Fin de la loi Hadopi : le Conseil d'État censure 17 ans de surveillance disproportionnée
Fin de la loi Hadopi : le Conseil d'État censure 17 ans de surveillance disproportionnée
Le Conseil d'État, plus haute juridiction administrative française, vient de sceller la fin du dispositif de « réponse graduée » institué par la loi Hadopi en 2009. Saisi par La Quadrature du Net, French Data Network, Franciliens.net et la Fédération FDN, il juge que le système de surveillance des échanges pair-à-pair viole les droits fondamentaux garantis par le droit de l'Union européenne. Au-delà du débat sur le piratage, la décision rappelle une leçon simple à tout responsable de traitement : sans cloisonnement des données et sans contrôle indépendant de l'accès aux métadonnées, aucun dispositif de surveillance n'est conforme.
Ce qui s'est passé
Créée en 2009, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi), depuis absorbée par l'Arcom en 2021, reposait sur un mécanisme en deux temps. Les ayants droit collectaient les adresses IP des internautes partageant des contenus en pair-à-pair et les transmettaient à l'autorité, qui obtenait ensuite l'identité civile des abonnés auprès des fournisseurs d'accès. En cas de récidive après deux avertissements, l'autorité pouvait saisir la justice, avec à la clé une amende pouvant atteindre 1 500 euros.
Dès 2019, les quatre associations avaient saisi le Conseil d'État pour faire annuler le décret autorisant cette collecte. Une première victoire partielle est obtenue en 2020 devant le Conseil constitutionnel, qui restreint l'accès jusque-là quasi illimité de l'Hadopi aux données. L'affaire est ensuite renvoyée à la Cour de justice de l'Union européenne (CJUE), qui accepte en 2024 d'assouplir sa propre jurisprudence sur l'accès aux métadonnées, mais l'assortit de conditions strictes.
En 2026, le Conseil d'État tire les conséquences de cette jurisprudence et donne raison aux associations sur deux points. D'une part, la conservation des données ne garantit pas un « cloisonnement étanche » entre adresses IP et identité civile, ces deux catégories devant rester techniquement séparées et n'être recoupées que sur demande formelle. D'autre part, l'accès à ces données n'est soumis à aucun contrôle indépendant à partir du troisième accès, celui qui déclenche l'envoi d'une lettre recommandée : l'Arcom ne peut être à la fois l'autorité qui sollicite l'accès et celle qui en contrôle la légalité. En pratique, l'autorité ne peut plus saisir la justice et se retrouve réduite à l'envoi de simples courriels d'avertissement.
Pourquoi c'est important pour les DPO et RSSI
Cette décision réaffirme deux piliers du RGPD qui dépassent largement le cas Hadopi. D'abord, le principe de minimisation et de cloisonnement des données posé par l'article 5 du RGPD : conserver ensemble des données qui permettent, une fois recoupées, d'identifier et de tracer une personne constitue en soi un risque disproportionné, quelle que soit la finalité poursuivie. Ensuite, l'exigence d'un contrôle indépendant avant tout accès à des données de connexion, qui fait écho aux garanties attendues dès lors qu'un traitement s'appuie sur une base légale d'intérêt légitime ou de mission d'intérêt public : la personne ou l'entité qui sollicite l'accès aux données ne peut pas être celle qui en valide la légalité.
Le dossier confirme aussi que les adresses IP sont des données à caractère personnel à part entière, avec toutes les obligations RGPD que cela implique dès leur collecte. Et il illustre les limites strictes que pose l'article 23 du RGPD aux États lorsqu'ils invoquent la sécurité ou l'ordre public pour justifier une restriction des droits : ces exceptions doivent rester proportionnées, ce que le dispositif Hadopi n'a jamais réussi à démontrer en dix-sept ans. Le contexte est d'autant plus sensible que cette décision intervient alors qu'EDRi alerte, dans une note distincte, sur les risques que le projet de Digital Omnibus fait peser sur les droits fondamentaux en Europe — un dossier que Leto a récemment analysé.
Ce que ça change pour les organisations
Peu d'entreprises exploitent un dispositif comparable à la réponse graduée, mais la logique juridique retenue par le Conseil d'État s'applique à tout mécanisme d'escalade fondé sur des incidents répétés : dispositifs anti-fraude internes, outils de détection d'abus, systèmes d'avertissements gradués envers des salariés ou des utilisateurs. Trois réflexes s'imposent pour les DPO et RSSI :
Séparer techniquement les données d'identification et les données de connexion ou de comportement, et ne les recouper que sur demande documentée et tracée, plutôt que de les stocker dans un référentiel unique.
Confier le contrôle de la légalité d'un accès à des données sensibles à une personne ou une fonction distincte de celle qui sollicite cet accès, pour éviter toute situation de « juge et partie ».
Revérifier que tout traitement exploitant des adresses IP — outils de sécurité, de mesure d'audience, de lutte contre la fraude — figure bien au registre des traitements, avec une base légale documentée ; la CNIL reste compétente pour sanctionner les manquements sur ce terrain, y compris hors du champ pénal.
Ce que Leto pense de cette décision
Il aura fallu dix-sept ans et trois juridictions pour qu'un dispositif de surveillance de masse soit reconnu disproportionné. Ce délai en dit long sur le coût, pour une organisation publique comme privée, de construire un outil de contrôle sans intégrer dès la conception les principes de minimisation et de contrôle indépendant. La leçon ne concerne pas que le piratage : tout traitement qui combine identification et données comportementales, aussi légitime soit son objectif affiché, finira tôt ou tard confronté au même raisonnement juridique s'il n'a pas été pensé pour la proportionnalité dès l'origine.
Sources : EDRi, « Hadopi law (2009–2026) » · Conseil d'État, décision n°433539

