internautes tient au fait que la jurisprudence de la Cour l’admet déjà au bénéfice des personnes privées dans le cadre d’actions civiles de protection de leur droit d’auteur[7]. Il serait incohérent d’autoriser cette ingérence de la part des personnes privées et de la refuser à l’égard d’autorités publiques, alors que celles-ci sont démocratiquement instituées et contrôlées.
Au nom de la cohérence du droit, l’Avocat général propose :
« de réconcilier deux lignes de jurisprudence de la Cour, sources d’une certaine tension […], à savoir, d’une part, la jurisprudence relative à la conservation et à l’accès aux données et, d’autre part, celle relative à la communication des adresses IP attribuées à la source d’une connexion dans le cadre des recours en protection des droits de propriété intellectuelle, initiés par des personnes privées »[8].
L’Avocat général rejoint ici l’argument selon lequel la jurisprudence de la Cour ferait peser une présomption exagérée d’intention malveillante de la part des autorités étatiques. Le droit de l’Union ferait-il plus confiance au marché qu’à la démocratie ?
Cet argument nous paraît erroné. Le principe est simple : à situations différentes, règles différentes. Les conséquences respectives d’une action civile ou d’une action répressive sur la liberté des personnes visées ne sont évidemment pas comparables. Les opérateurs privés ayant accès aux données de connexion en vue de protéger les droits d’auteur ne disposent pas du pouvoir d’imposer des sanctions pénales. Les conséquences de l’ingérence n’étant pas comparables, on ne saurait prendre appui sur une prétendue analogie entre autorités publiques et personnes privées pour justifier un alignement de leurs pouvoirs[9].
Il en va de même quant au rapprochement que l’on pourrait être tenté de faire avec les pouvoirs, il est vrai considérables, dont disposent les plateformes en ligne, en charge désormais de lutter directement contre l’illicéité en ligne[10]. Aussi puissants soient-ils, ces opérateurs ne disposent pas de l’exercice de la force et de la contrainte. Il ne leur est possible que de supprimer un contenu, voire d’exclure un utilisateur de leurs services, et non de leur imposer des sanctions pénales.
Il n’est que logique, et même salutaire, que le droit de l’Union affiche par principe une certaine méfiance à l’égard de la puissance publique. La tentation d’abuser de la position de pouvoir des gouvernements, y compris « libéraux », n’est plus à démontrer. Elle est d’autant plus forte dans le monde numérique qui leur offre une possibilité sans précédent de contrôle invisible des citoyens. Les droits fondamentaux ont été entièrement conçus sur la base de cette méfiance, précisément parce qu’un système électoral démocratique rend possible leur conquête ou leur exercice dans une perspective « illibérale ». Une fois cette présomption abandonnée, comment pourrait-on légitimement la restaurer ?
Ajoutons que, à la différence d’un agent privé, l’Etat agit au nom de tous, de la société dans son ensemble. Instituer une surveillance généralisée, au nom de la lutte contre les infractions, serait établir une surveillance de « tous contre tous ».
III – Définir la gravité
Le deuxième argument mobilisé en faveur de l’assouplissement de la jurisprudence consiste à revenir sur le degré de gravité des atteintes aux intérêts en présence. L’Avocat général Szpunar procède à une double qualification. D’une part, il entend établir que la violation des droits de propriété intellectuelle « ne saurait relever de la lutte contre la criminalité grave »[11]. D’autre part, il propose de considérer que la conservation et la communication des adresses IP ne peuvent être qualifiées de « graves » :
« Je suis d’avis qu’il convient d’interpréter la jurisprudence de la Cour relative à la gravité de l’ingérence dans les droits fondamentaux causée par la conservation et l’accès à des adresses IP comme impliquant non pas que cette ingérence est toujours une ingérence grave, mais qu’elle l’est seulement lorsque les adresses IP peuvent conduire à un traçage exhaustif du parcours de navigation de l’internaute et à tirer des conclusions très précises sur sa vie privée »[12].
De cette façon, la conservation et la communication de l’identité des détenteurs d’un accès Internet pourraient être jugées proportionnées, alors même que l’infraction qu’elles visent à réprimer n’est elle-même que d’une gravité légère. La structure d’ensemble de la jurisprudence existante corrélant le degré d’atteinte à la liberté au degré d’atteinte à la sécurité pourrait ainsi être préservée. La question revient à savoir qui, et selon quels critères, doit apprécier le degré de « gravité » de l’atteinte aux intérêts en présence.
