HADOPI avis CNIL

Délibération n°2008-101 du 29 avril 2008 portant avis sur le projet de loi relatif à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet
(avis n°08008030)

La Commission nationale de l'informatique et des libertés,

Vu la Convention européenne de sauvegarde des Droits de l'homme et des libertés fondamentales, notamment son article 10 ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 1 1 4° a) ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment son article 6 ;

Vu le Code de la propriété intellectuelle, notamment ses articles L. 331-5 et suivants ;

Vu le Code des postes et des communications électroniques, notamment son article L. 34-1 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 et notamment son article 6 ;

Vu les décisions du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 concernant la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et n° 96-378 DC du 23 juillet 1996 relative à la loi de réglementation de télécommunications ;

Sur le rapport de M. Emmanuel de GIVRY, commissaire et les observations de Mme Catherine POZZO DI BORGO, Commissaire du gouvernement adjoint ;

En application du 4° de l'article 11 de la loi du 6 janvier 1978 modifiée en août 2004, la Commission est saisie par le ministère de la culture et de la communication d'un projet de loi relatif à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet.

Emet l'avis suivant :

Le ministère de la culture et de la communication a saisi la Commission nationale de l'informatique et des libertés le 27 mars 2008 d'un projet de loi relatif à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur l'internet. Cette saisine s'inscrit dans le cadre de la procédure d'urgence mentionnée à l'article 6-1 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 précitée et ramène à un mois le délai imparti à la Commission pour se prononcer.

Afin de mieux lutter contre le téléchargement illicite sur internet des œuvres musicales, audiovisuelles et cinématographiques, ce projet de loi vise à mettre en place un mécanisme d'avertissement et de sanction piloté par une autorité administrative indépendante : la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI). Il est prévu que cette Haute Autorité soit saisie par les Sociétés de perception et de répartition des droits d'auteur (SPRD) et les organismes de défense professionnelle. Ces organismes procéderont eux-mêmes à la surveillance des réseaux et transmettront leurs constations à la Haute Autorité qui les utilisera pour prendre des sanctions administratives à l'encontre des internautes dont le poste informatique aura servi à diffuser sur internet des œuvres protégées par les droits d'auteur.

Le projet de loi prévoit de sanctionner les internautes concernés sur le fondement d'un « manquement à l'obligation de veiller à ce que leur connexion internet ne soit pas utilisée à des fins contraires au droit de la propriété intellectuelle ». Cette sanction devrait cependant intervenir après une phase d'avertissement : la première fois qu'il sera constaté que leur poste a servi à diffuser des œuvres sur internet, l'HADOPI pourra envoyer un message au titulaire de l'abonnement. En cas de récidive dans un délai de six mois, une seconde « recommandation » pourra leur être adressée, éventuellement sous la forme d'une lettre remise contre signature. La troisième fois, leur abonnement internet pourra être suspendu entre un mois et un an. Il est prévu la création d'un fichier national des personnes responsables « d'un manquement à l'obligation de surveillance de leur connexion internet », dont la gestion sera confiée à l'HADOPI.

Le projet de loi prévoit également que l'article L.34-1 du Code des postes et des communications électroniques (CPCE) soit modifié afin que les agents de l'HADOPI puissent demander aux opérateurs de communications électroniques de procéder à l'identification des abonnés à internet sur la base des informations communiquées par les SPRD et les organismes de défense professionnelle. De même, ils pourront accéder aux données de trafic détenues par les opérateurs précités et les conserver pour l'exercice de leurs missions. De même, la Haute Autorité devrait avoir accès aux données permettant d'identifier les personnes responsables de la mise en ligne d'un contenu, données que les fournisseurs d'accès à internet et d'hébergement ont obligation de conserver en application de l'article 6 de la loi pour la confiance dans l'économie numérique (LCEN).

