La Quadrature du Net and Others () and lutte contre la contrefacon) (concerning the processing of personal data and the protection of privacy in the electronic communications sector - Order) French Text [2023] EUECJ C-470/21_CO (23 March 2023)


BAILII is celebrating 24 years of free online access to the law! Would you consider making a contribution?

No donation is too small. If every visitor before 31 December gives just £5, it will have a significant impact on BAILII's ability to continue providing free access to the law.
Thank you very much for your support!



BAILII [Home] [Databases] [World Law] [Multidatabase Search] [Help] [Feedback]

Court of Justice of the European Communities (including Court of First Instance Decisions)


You are here: BAILII >> Databases >> Court of Justice of the European Communities (including Court of First Instance Decisions) >> La Quadrature du Net and Others () and lutte contre la contrefacon) (concerning the processing of personal data and the protection of privacy in the electronic communications sector - Order) French Text [2023] EUECJ C-470/21_CO (23 March 2023)
URL: http://www.bailii.org/eu/cases/EUECJ/2024/C47021_CO.html
Cite as: ECLI:EU:C:2023:256, EU:C:2023:256, [2023] EUECJ C-470/21_CO

[New search] [Contents list] [Help]


ORDONNANCE DE LA COUR (assemblée plénière)

23 mars 2023 (*)

« Réattribution de l’affaire – Réouverture de la phase orale de la procédure »

Dans l’affaire C‑470/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Conseil d’État (France), par décision du 5 juillet 2021, parvenue à la Cour le 30 juillet 2021, dans la procédure

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

contre

Premier ministre,

Ministère de la Culture,

LA COUR (assemblée plénière),

composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice‑président, M. A. Arabadjiev, Mmes A. Prechal (rapporteure), K. Jürimäe, MM. C. Lycourgos, E. Regan, M. Safjan, P. G. Xuereb, Mme L. S. Rossi, M. D. Gratsias et Mme M. L. Arastey Sahún, présidents de chambre, MM. M. Ilešič, J.-C. Bonichot, T. von Danwitz, S. Rodin, F. Biltgen, N. Piçarra, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, Mme I. Ziemele, MM. J. Passer, M. Gavalec, Z. Csehi et Mme Spineanu‑Matei, juges,

avocat général : M. M. Szpunar,

greffier : M. A. Calot Escobar,

l’avocat général entendu,

rend la présente

Ordonnance

1        La demande de décision préjudicielle porte sur l’interprétation de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11), lue à la lumière de la charte des droits fondamentaux de l’Union européenne.

2        Cette demande a été présentée dans le cadre d’un litige opposant La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net et French Data Network au Premier ministre (France) et au ministre de la Culture (France) au sujet de la légalité du décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (JORF no 56, du 7 mars 2010, texte no 19), tel que modifié par le décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (JORF no 109, du 10 mai 2017, texte no 176).

3        Le 10 mai 2022, la Cour a décidé de renvoyer la présente affaire devant la grande chambre. Le 16 juin 2022, le gouvernement français a déposé des observations en réponse à des questions pour réponse écrite posées par la Cour. Une audience a eu lieu le 5 juillet 2022 et M. l’avocat général a présenté ses conclusions le 27 octobre 2022, la phase orale de la procédure ayant été ensuite clôturée.

4        À la demande de la grande chambre, présentée en application de l’article 60, paragraphe 3, du règlement de procédure de la Cour, cette dernière a décidé, le 7 mars 2023, de renvoyer la présente affaire à l’assemblée plénière.

5        Dès lors, conformément à l’article 83 du règlement de procédure, l’avocat général entendu, il y a lieu d’ordonner la réouverture de la phase orale de la procédure. Il y a lieu en outre, en application de l’article 24, second alinéa, du statut de la Cour de justice de l’Union européenne, d’inviter le Contrôleur européen de la protection des données (CEPD) ainsi que l’Agence de l’Union européenne pour la cybersécurité (ENISA) à participer à l’audience et à prendre position, lors de celle-ci, sur les réponses qui seront apportées aux questions pour réponse écrite figurant à l’annexe de la présente ordonnance.