La première qualification, consistant à se prononcer sur le degré de gravité de l’atteinte à la sécurité, suppose d’ériger l’atteinte à la sécurité ou la lutte contre la criminalité grave en notions « autonomes » du droit de l’Union, faute de quoi – comme le soutient l’Avocat général – chaque État pourrait contourner la construction jurisprudentielle européenne, en considérant comme « grave » la moindre infraction pénale[13]. Notons que cette position n’est pas partagée par l’ensemble des membres de la Cour de justice, l’Avocat général Collins ayant quant à lui estimé que la question de la définition des atteintes à la sécurité publique devrait demeurer de la seule appréciation des autorités nationales en charge de l’assurer[14]. Cette dernière position revient à considérer que la clause de l’article 4§2 TUE, qui traite plus spécifiquement de la sécurité « nationale », gouverne la répartition des compétences dans l’Union européenne, et non seulement – comme le juge la Cour de justice jusqu’à présent – leur exercice[15]. Un compromis pourrait consister à conférer aux autorités nationales une certaine marge de manœuvre afin de fixer le degré de gravité attaché aux atteintes à la sécurité, tout en la soumettant à un encadrement par le droit de l’Union en vue de vérifier l’objectivité d’une telle qualification[16].
La seconde qualification est au cœur de la réflexion : elle porte sur le degré d’atteinte à la liberté, notamment à la vie privée. Dans l’affaire Quadrature du Net I, la Cour a clairement établi que la conservation généralisée et la communication des adresses IP des internautes présente un degré de gravité certain. Il en va du droit à la libre expression en ligne, d’une sorte de droit à l’anonymat dans la vie sociale et en ligne : « les internautes disposent […] du droit de s’attendre, en vertu des articles 7 et 8 de la Charte, à ce que leur identité ne soit, en principe, pas dévoilée »[17]. Quoique l’on pense des effets délétères de l’anonymat sur la brutalisation de la communication à l’ère numérique, nous tenons à rappeler l’importance essentielle du droit à demeurer anonyme et invisible dans la société européenne.
De son côté, l’Avocat général avance différents éléments en vue de minorer la gravité de la conservation et de la communication des adresses numériques. Le principal d’entre eux est tiré de ce que l’atteinte à l’anonymat des internautes ne peut avoir lieu qu’à l’occasion d’une infraction précise, identifiée par le titulaire d’un droit d’auteur, et ne saurait consister en une surveillance généralisée de tous les citoyens :
« il s’agit seulement de la révélation d’une consultation ponctuelle d’un contenu qui, pris isolément, ne saurait permettre d’établir le profil détaillé de la personne y ayant procédé.
[…]
il ne s’agit pas de vérifier l’ensemble de leur activité sur un réseau donné afin de déterminer s’ils ont procédé à une mise à disposition d’une œuvre en violation du droit d’auteur, mais plutôt, à partir d’un fichier identifié comme une contrefaçon, de déterminer le détenteur de l’accès à Internet à partir duquel l’internaute a procédé à la mise à disposition. […] il ne s’agit pas de surveiller l’activité de l’ensemble des utilisateurs des réseaux de pair à pair, mais uniquement celle des personnes procédant au téléversement de fichiers contrefaisants »[18]
L’Avocat général Szpunar ajoute une autre remarque, qui a toutes les apparences du bon sens : la levée de l’anonymat ne vise pas à déceler une infraction mais uniquement à la sanctionner une fois celle-ci établie. En ce sens, il existerait :
« une différence fondamentale entre le fait d’accéder à des données à caractère personnel relatives à une personne suspectée d’avoir commis une infraction afin de démontrer sa culpabilité et celui de permettre de dévoiler l’identité de l’auteur d’une infraction déjà constatée »[19].
La Cour de justice se serait-elle donc trompée en qualifiant d’atteinte « grave » à la vie privée la levée de l’anonymat d’une personne dont le compte Internet a permis de commettre une infraction ?
Les conclusions n’évoquent pas clairement ce qu’implique une levée ponctuelle d’anonymat dans un cas précis. Or, pour qu’une telle mesure soit possible, encore faut-il que l’ensemble des identités de l’ensemble des connexions des citoyens soit conservé, c’est-à-dire que soit organisée une conservation généralisée des identités de connexion.
De la même façon, dans ses conclusions dans l’affaire French Data Network, le rapporteur public près le Conseil d’Etat avait insisté sur la distinction entre la « conservation » et la « communication » des données, considérant que la jurisprudence de la Cour s’appuyait sur une logique excessive de « précaution »[20]. Mais c’est oublier que la « précaution » n’a de sens que lorsque les risques ne sont pas connus. S’agissant de données conservées, les risques sont bien connus : ils consistent en une surveillance de masse dont les affaires Snowden ou encore Cambridge Analytica ont montré la réalité.
Ajoutons ceci. Il n’en va pas seulement d’un usage mais d’un sentiment. La démocratie est aussi de l’ordre du sentiment. Pour un citoyen, il y a une différence sensible entre le fait de savoir que ses données ne pourront pas être utilisés, parce qu’elles ne sont pas conservées, et celui de craindre qu’elles puissent l’être à tout moment, à la faveur par exemple d’un prochain usage, d’un changement de loi ou de jurisprudence. Non pas uniquement l’accès aux données mais la conservation alimente, par elle-même, la crainte d’un usage arbitraire.
