Riposte graduée : le Conseil d'État juge le dispositif Arcom non conforme au droit européen

2/5/26
👈 les autres actualités

Le 30 avril 2026, au terme d'un contentieux de sept ans, le Conseil d'État a tranché : le dispositif français de riposte graduée contre le piratage en ligne n'est pas conforme au droit européen en matière de protection des données personnelles. En conséquence, l'Arcom — qui a succédé à la Hadopi le 1er janvier 2022 — ne peut plus transmettre les dossiers de faible intensité aux procureurs de la République.

Ce qui s'est passé

Saisi en 2019 par La Quadrature du Net, French Data Network (FDN), Franciliens.net et la Fédération FDN, le Conseil d'État a interrogé la Cour de justice de l'Union européenne (CJUE) sur la compatibilité du mécanisme français avec la directive e-Privacy de 2002. La CJUE avait rendu son arrêt le 30 avril 2024, fixant des conditions précises pour que la conservation généralisée des adresses IP par les opérateurs Internet soit licite.

En appliquant ces critères au droit français, le Conseil d'État constate deux manquements dans le décret du 5 mars 2010 qui organise la réponse graduée :

  • Conservation non cloisonnée : le décret n'impose pas aux opérateurs Internet de stocker les adresses IP de façon étanche, sans possibilité de croisement avec des données de trafic ou de localisation.
  • Recoupements sans autorisation préalable : l'Arcom est autorisée à croiser des données plus de deux fois sans l'accord d'un juge ou d'une autorité administrative indépendante, une pratique que la CJUE juge susceptible de porter atteinte à la vie privée.

Le Conseil d'État enjoint au gouvernement d'abroger les dispositions litigieuses du décret de 2010 et de mettre le dispositif en conformité.

Pourquoi c'est important

La riposte graduée repose sur un traitement massif de données personnelles : adresses IP, identité civile des abonnés et titre des œuvres téléchargées. Ce traitement engage directement les bases légales du RGPD et les exigences de proportionnalité imposées par la Charte des droits fondamentaux de l'Union européenne.

La décision illustre une tension classique mais persistante : faire coexister un objectif légitime de lutte contre la fraude avec des garanties suffisantes en matière de durée et conditions de conservation des données. Le régulateur français avait échoué à imposer aux opérateurs un cadre de conservation véritablement compartimenté, laissant prospérer un dispositif structurellement vulnérable.

Cette décision s'inscrit dans un contexte d'enforcement renforcé. La CNIL multiplie les contrôles et les sanctions — plus de 47 millions d'euros de sanctions au premier trimestre 2026 — et les juridictions européennes réaffirment régulièrement que la surveillance de masse, même à des fins légitimes, doit répondre à des exigences procédurales strictes.

Ce que ça change pour les organisations

Pour les entreprises, les DPO et les opérateurs de communications électroniques, cette décision envoie plusieurs signaux concrets.

Cloisonnement des données comme exigence structurelle. La CJUE confirme que la conservation généralisée de données de connexion n'est licite que si elle est techniquement et organisationnellement cloisonnée. Toute organisation qui conserve des logs de connexion à des fins de sécurité ou de lutte contre la fraude doit s'assurer que ces données ne peuvent pas être croisées avec d'autres flux sans autorisation préalable.

Autorisation préalable avant recoupement. Dès lors qu'un traitement implique plusieurs recoupements de données personnelles sensibles (identité + comportement en ligne), une autorisation préalable — judiciaire ou administrative — devient incontournable pour les acteurs publics, et une analyse d'impact approfondie s'impose pour les acteurs privés.

Révision des DPIA sur les systèmes de surveillance. Les organisations qui utilisent des systèmes de monitoring réseau, de détection des usages non autorisés ou de journalisation des accès doivent vérifier que leur DPIA intègre ces nouvelles exigences de cloisonnement.

Pour les particuliers, le changement est immédiat : l'Arcom ne peut plus transmettre de dossiers au parquet. Elle peut encore envoyer des avertissements par e-mail, mais uniquement si elle peut démontrer que les données de connexion ont été conservées de façon étanche par l'opérateur — une condition dont la vérification reste encore à établir.

Ce que Leto pense de cette décision

Cette décision est un rappel bienvenu que la légitimité d'un objectif ne suffit pas à valider n'importe quel traitement de données. La lutte contre le piratage est un but légitime ; mais conserver des millions d'adresses IP sans cloisonnement, pendant des années, dans l'espoir de les utiliser contre des abonnés individuels, ne répond pas aux standards fondamentaux du droit européen. Ce que le Conseil d'État invalide ici, ce n'est pas la protection des droits d'auteur — c'est une architecture technique et juridique bâtie sur des raccourcis qui auraient dû être corrigés dès 2009.

La riposte graduée peut-elle survivre ? Peut-être, à condition d'une réforme en profondeur : conservation cloisonnée imposée contractuellement aux opérateurs, autorisation préalable d'une juridiction pour tout recoupement, limitation stricte des finalités. Cela supposerait que le législateur accepte de contraindre autant les administrations chargées de l'enforcement que les internautes qu'elles surveillent.

Sources : Décision du Conseil d'État (30 avril 2026)La Quadrature du NetNumerama

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026