Par ces motifs, la Cour (assemblée plénière) ordonne :

1)      La phase orale de la procédure dans l’affaire C-470/21 est rouverte.

2)      La date de l’audience de plaidoiries est fixée aux 15 et 16 mai 2023.

3)      Les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne sont invités, chacun en ce qui le concerne, à répondre aux questions pour réponse écrite et orale figurant à l’annexe de la présente ordonnance.

4)      Le Contrôleur européen de la protection des données (CEPD) et l’Agence de l’Union européenne pour la cybersécurité (ENISA) sont invités à participer à l’audience et à prendre position, lors de celle-ci, sur les réponses apportées aux questions pour réponse écrite figurant à l’annexe de la présente ordonnance.

5)      Les dépens sont réservés.

Signatures

Annexe – Questions aux intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne

I.      Questions pour réponse orale

A.      Les intéressés sont invités à répondre lors de l’audience aux questions suivantes :

1)      Quels éléments factuels et quels intérêts juridiques protégés convient-il de prendre en compte aux fins de l’appréciation de la gravité et de la licéité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte (1) résultant de la conservation, prévue par la législation nationale applicable, des données relatives à l’identité civile correspondant à des adresses IP aux fins de la lutte contre les contrefaçons commises en ligne ?

En particulier :

a)      Est-il pertinent, aux fins de cette appréciation, que cette conservation puisse permettre à une autorité publique indépendante (en l’espèce la Hadopi (2), devenue l’ARCOM (3)) de mettre ces données en relation avec le contenu d’un fichier consulté par la personne concernée ?

b)      Une ingérence telle que celle résultant de l’obligation de conserver l’ensemble des données relatives à l’identité civile correspondant à des adresses IP aux fins de la lutte contre les contrefaçons commises en ligne devrait-elle pouvoir être justifiée en tenant compte, notamment, des garanties entourant l’accès aux données ainsi conservées ?

2)      Quels éléments factuels et quels intérêts juridiques protégés convient-il de prendre en compte aux fins de l’appréciation de la gravité et de la licéité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte résultant de l’accès, par la Hadopi, aux données relatives à l’identité civile correspondant à une adresse IP ?

En particulier :

a)      Dans l’hypothèse où la Hadopi, notamment lorsqu’elle décide de saisir le procureur de la République de faits susceptibles de constituer une atteinte aux droits d’auteur ou aux droits voisins, prend connaissance du contenu des fichiers téléchargés, cette prise de connaissance est-elle susceptible de révéler des informations protégées par la liberté d’expression consacrée à l’article 11 de la Charte ainsi que, le cas échéant, des informations sensibles portant sur des caractéristiques protégées de l’utilisateur d’Internet visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679 (4) et à l’article 10 de la directive (UE) 2016/680 (5) ?

b)      Quelle est l’éventuelle incidence sur cette gravité de la circonstance que la personne concernée a téléchargé le contenu en cause sur un réseau de pair à pair et doit-il être considéré qu’un utilisateur d’Internet qui télécharge un contenu sur un tel réseau rend son adresse IP accessible sur Internet ?

c)      Est-il concevable, sur la base du régime d’accès institué par la législation nationale applicable, de tirer des conclusions très précises sur la vie privée des utilisateurs des réseaux de pair à pair, en ce qui concerne, par exemple, leurs orientations sexuelles ou leurs convictions politiques ou religieuses, notamment i) en procédant à un profilage de ces utilisateurs par un retraçage en tout ou en partie de leurs parcours de navigation et/ou ii) en se fondant sur le contenu du/des fichier(s) concerné(s) par l’atteinte au(x) droit(s) d’auteur ou au(x) droit(s) voisin(s) en cause ?

d)      Les principes relatifs à l’accès aux données à caractère personnel s’appliquent-ils de manière différente selon qu’il s’agit de la lutte par la sphère privée contre les contrefaçons commises en ligne, telle qu’encadrée par les enseignements issus des arrêts du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), ou de la lutte par la sphère publique contre ces contrefaçons ?