IV – Apprécier la nécessité
Le principal argument avancé par l’Avocat général repose sur le risque d’impunité des auteurs des infractions numériques à la propriété intellectuelle, qu’il qualifie de « systémique ». En l’absence d’accès à leurs identités, la sanction des « cyber-délinquants » serait rendue quasiment impossible.
C’est la raison pour laquelle l’Avocat général propose d’étendre la communication des identités numériques aux autorités répressives non pas uniquement en cas d’atteinte au droit d’auteur mais pour tout type d’infractions en ligne :
« le risque d’une impunité systémique n’est pas limité aux infractions au droit d’auteur commises sur les réseaux de pair à pair, mais s’étend […] à l’ensemble des infractions exclusivement constituées en ligne »[21].
Pour étayer son raisonnement, l’Avocat général entend distinguer entre une mesure qui ne serait que simplement « nécessaire » pour réprimer une infraction (efficacité relative), et une mesure qui serait absolument « indispensable » à cette fin (efficacité absolue), faute de laquelle l’impunité régnerait :
« il ne s’agit pas […] de permettre, par le jeu de l’examen de la nécessité d’une telle mesure, la conservation et l’accès à des données qui facilitent seulement la détection et la poursuite d’infractions, lorsque ces infractions peuvent également être détectées et poursuivies par des moyens concurrents, même moins efficaces. Il est en revanche question de permettre la conservation et l’accès à ces données lorsque celles-ci sont indispensables à l’identification de la personne suspectée d’avoir commis une infraction, qui ne pourrait être poursuivie sans ces moyens dès lors que les données en cause constituent l’unique instrument d’identification de l’internaute dans la mesure où l’infraction est exclusivement constituée en ligne » (souligné par l’avocat général)[22].
L’argument a tout du bon sens : à quoi servirait d’incriminer un comportement que l’on ne pourrait sanctionner ? Mais il est également aisé d’y répondre : notre cadre constitutionnel, fondé sur la protection des droits fondamentaux, ne permet pas d’incriminer un comportement à n’importe quel prix.
Prendre aux sérieux l’idée qu’il existe des droits et libertés fondamentaux requiert de ne pas limiter le contrôle de leur respect à un simple test de nécessité. Si tel était le cas, alors nombre de mesures liberticides pourraient être jugées parfaitement justifiées, comme par exemple la surveillance télévisuelle ou satellitaire des infractions au code de la route. Une telle mesure de surveillance généralisée pourrait paraître « indispensable » en vue de mettre fin à une impunité elle aussi systémique du franchissement des lignes, du non-respect des distances de sécurité, ou encore du doublement par la droite, etc. Ce n’est pas pour autant que, dans une démocratie libérale, cette surveillance puisse toujours passer pour proportionnée.
Respecter les droits fondamentaux suppose de ne point limiter le contrôle à l’étape du test de la nécessité, qu’elle soit relative ou même absolue. Il convient de poursuivre l’analyse par une mise en balance des atteintes respectives aux valeurs en présence, soit un examen de la proportionnalité stricto sensu. Ainsi, même une mesure absolument nécessaire ou indispensable pourra être jugée avoir un coût trop important pour la liberté, notamment si elle est d’un bénéfice limité pour la sécurité. Or, il nous semble que renoncer à l’anonymat sur Internet en vue de lutter contre l’ensemble des infractions en ligne présente un danger non-négligeable à la fois pour la vie privée et pour la liberté d’expression en tant que poumon de l’idéal démocratique.
On relèvera en outre que, dans cette affaire, l’atteinte à la liberté n’est pas compensée par des garanties procédurales adéquates. Selon l’Avocat général, la communication des données est justifiée « sans que cet accès soit subordonné à un contrôle préalable par une juridiction ou une entité administrative indépendante »[23]. Cette position ne va guère de soi au regard de la jurisprudence antérieure[24]. Elle ouvre une faille dans le respect de l’État de droit en signifiant qu’une mesure d’enquête répressive et restrictive des libertés puisse être menée en l’absence de tout contrôle indépendant et préalable.
Pour tout dire, nous ne sommes pas convaincus par cette proposition d’« adaptation », « au nom d’un certain pragmatisme ». Il nous semble utile de conserver, en la matière, le cadre protecteur mis en place par la jurisprudence existante ; de faire preuve en droit d’une constance et d’une rectitude qui peuvent paraître excessives ; mais elles sont, à nos yeux, la garantie de ce que, dans la vie sociale, les Européens puissent jouir d’un espace de liberté et d’émancipation.
