Décryptage juridique du projet de loi « Création et Internet »

La contrefaçon d’œuvres protégées par le droit d’auteur a pris sur l’internet des dimensions que le gouvernement juge suffisamment préoccupantes pour présenter en ce moment au Parlement un projet de loi « favorisant la diffusion et la protection de la création sur internet » afin de la réprimer (http://www.culture.gouv.fr/culture/actualites/dossiers/internet-creation08/6%20-%20Projet%20de%20loi.pdf)
. Ce projet intervient après deux lois récentes régissant l’internet, l’une en 2004 (dite pour la Confiance en l’Économie Numérique, en abrégé LCEN), l’autre en 2006 (dite « Droits d’auteur et Droits Voisins dans la Société de l’Information », en abrégé DADVSI) traitant du même sujet. Toutefois, ces deux lois précédentes transposaient des directives européennes ; à l’inverse, le projet actuellement présenté devant le Parlement prévoit des mesures particulières à la France.

L’internet est un réseau numérique « décentralisé » où diverses machines (ordinateurs serveurs ou personnels, consoles de jeux, téléphones…) communiquent entre elles selon un protocole informatique. Un seul élément peut toujours permettre d’identifier une machine sur ce réseau : l’adresse IP (quatre nombres d’une valeur de 0 à 255 séparés par des points) qu’elle utilise à un moment donné.

Première difficulté, de droit : l’adresse IP est considérée comme une donnée personnelle, à l’instar du numéro de téléphone, de l’adresse postale, ou du numéro de Sécurité sociale. On ne peut pas la récolter n’importe comment.

Seconde difficulté, de fait : l’adresse IP n’aboutit à identifier qu’un accès à l’internet ; elle n’identifie pas une machine, moins encore une personne qui l’utilise, mais seulement le titulaire de l’abonnement à internet correspondant à cette adresse IP. Elle ne révèle rien de moins et rien de plus qu’un numéro de téléphone classique à dix chiffres. Ce numéro de téléphone peut par exemple être celui de la ligne d’un particulier qui y a connecté un poste fixe, ce qui n’indique pas quel individu l’utilise en réalité à un moment donné. Ce numéro de téléphone peut aussi être celui du standard d’une société Tartempion et il n’identifie alors que cette société. Il ne permet pas de savoir si c’est le poste du bureau 216 ou celui du bureau 224 qui est utilisé, et moins encore de déterminer qui se sert à ce même instant du téléphone dans le bureau 216 ou dans le 224.
Or le délit de contrefaçon d’œuvres protégées sur l’internet est en réalité commis par un individu : une personne réelle, en chair et en os.

Afin de contourner ces difficultés, la loi prévoit plusieurs innovations.

La première consiste en l’instauration d’une « Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet » (dite HADOPI), chargée d’encadrer la surveillance de l’internet par des agents assermentés. Toute personne détentrice de droits d’auteur (principalement les organismes professionnels, sociétés d’auteur) pourra faire procéder à des investigations de l’internet par des agents assermentés à cet effet. La loi ne pose pas de limite aux moyens et formes employés à cet effet. Cette surveillance pourrait donc s’assimiler à un « flicage » de l’internet si elle devenait générale et quasi permanente et sa licéité au regard de la protection des données personnelles serait alors douteuse.
Ces agents assermentés saisissent ensuite la Hadopi qui va alors demander aux fournisseurs d’accès à l’internet (FAI : Free, SFR, Darty, Orange, etc.) de révéler l’identité des titulaires d’abonnement à l’internet correspondant aux adresses IP qui auraient servi à des téléchargements d’œuvres protégées.

Ces mesures ne permettent toutefois pas d’identifier avec certitude qui se livre matériellement à un téléchargement illicite. L’Hadopi n’obtiendra des FAI que la personne à qui appartient l’abonnement internet utilisé lors d’un téléchargement illicite. Ce n’est donc pas forcément l’auteur du délit de contrefaçon. Ce n’est pas non plus son complice : la complicité suppose soit d’agir sciemment, soit de rien faire tout en sachant que cette inaction permet ou facilite l’infraction. Si une personne utilise l’ordinateur d’un salarié à son insu pour pirater sur internet, l’employeur ne saurait être considéré comme complice de l’infraction de contrefaçon.