Observations Liminaires
A titre liminaire, la Commission tient à rappeler que s'il n'entre pas dans ses missions d'apprécier la légitimité du dispositif proposé, il lui appartient en revanche d'examiner si, au regard des finalités poursuivies, les traitements de données personnelles envisagés sont proportionnés et si les garanties prévues pour assurer la protection des données personnelles recueillies et traitées sont de nature à préserver l'exercice des libertés constitutionnellement protégées au nombre desquelles figure la liberté individuelle dont le droit au respect de la vie privée constitue une des composantes.

La Commission observe également que les seuls motifs invoqués par le gouvernement afin de justifier la création du mécanisme confié à l'HADOPI résultent de la constatation d'une baisse du chiffre d'affaire des industries culturelles. A cet égard, elle déplore que le projet de loi ne soit pas accompagné d'une étude qui démontre clairement que les échanges de fichiers via les réseaux « pair à pair » sont le facteur déterminant d'une baisse des ventes dans un secteur qui, par ailleurs, est en pleine mutation du fait notamment, du développement de nouveaux modes de distribution des œuvres de l'esprit au format numérique.

Observations relatives à la création d'une nouvelle sanction administrative
L'article L. 336-3 du projet de loi dispose que le titulaire d'un accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation qui méconnaît les droits de propriété littéraire et artistique. Le second alinéa de cet article, assortit cette obligation d'une sanction en prévoyant que le fait, pour l'abonné, d'y manquer de manière répétée peut donner lieu à la suspension de son abonnement pour une durée d'un an assortie de l'impossibilité de souscrire un autre contrat auprès d'un autre opérateur. Enfin, le dernier alinéa prévoit trois clauses d'exonération : la mise en œuvre par l'internaute de moyens de sécurisation efficaces de son poste, le contournement par un tiers du procédé de sécurisation ou en cas de force majeure.

Sur l'obligation mise à la charge des abonnés et les cas d'exonération
La Commission relève que s'il incombe effectivement aux internautes de prendre toutes précautions utiles afin d'empêcher que des tiers aient accès à leur poste informatique, il importe également, pour ne pas rendre cette obligation disproportionnée et excessive, de mettre à leur disposition les dispositifs appropriés pour assurer, sans contrainte excessive, la sécurisation de leur poste et de mettre en œuvre les actions d'information et d'accompagnement techniques nécessaires.

A cet égard, la Commission relève avec intérêt que le projet de loi prévoit que l'HADOPI établira une liste de ces outils de sécurisation. Elle estime cependant que pour garantir expressément aux internautes la fiabilité de ces outils, il importe que ceux-ci fassent l'objet d'une procédure d'évaluation certifiée.

De même, elle prend acte d'une part, que selon les informations communiquées par le ministère de la culture, ces outils seront labellisés par l'HADOPI, d'autre part, qu'un décret en Conseil d'Etat précisera les procédures d'instruction des demandes d'exonération et de labellisation desdits outils de sécurisation.

La Commission relève qu'aux termes de l'article 22 du projet de loi qui modifie le I de l'article 6 de la 2004-575 du 21 juin 2004, les Fournisseurs d'Accès à Internet (FAI) auraient l'obligation d'informer leurs clients des outils de sécurisation disponibles ; elle estime qu'ils devraient fournir à leurs clients, dans les mêmes conditions que les logiciels de contrôle parental visé à l'article 6 de la loi précitée, les outils de sécurisation dont la liste sera préalablement établie par l'HADOPI.

Enfin, elle considère que la liste des exonérations prévues par le projet de loi est trop restrictive en ce qu'elle ne permet par d'appréhender les cas où l'internaute pourrait légitimement mettre à disposition un fichier protégé par les droits d'auteur, par exemple, parce qu'il est lui-même titulaire des droits sur l'œuvre.

Sur la possibilité d'accepter une transaction
L'article L. 336-3 doit également être examiné à la lumière de l'article L. 331-27 du projet de loi qui offre la possibilité à l'HADOPI de proposer aux internautes une transaction qui, s'ils l'acceptent, permet de réduire la durée pendant laquelle leur abonnement sera suspendu.