[1] Conclusions de l’Avocat général Szpunar du 23 septembre 2023, La Quadrature du Net et a. (Données personnelles et lutte contre la contre-façon), aff. C-470/21, spéc. note 38.
[2] Ibid., spéc. pt 30.
[3] L. Azoulai & D. Ritleng, « L’État, c’est moi. Le Conseil d’État, la sécurité et la conservation des données », RTDE, 2021 ; E. Dubout, « La manière française d’intégrer le droit de l’Union européenne », in B. Nabli (dir.), L’État intégré. Un nouveau type d’État européen, Bruylant, 2022.
[4] CE, 26 juillet 2018, La Quadrature du Net et a., req. n° 394922, spéc. pt 9 : « Une telle conservation présente dès lors une utilité sans équivalent pour la recherche, la constatation et la poursuite des infractions pénales ».
[5] Comp. CJUE, 6 octobre 2020, La Quadrature du Net et a., aff. jtes C-511/18, C-512/18, et C-520/18 ; et CE, Ass., 21 avril 2021, French Data Network et a., req. n° 393099, 394922, 397844, 397851, 424717, 424718.
[6] CJUE, 6 octobre 2020, La Quadrature du Net et a., préc., pt 156 : « Eu égard au caractère grave de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte que comporte cette conservation, seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature, à l’instar de la sauvegarde de la sécurité nationale, à justifier cette ingérence ».
[7] CJUE, 17 juin 2021, M.I.C.M., aff. C‑597/19.
[8] Conclusions aff. C-470/21, préc., spéc. pt 85.
[9] A titre d’exemple, l’on peut parfaitement admettre qu’un employeur puisse disposer dans certains cas d’un pouvoir de surveillance d’un de ses employés dans le cadre de son activité (par exemple sur le fondement d’une obligation de confidentialité), dont ne puissent disposer les pouvoirs publics dans un cadre pénal.
[10] L’obligation de lutte contre les atteintes au droit d’auteur a été imposée aux plateformes en ligne de partage de contenus par la directive (UE) 2019/790 du Parlement européen et du Conseil, du 17 avril 2019, sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE (JO 2019, L 130, p. 92). Sur la validité de cette obligation (au regard de la liberté d’expression), CJUE, 26 avril 2022, Pologne c/ Parlement et Conseil, aff. C-401/19. Désormais, le Digital Services Act (Règl. (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, JO L 277, 27.10.2022, p. 1) étend la surveillance de leurs services par les plateformes en ligne à l’ensemble de la lutte contre l’illicéité en ligne, voy. E. Dubout, « Modérer la modération : le Digital Services Act et la civilisation du numérique », RTDE, 2023.
[11] Conclusions aff. C-470/21, préc., spéc. pt 48.
[12] Ibid. pt 55. Voy. aussi, aff. C‑597/19, préc., pt 121.
[13] Voy. les premières conclusions de l’avocat général Szpunar, du 27 octobre 2022, dans l’aff. C-470/21, pt 74 : « La notion de « criminalité grave » doit, à mon sens, recevoir une interprétation autonome. Elle ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l’article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave ».
[14] Conclusions de l’avocat général Collins, du 8 juin 2023, aff. C-178/22, spéc. pt 28 (ainsi que la note 38) : « La définition des infractions pénales et des sanctions reflète les sensibilités et traditions nationales qui varient considérablement non seulement entre les États membres, mais aussi dans le temps parallèlement aux changements sociétaux » (à propos d’un vol avec circonstances aggravantes d’un téléphone mobile).
[15] Voy., pour une discussion (non suivie par la Cour), les conclusions de l’avocat général Kokott, du 15 avril 2021, V.M.A., C-490/20, spéc. pts 82-88.
[16] Conclusions (2), aff. C-470/21, préc., spéc. note 19 : « même si la Cour venait à juger que la définition de la notion de « criminalité grave » est laissée aux États membres, celle-ci devrait en tout état de cause être établie dans les limites du droit de l’Union et ne pourrait être étendue au point de vider cette disposition de sa substance ».
[17] Aff. jtes C-511/18, C-512/18, et C-520/18, préc., spéc. pt 155 (ainsi que pt 109).
[18] Conclusions (2), aff. C-470/21, préc., spéc. pts 50 et 53.
[19] Ibid., spéc. pt 73.
[20] Conclusions du rapporteur public A. Lallet, sous CE, Ass., 21 avril 2021, préc., https://www.conseil-etat.fr/fr/arianeweb/CRP/conclusion/2021-04-21/393099?download_pdf, spéc. p. 16.
[21] Conclusions (2), aff. C-470/21, préc., spéc. pt 81.
[22] Ibid., pt 61.
[23] Ibid., pt 27.
[24] CJUE, 2 mars 2021, Prokuratuur, aff. C-746/18, spéc. pt 51 et s.