D’où la seconde innovation majeure de la loi : la création d’une infraction de défaut de surveillance de l’accès internet, en remplacement de l’actuel devoir de surveillance (art. L 335-12 du Code de la Propriété Intellectuelle). Vis-à-vis du téléchargement illicite, cela revient à transférer la responsabilité de la personne qui télécharge illégalement à celle à qui appartient l’abonnement internet utilisé à cet effet.
La présentation du projet de loi est à cet égard explicite : « Il ne s’agit pas du délit de contrefaçon - sanctionné devant le juge pénal - mais de l’obligation, mise à la charge du titulaire d’un accès […] de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation qui méconnaît les droits de propriété littéraire et artistique. »

À l’heure actuelle, la contrefaçon d’œuvres protégées par le droit d’auteur est un délit dont peu importe qu’il soit commis sur internet ou autrement (le Conseil Constitutionnel l’a d’ailleurs rappelé dans sa décision du 27 juillet 2006 à l’occasion de son examen de la loi DADVSI : http://www.conseil-constitutionnel.fr/decision/2006/2006540/index.htm). Un délit suppose une instruction (ou une citation directe lorsque les faits sont suffisamment établis) et un jugement par un tribunal indépendant.
Considérant que ces mécanismes sont inappropriés au piratage de masse, la nouvelle loi met en place une procédure radicalement différente où la même « Haute Autorité » fait à la fois office de procureur et de tribunal.

La Hadopi va procéder en deux ou trois étapes successives pour mettre en jeu la responsabilité du titulaire d’abonnement.
Elle va tout d’abord lui envoyer un premier avertissement par courriel afin de lui rappeler son obligation de surveillance et de l’avertir des sanctions possibles à son encontre. Il aurait pu se montrer utile de prévoir que l’avertissement indique quand l’abonnement a servi à des téléchargements illicites et lesquels.
Si ceux-ci persistent, la Hadopi pourra ensuite soit sanctionner immédiatement le titulaire de l’abonnement, soit lui envoyer un second avertissement, par lettre recommandée, avec la même teneur que le précédent. La loi prévoit que le destinataire de ces courriels ou lettres recommandées n’a pas le droit de les contester ni d’obtenir en justice leur annulation.
Si les téléchargements persistent dans l’année suivant un premier ou deuxième avertissement, la Hadopi peut ensuite prendre une sanction allant jusqu’à la suspension de l’abonnement internet pour une durée de trois mois à un an assortie de l’impossibilité, pour l’abonné, de souscrire une offre chez un FAI concurrent. Cette sanction est prononcée « unilatéralement » (le mot figure page 11 de la présentation du projet), sans que l’intéressé soit amené à présenter des observations ou explications, moins encore à contester les faits qui lui sont reprochés. La loi ne prévoit pas non plus d’obligation pour la Hadopi de motiver sa décision ni même de mentionner les dates ou teneur des faits reprochés. Sa décision de suspension doit être exécutée dans les quinze jours par le FAI sous peine d’amende de ce dernier, le montant de l’abonnement continuant à être intégralement payé par le titulaire (ce qui revient, en pratique, à une sanction pécuniaire pour ce dernier). En cas de services multiples (par exemple internet + télévision + téléphone) seul le service internet sera concerné par la suspension, le téléphone et la télévision devant rester fournis.