3)      Quelle incidence est susceptible d’avoir sur la licéité des traitements de données tels que ceux découlant du régime de droit national régissant la Hadopi, au regard de l’exigence de proportionnalité consacrée à l’article 15, paragraphe 1, de la directive 2002/58 (6), le fait que, dans le cas d’infractions commises exclusivement en ligne, telles que les contrefaçons que la Hadopi a pour mission de détecter et de prévenir, l’adresse IP peut constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 154) ? Qu’en est-il dans ce contexte d’autres types d’infractions commises en ligne et touchant principalement des intérêts privés, comme les discours de haine et les injures ou encore les menaces proférées sur Internet ?

4)      Dans l’hypothèse où la conservation et l’accès aux données permettant d’identifier les titulaires d’adresses IP soupçonnés d’avoir commis une atteinte au droit d’auteur en ligne devraient être admis, en principe, dans une situation telle que celle en cause au principal, la jurisprudence de la Cour (7) selon laquelle un tel accès exige un contrôle préalable par une juridiction ou par une entité administrative indépendante ayant la qualité de tiers s’applique-t-elle, ou une telle exigence peut-elle (et, dans l’affirmative, dans quelle mesure) être aménagée en fonction d’une appréciation globale du système mis en place par la législation nationale régissant la Hadopi ?

Les éléments suivants présentent-ils une pertinence à cet égard :

a)      la gravité de l’ingérence potentielle dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte découlant d’un tel accès, entre autres la possibilité ou non de tirer des conclusions très précises sur la vie privée du titulaire d’une adresse IP i) en retraçant en tout ou en partie le parcours de navigation de celui-ci et/ou ii) en se fondant sur le contenu du/des fichier(s) concerné(s) par l’atteinte au(x) droit(s) d’auteur ou au(x) droit(s) voisin(s) en cause ;

b)      la possibilité, voire l’éventuelle nécessité de recourir à des dispositifs automatiques au regard de l’importance du nombre d’infractions en ligne considérées ;

c)      les garanties institutionnelles ou procédurales offertes, le cas échéant, par l’autorité souhaitant accéder aux données en cause et, en particulier, le fait que cette autorité est elle‑même indépendante, et

d)      la circonstance qu’une législation telle que celle en cause au principal vise à protéger le droit à la propriété consacré à l’article 17 de la Charte ?

B.      Le gouvernement français est invité à répondre lors de l’audience aux questions suivantes en tenant compte de la législation nationale qui encadrait l’action de la Hadopi, en cause dans le litige au principal, et après avoir recueilli préalablement, le cas échéant, les informations nécessaires à cette réponse auprès de l’ARCOM :

1)      Dans quelle mesure la Hadopi, notamment lorsqu’elle décide de saisir le procureur de la République de faits susceptibles de constituer une atteinte aux droits d’auteur ou aux droits voisins, prend-elle connaissance du contenu des fichiers téléchargés ?

2)      Les adresses IP communiquées à la Hadopi par les organismes d’ayants droit sont‑elles uniquement relevées sur les réseaux de pair à pair ?

3)      Les organismes d’ayants droit relèvent-ils et peuvent-ils techniquement relever les adresses IP de ceux qui se bornent à consulter un contenu protégé, sans le télécharger ?

4)      Les adresses IP des utilisateurs d’Internet pratiquant la consultation en streaming de contenus protégés sont-elles également relevées ?

5)      Les adresses IP transmises à la Hadopi sont-elles uniquement celles des utilisateurs d’Internet qui téléchargent des contenus protégés ou seulement celles des utilisateurs qui mettent ces contenus à la disposition d’autres utilisateurs ?

6)      La Hadopi exerce-t-elle un contrôle sur les conditions dans lesquelles les adresses IP qui lui sont communiquées sont relevées par les organismes d’ayants droit ?

7)      Selon quels critères cette autorité décide-t-elle d’adresser une première recommandation, puis une seconde, puis de saisir le procureur de la République ?

