Le Conseil d'État a déclaré illégal, jeudi, le dispositif anti-piratage de l'ARCOM, héritier d'Hadopi. La juridiction estime que le mécanisme viole le droit européen en matière de protection des données personnelles des internautes.
Après plusieurs années de procédure et un renvoi devant la Cour de justice de l'Union européenne, le Conseil d'État a rendu ce jeudi 30 avril 2026 son verdict sur le mécanisme de « réponse graduée » de l'ARCOM, censé être le pilier de la lutte contre le téléchargement illégal en France. Et selon la plus haute juridiction administrative française, celui-ci ne respecte pas le droit de l'Union européenne. Le juge a identifié deux failles techniques et juridiques, qui ont été argumentées aujourd'hui.
De Hadopi à l'ARCOM, retour sur une réponse graduée anti-piratage qui ne plaît pas au Conseil d'État
Depuis 2010, tout abonné internet est légalement tenu de veiller à ce que sa connexion ne serve pas à télécharger des œuvres protégées sans autorisation. C'est l'ARCOM, l'Autorité de régulation de la communication audiovisuelle et numérique , qui a officiellement pris la suite d'Hadopi le 1er janvier 2022, qui est chargée de faire respecter cette règle, à l'aide d'une procédure dite de « réponse graduée ».
Le système repose sur le principe de l'avertissement progressif. À la première infraction détectée, l'usager reçoit un simple mail d'avertissement. Si ça recommence dans les six mois, on lui envoie un courrier recommandé cette fois, pour être sûr que le message passe. Et si l'abonné continue malgré tout dans l'année qui suit, plus question de pédagogie : le dossier est transmis au procureur de la République. Trois chances, trois paliers donc, et jusqu'ici, pas de juge dans la boucle.
Pour identifier les contrevenants, l'ARCOM reçoit des adresses IP transmises par des organismes professionnels, qui peuvent être des sociétés de gestion collective, le Centre national du cinéma (CNC) ou la justice. Elle interroge ensuite les opérateurs internet pour associer ces adresses IP aux coordonnées civiles de leurs clients. C'est précisément ce traitement de données personnelles, régi par un décret du 5 mars 2010, qui pose problème.
Comment La Quadrature du Net et la justice européenne ont mis à genoux le dispositif anti-piratage
L'affaire remonte à plusieurs années. C'est l'association La Quadrature du Net, connue pour ses multiples combats en faveur des libertés numériques qui, avec trois autres organisations (French Data Network, Franciliens.net et la Fédération des fournisseurs d'accès à internet associatifs), avait attaqué le décret devant le Conseil d'État. Les questions soulevées étaient si complexes sur le plan du droit européen que la haute juridiction avait préféré passer la main à la Cour de justice de l'Union européenne, dès juillet 2021, pour obtenir son éclairage.
Le 30 avril 2024, il y a très exactement deux ans (non, il n'y a pas d'erreur dans la date), la CJUE rendait son verdict en posant deux règles non négociables. D'abord, les adresses IP collectées par les opérateurs internet doivent être stockées dans un compartiment totalement isolé, sans jamais pouvoir être croisées avec d'autres données comme l'historique de navigation ou la localisation. L'idée est d'empêcher qu'on puisse reconstituer le portrait intime d'un internaute par accumulation d'informations. Ensuite, si une même personne a déjà été identifiée deux fois pour piratage, une troisième identification ne peut pas se faire sans l'autorisation explicite d'un juge ou d'un organisme indépendant. Un verrou judiciaire que le décret français ne prévoyait tout simplement pas.
Grâce aux précisions apportées par la CJUE, le Conseil d'État a pu relire le décret de 2010 avec un peu plus de rafraîchir, pour livrer son constat. Le juge administratif explique que le texte n'impose à aucun moment aux opérateurs de stocker les adresses IP dans un compartiment isolé, comme l'exige le droit européen. Et il n'exige pas davantage qu'un juge donne son feu vert avant qu'une troisième identification ne soit effectuée. Avec deux exigences ignorées, et deux illégalités caractérisées, le décret ne tient plus.
Ce qui change pour l'ARCOM et les internautes après la décision du Conseil d'État
Le gouvernement espérait gagner du temps. Il avait bien tenté de négocier, et la ministre de la culture réclamait même douze mois supplémentaires pour mettre le dispositif en conformité avant que la décision ne prenne effet. Mais refus net du Conseil d'État. Quand une règle nationale viole le droit européen, la haute juridiction n'a tout simplement pas le pouvoir de retarder l'application de sa propre décision, c'est une contrainte juridique absolue. Les dispositions illégales du décret sont donc abrogées immédiatement.
Pour autant, l'ARCOM ne se retrouve pas totalement paralysée. Le Conseil d'État a lui-même posé un régime transitoire, en attendant qu'un nouveau décret vienne combler le vide. Les deux premiers avertissements de la réponse graduée peuvent continuer à être envoyés normalement. En revanche, pour franchir le troisième palier, celui qui mène au parquet, si vous avez bien suivi, l'identification d'un abonné devra obligatoirement être validée au préalable par un juge. Et les données utilisées devront avoir été conservées dans des conditions conformes au droit européen.
Une exception toutefois demeure. Lorsque les faits sont suffisamment graves pour relever des délits de contrefaçon, une catégorie que le droit européen classe dans la criminalité sérieuse, l'ARCOM conserve toute sa liberté d'action, sans avoir à vérifier comment les données ont été stockées. Mais ces cas restent minoritaires. Pour tout le reste, c'est au gouvernement de réécrire le cadre légal, et vite.
On peut juste regretter que quinze ans après Hadopi et ses premières lettres recommandées, la France n'a toujours pas trouvé la formule parfaite pour lutter contre le piratage sans froisser les droits fondamentaux.