En son état actuel, le texte du projet de loi ne prévoit aucun sursis à exécution. La sanction pourra faire l’objet d’une contestation devant une juridiction mais la loi ne précise ni laquelle ni les procédures ou délais applicables, se bornant à renvoyer à un décret à venir. Cette imprécision pourrait se révéler incompatible avec l’article 34 de la Constitution.
La suspension pourra toutefois être évitée « aux entreprises et aux personnes morales en général, pour lesquelles la suspension de l’accès à internet pourrait revêtir des conséquences disproportionnées » et serait alors remplacée par une publication à leurs frais (la loi ne précise pas les formes, la teneur ou le support de cette publication). Enfin, la Hadopi pourra aussi transiger avec l’abonné pour une suspension d’une durée plus courte (un à trois mois) dans des cas qui ne sont pas précisés par la loi et relèvent donc de son seul bon vouloir .

Enfin, le projet de loi indique également que la Hadopi établira une liste de dispositifs anti-piratage efficaces dont la mise en œuvre par l’abonné l’exonérera de responsabilité (futur article L 331-30 du CPI). Toutefois, cette indication n’est assortie d’aucune précision complémentaire. La Hadopi n’a donc aucun délai pour produire cette liste, aucune obligation d’indiquer un nombre minimum de dispositifs ni de s’assurer qu’ils sont gratuits ou de faible coût, aucune obligation de vérifier leur innocuité pour l’usager ou de s’assurer qu’ils sont compatibles avec tous les systèmes ou machines, aucune obligation de préciser par qui, où, comment ils seront mis en œuvre, aucune procédure à suivre pour être bien conseillée dans l’établissement de cette liste.
Outre ces dispositifs, la loi prévoit aussi l’exonération de responsabilité de l’abonné en cas de piratage de son propre système informatique ou de force majeure. Mais puisque la Hadopi avertit, juge et sanctionne sans écouter l’intéressé et que les voies de recours ne sont pas précisées par la loi, on cherche en vain à qui l’abonné de bonne foi pourrait bien signaler qu’il est victime d’un piratage ou d’un cas de forme majeure ou qu’on a bien installé les dispositifs anti-piratages requis mais qu’ils n’ont pas fonctionné alors que son accès internet lui aura déjà été coupé ?

Ce n’est que l’une des innombrables objections soulevées par cette loi. En voici quelques autres.

— La Hadopi n’est pas tenue de révéler quelles œuvres ont fait l’objet d’un téléchargement illicite pour décider d’une sanction ; il lui suffit de se déclarer convaincue de l’existence d’un tel téléchargement. Cela équivaut à sanctionner un citoyen sur la base d’un fait dont les preuves sont gardées partiellement secrètes. Pour mémoire, c’est ce même type de procédé qui fut à l’origine employé pour condamner un certain Alfred Dreyfus. Mais au moins Dreyfus avait-il, lui, le droit d’être entendu par ses juges.

— Comment qualifier le défaut de surveillance ? En réalité le rédacteur de la loi ne le sait pas lui-même, n’évoquant prudemment que « les abonnés auteurs de manquements à l’obligation prévue à l’article L. 336-3 ». Si ce manquement est un délit, l’établissement de la culpabilité d’un accusé suppose des garanties d’enquête impartiale qui sont inconciliables avec le fait que c’est la même Hadopi qui reçoit les plaintes, poursuit en conséquence, juge et sanctionne sans même entendre l’intéressé. Si ce n’est pas un délit, il est impossible qu’il donne lieu à une sanction par une autorité administrative sans que cela revienne à mettre ouvertement l’État au service des seuls intérêts particuliers habilités à saisir la Hadopi. Et dans les deux cas, le droit de tout citoyen à un procès équitable (prévu par l’article 6 de la Convention Européenne des Droits de l’Homme : http://www.cnds.fr/pages/cesd.htm) impose des exigences de contradictoire et de droits de la défense que le projet de loi méconnaît.

— Le mécanisme de la loi se heurte à l’impossibilité pratique de suspendre l’accès internet de personnes morales comme un hôpital ou une grande banque, ce que le gouvernement reconnaît d’ailleurs explicitement dans sa présentation du texte. Le « piratage » effectué depuis l’intranet de ces personnes morales ne sera donc ni contrecarré ni découragé ; or la présentation de la loi ne fournit aucune estimation de l’importance relative de ce type de piratage. Mais surtout, ces personnes morales se verront en pratique exemptées de la principale sanction prévue par la loi grâce non point à leur comportement mais à leur seul poids économique. Cette différence de traitement semble contrarier le principe constitutionnel d’égalité des citoyens devant la loi pénale.