Néanmoins, aucune précision n'est apportée sur les critères et les modalités pratiques de mise en œuvre de cette procédure.

En conséquence, la Commission estime que les critères et les modalités selon lesquels l'HADOPI sera amenée à proposer une transaction devraient être précisés dans le décret en Conseil d'Etat pris après avis de la CNIL visé à l'article L. 331-35 portant création des traitements mis en œuvre par l'HADOPI dans le cadre de ses missions.

Sur le périmètre de la sanction prononcée
L'article L. 336-3 est aussi complété par un article L. 331-29 qui précise que la suspension de l'abonnement n'affecte pas le versement du prix de l'abonnement au FAI et qu'elle doit s'appliquer strictement et limitativement à l'accès à des services de communication au public en ligne. Ainsi, lorsque l'abonne dispose d'une offre composite (ou « triple play ») comprenant, en plus de l'accès à internet, un service de téléphonie ou de télévision, la suspension prononcée par l'HADOPI doit se limiter au seul service d'accès à internet.

La Commission prend acte qu'en aucun cas la sanction adoptée par l'HADOPI ne saurait aboutir à suspendre les services de téléphonie et de télévision dont l'abonné bénéficie dans le cadre du contrat qu'il a conclu avec son FAI.

Sur la nature des personnes concernées par l'obligation de surveillance
Il résulte de la rédaction actuelle de l'article L. 336-3 que l'obligation de sécurisation d'une connexion internet concerne tant les personnes physiques que les personnes morales.

A cet égard, la Commission estime qu'au-delà des conséquences économiques et sociales que pourrait engendrer la suspension de l'abonnement internet d'une entreprise ou d'une collectivité locale, le respect, par l'employeur, de l'obligation de sécurisation des postes informatiques des employés comporte un risque de surveillance individualisé de l'utilisation d'internet et appelle en conséquence des garanties particulières sur les conditions de mise en œuvre effective de cette obligation vis-à-vis des employés concernés.

Observations relatives aux compétences, à la composition et à l'organisation de l'HADOPI
Le projet de loi prévoit que l'HADOPI sera composée d'un collège et d'une commission de protection des droits. Cette commission sera chargée d'adresser les messages d'avertissement, de sanctionner les internautes en cas de récidive et de gérer le fichier national des personnes dont l'abonnement est suspendu. Cette commission sera composée de magistrats qui ne pourront recevoir d'instruction d'aucune autorité.

Sur les pouvoirs et les modalités d'habilitation des agents de l'HADOPI
L'article L. 331-20 du projet de loi dispose que les saisines adressées par les représentants des ayants droit seront exclusivement reçues et traitées par des agents publics, spécialement habilités à cet effet par le président de l'HADOPI dans les conditions fixées par décret. Cet article prévoit également que ces agents :

- procèdent à l'instruction des saisines (examen des faits) et constatent la matérialité des manquements à l'obligation de sécurisation du poste informatique ;

- peuvent accéder à tous documents y compris aux données de trafic conservées par les opérateurs de communications électroniques au titre de l'article L. 34-1 du CPCE ainsi qu'aux données permettant d'identifier les personnes responsables de la mise en ligne d'un contenu conservées en application de l'article 6 de la LCEN.

Sur le premier point, la Commission s'interroge sur la nature exacte des traitements de données personnelles susceptibles d'être mis en œuvre par les agents de l'HADOPI, s'agissant en particulier des recueils d'informations nécessaires pour constater la matérialité des manquements à « l'obligation de sécurisation » posée à l'article L. 336-3 précité. A cet égard, elle estime que le fait de mettre à disposition des agents précités les données de trafic ainsi que les données permettant d'identifier les personnes responsables de la mise en ligne d'un contenu, paraît porter une atteinte excessive à la protection des données à caractère personnel.