II.      Questions pour réponse écrite

Les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne sont invités à répondre par écrit (maximum dix pages), dans un délai de trois semaines à partir de la réception de la présente ordonnance, délai de distance inclus, aux questions suivantes :

1)      Eu égard à la jurisprudence de la Cour [arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 132 et 176, ainsi que du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 49 et jurisprudence citée] (8), quelles pourraient être les conditions matérielles et les conditions procédurales autres que le contrôle préalable visé à la question I, A, 4 devant entourer l’accès à des données relatives à l’identité civile correspondant à une adresse IP par une autorité publique indépendante telle que la Hadopi dans le cadre d’un système de traitement de données à caractère personnel essentiellement automatisé, compte tenu également du fait qu’un tel traitement automatisé comporte inévitablement un certain nombre de faux cas positifs ou négatifs ainsi que le risque qu’un nombre de données à caractère personnel potentiellement très élevé soit détourné par des tiers à des fins abusives ?

2)      Sur un plan technique :

a)      Est-il possible, dans l’hypothèse où un État membre impose aux opérateurs de services de communications électroniques la conservation, pour une certaine durée, des seules adresses IP, au titre d’une législation nationale spécifique telle que celle applicable à la Hadopi, tout en obligeant ces opérateurs, au titre d’une autre législation, à conserver, pour une certaine durée, tant les adresses IP que d’autres données de trafic et de localisation, ou en leur permettant de conserver ces autres données pour des raisons techniques ou de facturation, d’assurer « l’étanchéité » entre ces différents types de conservation ?

b)      Est-il possible de restreindre le fonctionnement de la procédure administrative dans le cadre de laquelle une autorité publique indépendante telle que la Hadopi a accès à des adresses IP à une liste prédéterminée d’œuvres protégées par le droit d’auteur ou un droit voisin ou de fichiers dont elle entend poursuivre le téléchargement illégal, liste dont le contenu serait régulièrement mis à jour par une entité administrative indépendante de cette autorité ou soumis au contrôle préalable d’une instance indépendante ? Le recours à des techniques telles que la vérification de la présence de codes alphanumériques obtenus par la technique du « hachage numérique » ou « hashing » est-elle susceptible de permettre de recourir à une solution de cet ordre ?

c)      Les adresses IP sont-elles en pratique conservées par les fournisseurs de services de communications électroniques, au titre des autorisations de stockage contenues aux articles 5 et 6 de la directive 2002/58, notamment pour des raisons techniques ou de facturation, et, dans l’affirmative, pour quelle durée ? Ces fournisseurs conservent-ils un « log » de tous les sites web consultés et disposent-ils donc d’un historique de ces consultations ?

d)      Est-il techniquement possible d’accéder, à partir des seules adresses IP, à des données de trafic ou de localisation et, si tel est le cas, quelles sont ces données ? Et une adresse IP peut-elle être, ainsi, exploitée pour suivre ou retracer l’ensemble des activités en ligne effectuées sur l’appareil (par exemple un smartphone ou un ordinateur) auquel cette adresse a été assignée ?


*      Langue de procédure : le français.


1      Charte des droits fondamentaux de l’Union européenne.


2      Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet, visée à l’article L. 331‑12 du code de la propriété intellectuelle dans sa version applicable aux fins de la présente procédure.


3      L’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) résulte de la fusion, le 1er janvier 2022, de la Hadopi et du Conseil supérieur de l’audiovisuel (CSA). Aux fins de la réponse aux questions posées par la Cour, les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne sont néanmoins priés de tenir compte de la législation nationale encadrant l’action de la Hadopi, en cause devant la juridiction de renvoi dans le litige au principal.


4      Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).


5      Directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).


6      Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11).


7      Arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15, EU:C:2016:970, points 119 et 120 ; du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 177 à 179 et 187 à 189 ; du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, points 50 et 51, ainsi que du 5 avril 2022, Commissioner of the Garda Síochána e.a., C‑140/20, EU:C:2022:258, points 105 et 106.


8      Sans préjudice de la directive 2016/680.

© European Union
The source of this judgment is the Europa web site. The information on this site is subject to a information found here: Important legal notice. This electronic version is not authentic and is subject to amendment.


BAILII: Copyright Policy | Disclaimers | Privacy Policy | Feedback | Donate to BAILII
URL: http://www.bailii.org/eu/cases/EUECJ/2024/C47021_CO.html