Bien que l’on déplore souvent qu’Internet soit une zone de non droit, l’article 17 de la loi du 30 juillet 2021 vient de renforcer le droit à l’anonymat sur Internet.

Le 30 juillet 2021, l’article 17 de la loi relative à la prévention d’actes de terrorisme et au renseignement [1] a en effet modifié les articles L34-1 du Code des postes et des communications électroniques [2] et 6 II de la LCEN [3], lesquels permettaient d’identifier les auteurs de fautes civiles et d’infractions pénales sur Internet.

Cet article 17 exclut désormais toute possibilité d’identification pour les besoins de procédure civile, et rend plus difficile l’utilisation des adresses IP à des fins d’identification des auteurs d’infraction, même pénales.

Cette réforme fait suite à un arrêt de la CJUE du 6 octobre 2020 [4], et un arrêt du Conseil d’Etat du 21 avril 2021.

Pourtant, les interprétations effectuées par ces arrêts ne commandaient pas une telle réforme.

L’arrêt de la CJUE du 6 octobre 2020.

Dans son arrêt, la CJUE indique en effet que les fournisseurs d’accès et d’hébergement ne peuvent conserver de manière indifférenciée et généralisée les données des personnes utilisant leurs services, mais il n’empêchait pas pour autant la conservation de ces données pour les finalités prévues à l’article 23 paragraphe 1 du RGPD.

Or, l’article 23 paragraphe 1 du RGPD prévoit qu’il est possible de limiter les droits des personnes concernées pour :
 la protection des procédures judiciaires (f),
 la protection des droits et libertés d’autrui (i) et
 l’exécution des demandes de droit civil (j).

Rien ne s’opposait par conséquent à la possibilité d’exiger des FH (fournisseurs d’hébergement) et des FAI (fournisseurs d’accès) la conservation des données pour les finalités susvisées.

D’autant que le RGPD ne consacre par un droit à l’anonymat mais un droit à l’oubli, un droit à l’effacement des données (article 17 du RGPD).

Rien n’interdit le traitement automatisé des données d’identité des personnes physiques pour un but légitime, comme le fait de les conserver, et de les communiquer pour les besoins de procédures judiciaires.

L’arrêt du Conseil d’Etat du 21 avril 2021.

De même, la portée de l’arrêt du Conseil d’Etat est limitée :

« Sont annulées les décisions du Premier ministre refusant d’abroger l’article R10-13 du Code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, en tant que ces dispositions réglementaires, d’une part, ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale et, d’autre part, ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale ».

Au considérant 41, cet arrêt indique même que :

« Il résulte de ce qui précède que l’article R10-13 du Code des postes et des communications électroniques et le décret du 25 février 2011, en tant qu’ils prévoient une obligation de conservation généralisée et indifférenciée des adresses IP, ne sont pas contraires au droit de l’Union européenne ».

Il semble par conséquent que la loi adoptée soit allée au-delà de ce que notre droit prévoit pour la protection des données personnelles.

Des intérêts privés.

Cette interprétation faite par le gouvernement a été validée par une poignée de députés siégeant ce jour-là à l’Assemblée nationale : 128 députés votants (108 pour et 20 contre) sur les quelques 577 députés devant en principe siéger.

A l’initiative de cette réforme, il y a l’action des intermédiaires techniques (opérateurs, fournisseurs d’accès, hébergeurs) et l’association la Quadrature du net, d’inspiration libertaire.

Autant dire que cette réforme n’a pas pour origine l’intérêt général mais un petit groupe de personnes défendant leurs intérêts et idéologies privées, en un mot des lobbyistes.

Cette réforme est même en contradiction avec les déclarations du Président Macron et des membres de son gouvernement lesquels avaient annoncé vouloir lutter contre l’anonymat sur Internet [5].

On assiste par conséquent à une réforme dictée par des intérêts privés sans considération de l’intérêt général, lequel commanderait plutôt de tenir compte des personnes victimes tant d’infractions civiles que pénales sur Internet.

Une réforme anticonstitutionnelle ?

Précisons que le Conseil constitutionnel n’a toujours pas examiné la conformité de cet article 17 aux droits et libertés fondamentaux.

Sa décision n° 2021-822 DC du 30 juillet 2021 n’aborde pas la question de sa conformité [6].

Espérons que, dans le cadre possible de son examen, il considéra cette réforme comme contraire au principe d’égalité devant la loi et du droit à un recours juridictionnel effectif.

A notre sens, l’article 17 II de la loi porte en effet atteinte au principe d’égalité devant la loi en traitant :
 de la même manière ceux qui utilisent des moyens de communications privées (lesquels bénéficient du secret des correspondances), et ceux qui utilisent des moyens de communication publics (Article 6 de la LCEN) ;
 de manière différente les personnes qui diffusent un contenu sur Internet, et celles qui sont visées par ce contenu : elle protège les premiers mais ne protège pas les seconds contre les possibles atteintes à leur vie privée, et au respect de leurs données personnelles, en ce compris l’atteinte à leurs réputations.

L’article 17 porte en outre atteinte au droit à un recours juridictionnel effectif.

Il empêche en effet d’effectuer des demandes en identification pour les besoins de procédures civiles.

Et certaines données comme les adresses IP ne semblent devoir être conservées, et donc ne devoir être communicables, par les fournisseurs d’accès et d’hébergement, que pour les « besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale » (Article 2 bis III).

Autrement dit, même pour effectuer l’identification d’une personne ayant commis une infraction pénale, cela sera très difficile d’obtenir son identification par l’intermédiaire de son adresse IP.

Cette réforme apparaît ainsi totalement anachronique, disproportionnée, et injustifiée.

Elle est le reflet non seulement de la décadence de notre droit mais aussi de nos institutions, et de notre démocratie.

Arnaud Dimeglio, Avocat spécialiste en droit des nouvelles technologie, droit de l'informatique et de la communication