Sur le second point, elle considère que compte tenu des pouvoirs dévolus à l'HADOPI, le projet de loi devrait prévoir que les agents en charge de l'instruction des saisines seront habilités dans des conditions équivalentes à celles des agents de l'ARCEP telles que prévues par l'article L. 5-9 du CPCE qui dispose que les enquêtes sont menées par des agents habilités à cet effet par le ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat.

Observations relatives à la mission de protection des œuvres et objets protégés par un droit d'auteur ou par un droit voisin

Sur le respect des droits de la défense et le recours au filtrage
L'article L. 331-22 du projet de loi attribue à l'HADOPI une compétence actuellement dévolue par l'article L. 332-1 du CPI au président du tribunal de grande instance statuant sur requête, de prendre à l'encontre des intermédiaires techniques (fournisseur d'accès à internet et d'hébergement) toute mesure propre à faire cesser ou à prévenir une atteinte aux droits d'auteur. Cette compétence s'exercera sous le contrôle de la cour d'appel de Paris devant laquelle un recours pourra être introduit. Les modalités d'application de cet article sont renvoyées à un décret en Conseil d'Etat.

La Commission relève qu'une telle disposition comporte un risque d'atteinte aux libertés individuelles, au rang desquelles figure la liberté d'expression, dans la mesure où elle donnerait la possibilité à l'HADOPI de demander à un intermédiaire technique de procéder au filtrage de contenus considérés comme portant atteinte aux droits d'auteur.

De même, la Commission observe que dans sa décision 96-378 DC du 23 juillet 1996 relative à la loi de réglementation des télécommunications, le Conseil constitutionnel indique « qu'il appartient au législateur d'assurer la sauvegarde des droits et des libertés constitutionnellement garantis ; que s'il peut déléguer la mise en œuvre de cette sauvegarde au pouvoir réglementaire, il doit toutefois déterminer lui-même la nature des garanties nécessaires ». A cet égard, elle note que l'article L. 331-22 ne fait pas état des garanties nécessaires à la protection de la liberté d'expression, telles que par exemple la possibilité pour les intermédiaires techniques, dans un délai déterminé, de demander de cantonner les effets des mesures prises ou l'assurance que lesdites mesures se limiteront aux seuls contenus portant atteinte aux droits d'auteur.

La Commission propose que le projet de loi prévoie que la compétence de la Haute Autorité se limite à pouvoir saisir le président du tribunal de grande instance qui serait alors amené à statuer dans les conditions actuelles définies au 4° de l'article L. 332-1 du CPI.

A défaut d'une telle modification, la Commission :

- prend acte que, selon l'exposé des motifs et les informations communiqués par le ministère de la culture, le recours effectué devant la Cour d'appel de Paris sera suspensif ;

- demande que le projet de loi précise les modalités d'application de l'article L. 332-1 du CPI sans les renvoyer à un décret en Conseil d'Etat.

Sur le choix de la procédure et de l'opportunité des poursuites
L'article L. 331-23 du projet de loi dispose que l'HADOPI agit sur saisine des SPRD et des organismes de défense professionnelle, pour des faits ne remontant pas à plus de six mois.

Il en résulte que sur la base de procès-verbaux constatant un même fait, la mise à disposition sur internet d'œuvres protégées par les droits d'auteur, les SPRD et les organismes de défense professionnelle pourront librement choisir de saisir :

- l'HADOPI pour un « manquement à l'obligation de sécurisation du poste informatique » ;

- le juge civil, pour un acte de contrefaçon en application de l'article L. 331-1 du CPI ;

- le juge pénal, pour un acte de contrefaçon en application des articles L. 335-2 et L. 335-3 du CPI.

La Commission observe que le projet de loi, en plus de donner le choix entre différentes procédures aux SPRD et aux organismes de défense professionnelle, leur permet également de procéder à la qualification juridique des faits constatés en fonction de critères qu'il leur appartiendra seuls de déterminer. En effet, des faits identiques - la mise à disposition d'œuvres en méconnaissance des droits d'auteur pourront passer du statut de « manquement » associé à une sanction administrative - à celui de délit de contrefaçon associé à une sanction pénale potentiellement assortie d'une peine de privation de libertés.