— La logique de la loi apparaît peu convaincante du point de vue de la criminologie. D’une part, il est de fait que toute personne n’ayant pas reçu de courriel de la Hadopi peut valablement estimer qu’elle ne risque aucune sanction ; ce n’est pas le cas aujourd’hui et cela peut produire un renforcement du sentiment d’impunité des pirates.
D’autre part si, après deux avertissements, des téléchargements illicites persistent sur l’accès internet d’une personne, c’est soit qu’elle ne peut pas s’y opposer, soit qu’elle ne le veut pas. Dans le premier cas, la personne est sanctionnée malgré un comportement qui n’est pas répréhensible et sans avoir pu s’en expliquer ; or une punition pour un fait qu’on n’a pas commis ou pas voulu commettre représente toujours un encouragement à frauder. Dans le second cas, la fermeture d’un accès internet n’aura guère d’effet dissuasif, notamment en milieu urbain, et le plus souvent le pirate invétéré en trouvera sans grande difficulté un autre.

— Dans l’état actuel des techniques, il est matériellement impossible de suspendre l’abonnement internet en zone non dégroupée sans suspendre en même temps le téléphone et la télévision pour les offres qui les incluent, au contraire ce qui est stipulé par la loi (alinéa 3 du nouvel article L 131-28 CPI). La sanction ne produit donc pas le même effet selon qu’on est en zone dégroupée ou non, alors que cette situation est totalement indépendante aussi bien du comportement de la personne sanctionnée que des faits qui lui sont reprochés. Or près du tiers des abonnés haut débit sont en zone non dégroupée. La Commission des Affaires Économiques du Sénat a déjà remarqué que la sanction de suspension pourrait donc aboutir à une discrimination inconstitutionnelle (http://www.senat.fr/rap/a08-059/a08-059_mono.html#toc68). Dans les faits, le futur article L 131-28 serait donc inapplicable.

— Les dispositifs anti-piratage servant à exonérer de responsabilité sont à ce jour inconnus, puisque la Hadopi est censée en publier à l’avenir une liste. Or l’énorme majorité du trafic internet relève d’activités entièrement licites, y compris en employant des protocoles informatiques similaires à ceux utilisés pour le piratage d’œuvres protégées (par exemple : la distribution d’œuvres non protégées par le droit d’auteur ou légalement acquises ou encore le cryptage de données confidentielles à destination de banques ou de professionnels de la santé). Il est donc aujourd’hui impossible de déterminer quels impacts les dispositifs anti-piratage à venir auraient sur le fonctionnement normal de l’internet pour une personne, d’autant plus que la Hadopi n’a pas à s’en soucier, devant seulement vérifier que le dispositif en question est efficace contre le piratage. D’autre part, comment faire dépendre la responsabilité d’un citoyen d’un procédé technique à venir dont on ne décrit même pas les fonctionnalités principales ?

Quels qu’en puissent être les objectifs, une loi qui dépouille de ses prérogatives le magistrat, qu’il soit du Parquet ou judiciaire, constitue rarement une bonne nouvelle pour le justiciable. En voulant instaurer tout à la fois une infraction nouvelle, une juridiction nouvelle, un mécanisme d’enquête nouveau, et une procédure nouvelle (et incomplète), tous dérogatoires au droit commun et tous confiés à la même nouvelle personne administrative, l’ambition de la loi finit par devenir de l’imprudence. Pourquoi avoir écarté des solutions plus simples, moins choquantes pour le droit, et pas forcément plus coûteuses, comme la création d’un pôle de magistrats et de policiers chargés de poursuivre la contrefaçon sur internet et des sections judiciaires spécialisées dans ces dossiers ?

Olivier Cazeneuve - 13 mars 2009