La Commission considère ainsi ne pas être en mesure de s'assurer de la proportionnalité d'un tel dispositif dans la mesure où il laissera aux seuls SPRD et organismes de défense professionnelle le choix de la politique répressive à appliquer sur la base d'un fondement juridique dont les contours sont mal définis.

Sur ce dernier point, la Commission souligne que l'exposé des motifs indique que le projet de loi a pour objet la mise en œuvre d'un « mécanisme de prévention et de sanction du piratage », ce qui permet, là encore, de considérer que la frontière entre les notions de « piratage » et de « manquement à l'obligation de surveillance de sa connexion internet » n'est pas clairement établie.

Sur la réalité de la gradation des mesures
L'article L. 331-25 du projet de loi dispose qu'une fois saisie, l'HADOPI peut envoyer à l'abonné, par l'intermédiaire de son FAI, une recommandation lui rappelant l'obligation de surveiller l'usage qui est fait de sa connexion internet et l'avertissant des sanctions encourues. En cas de renouvellement des faits, dans un délai de six mois à compter de l'envoi de la première « recommandation », elle peut envoyer un nouveau message d'avertissement. L'article L. 331-26 prévoit ensuite qu'en cas de manquements répétés sur une période d'un an, l'HADOPI peut ordonner la suspension de l'accès internet pendant un an. Elle peut toutefois proposer une transaction aux abonnés afin de réduire la période de suspension.

Les articles précités instituent non une obligation mais une possibilité pour l'HADOPI d'adresser des messages d'avertissement puis de proposer une transaction avant d'aboutir à une sanction.

La Commission estime que l'article L. 331-26 du projet de loi devrait être complété afin de prévoir une procédure de mise en demeure préalable à la décision de sanction.

Sur la mise en œuvre d'un traitement de suivi des procédures engagées par l'HADOPI et de la gestion d'un fichier national mutualisé d'exclusion
L'article L. 331-33 du projet de loi dispose que l'HADOPI établit un répertoire national des personnes dont l'accès à internet a été suspendu. Il prévoit également que les FAI vérifieront, à l'occasion de la conclusion de tout nouveau contrat, si le nom du cocontractant figure sur ce répertoire. Cet article est complété par l'article L. 331-35 qui autorise plus largement la création d'un traitement automatisé de données à caractère personnel ayant pour finalités la gestion de l'envoi des recommandations, des propositions de transaction, des sanctions ainsi que la tenue du répertoire national précité. Enfin, il est prévu que les modalités d'application de cet article soient précisées par un décret en Conseil d'Etat, pris après avis de la CNIL.

En premier lieu, la Commission relève que les traitements visés à l'article L. 331-35 sont autorisés par dérogation aux dispositions du chapitre IV de la loi « informatique et libertés ». A cet égard, elle prend acte de l'engagement du Gouvernement de lui adresser, en même temps que le projet de décret, un dossier de formalités préalables conforme aux prescriptions de l'article 30 de la loi du 6 janvier 1978 modifiée, comportant notamment des annexes techniques décrivant l'architecture et la sécurisation des traitements.

En second lieu, la Commission souhaite obtenir des garanties concernant les modalités de mise en œuvre des traitements prévus par le projet de loi afin, notamment, que seuls des incidents présentant une gravité certaine et prédéterminée pourront faire l'objet d'une inscription. Elle estime ainsi nécessaire que le projet de loi :

- précise que le décret en Conseil d'Etat pris après avis de la CNIL comporte l'indication de la nature et de la forme des informations remises par les SPRD et les organismes de défense professionnelle ainsi que les critères sur la base desquels ils saisiront l'HADOPI ;

- indique que seuls les employés des opérateurs ou des fournisseurs d'accès prestataires, individuellement désignés et spécialement habilités à traiter les suspensions de contrats, auront accès au répertoire national géré par la Haute Autorité ;

Enfin, dans le but d'encadrer plus strictement les conditions d'accès des FAI au répertoire national, la Commission propose que l'article L. 331-35 soit modifié de la manière suivante : « [...] ce traitement a pour finalité la mise en œuvre, par la commission de protection des droits, des mesures prévues à la présente sous-section et la prise de tous les actes de procédure afférents, ainsi que du répertoire national des personnes dont l'accès à un service de communication au public en ligne a été suspendu. Il doit également permettre aux personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne de procéder à la vérification prévue à l'article L. 331-33 sous la forme d'une simple interrogation [...]».

Sur la mission d'observation de l'offre légale et de l'utilisation illicite d'œuvres et d'objets protégés par un droit d'auteur ou par un droit voisin sur internet

Le projet de loi comporte un article L. 331-36 qui dispose qu'au titre de sa mission d'observation de l'offre légale et de l'utilisation illicite des œuvres, l'HADOPI publiera chaque mois un indicateur mesurant, par échantillonnage, les volumes de téléchargement et de mise à disposition illicite d'œuvres protégées.

La Commission relève que, dès lors qu'ils reposeront sur la mise en œuvre de traitements de données à caractère personnel, ceux nécessaires à la publication de l'indicateur précité devront faire l'objet des formalités prévues au chapitres IV de la loi 78-17 du 6 janvier 1978 modifiée en août 2004.

Observations relatives aux modifications de l'article L. 34-1 du CPCE et à l'accès aux données conservées au titre de l'article 6 de la LCEN

Sur les modifications de l'article L. 34-1 du CPCE
La modification apportée par le projet de loi a pour objet de permettre aux agents de l'HADOPI :

- d'avoir accès, pour les besoins de la recherche, de la constatation et de la poursuite d'un manquement à l'obligation de surveillance visée à l'article L. 336-3, aux données de trafic conservées pendant un an par les opérateurs de communications électroniques ;

- de solliciter des opérateurs de communications électroniques l'identité du titulaire de l'abonnement utilisé à des fins illicites ;

- de conserver les données techniques pour la durée strictement nécessaire à l'exercice des compétences qui leur sont confiées au titre de la lutte contre le piratage et de la réalisation des statistiques et, au plus tard, lorsque la suspension de l'abonnement est arrivée à son terme.

Dans sa décision n°2004-499 DC du 29 juillet 2004 concernant la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, le Conseil constitutionnel a estimé que l'article 9-4° de la loi du 6 janvier 1978 modifiée en août 2004, permettant aux SPRD et aux organismes de défense professionnelle de traiter des données relatives aux infractions, était de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n'était pas manifestement déséquilibrée notamment, car : « les données ainsi recueillies ne pourront, en vertu de l'article L. 34-1 du code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an » ;

Or la Commission relève que la modification de l'article L. 34-1 du CPCE introduite dans le projet de loi permettra à l'HADOPI de recueillir et de traiter, sous une forme nominative, les données de trafic, hors donc de toute procédure judiciaire, garantie cependant jugée essentielle par le Conseil constitutionnel. Elle estime dès lors que le projet de loi ne comporte pas en l'état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur.

Sur l'accès aux données conservées au titre de l'article 6 de la LCEN
Comme indiqué précédemment, l'article L. 331-20 du projet de loi dispose que les agents de l'HADOPI peuvent se faire communiquer les données conservées et traitées par les fournisseurs d'accès internet et d'hébergement en application de l'article 6 de la LCEN.

La Commission relève que le projet de loi attribue à des agents des compétences que jusqu'à présent le II de l'article 6 de la loi précitée réservait uniquement aux autorités judiciaires agissant dans le cadre d'une procédure judiciaire.

Elle estime dès lors que le projet de loi ne comporte pas en l'état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur.

Alex TÜRK