Fin de Hadopi : le Conseil d'État juge le dispositif de riposte graduée illégal
Clap de fin pour le système de riposte graduée hérité de la loi Hadopi ! Le Conseil d'État a annulé plusieurs plusieurs dispositions du décret pour non conformité au droit européen sur la protection des données personnelles.
Le 30 avril 2026, le Conseil d'État a porté un coup décisif au procédé de riposte graduée héritée d'Hadopi. Saisie par quatre associations de défense des libertés numériques (la Quadrature du Net, French Data Network, Franciliens.net et la Fédération des fournisseurs d'accès à internet associatifs), la plus haute juridiction administrative française a en effet examiné le décret du 5 mars 2010 qui encadre le "Système de gestion des mesures pour la protection des œuvres sur Internet" et a jugé illégal, au regard du droit européen, certaines dispositions réglementaires du traitement de données personnelles utilisé par l'Arcom pour traquer les internautes accusés de piratage sur Internet. C'est là un véritable séisme politique, puisque c'est le cœur du système français de lutte contre le piratage en ligne qui s'effondre.
Fin de Hadopi : un but légitime, mais un dispositif illégal
Pour rappel, la loi Hadopi est un dispositif historique de lutte contre le piratage en peer-to-peer (P2P) qui a vu le jour en 2009. Son système reposait avant tout sur la prévention, via un mécanisme de riposte graduée en trois étapes visant un internaute repéré en train de télécharger illégalement du contenu : l'envoi d'un e-mail d'avertissement, l'envoi d'un mail d'avertissement accompagné d'une lettre recommandée, et enfin la transmission du dossier au procureur s'il persistait dans ses mauvaises habitudes.
Ce système s'appuyait sur la collecte et l'exploitation de données techniques, notamment les adresses IP, pour identifier les contrevenants. Si Hadopi a pris fin en 2022, l'Arcom a cependant intégré ce processus d'avertissements progressifs par la suite.
Or, le Conseil d'État a jugé que ce dispositif n'était pas conforme au droit européen en matière de protection des données personnelles. La décision s'appuie sur une interprétation de la Cour de justice de l'Union européenne, qui impose des garanties strictes lorsqu'il s'agit de surveiller des internautes.
En effet, pour identifier un internaute qui télécharge illégalement en peer-to-peer, il faut collecter ses données personnelles et identifier son adresse IP, ainsi que les œuvres téléchargées. Ce sont les ayants droit qui s'en chargent et les transmettent à l'Arcom, qui s'occupe ensuite d'envoyer des avertissements successifs aux internautes concernés. Le problème, c'est que cette chaîne de traitements implique une surveillance systématique et à grande échelle des activités en ligne, sans encadrement suffisamment strict.
Protection des droits dauteur contre le piratage : le traitement de données personnelles doit être revu
— Conseil d'État (@Conseil_Etat) April 30, 2026
Lire la décision : https://t.co/9JKcmKjRKd pic.twitter.com/CjXQ8WO5h2
Ici, plusieurs failles ont été identifiées. D'abord, l'accès aux données et leur exploitation ne passaient pas systématiquement par un juge indépendant. Or, le droit européen impose qu'une autorité judiciaire ou une instance indépendante exerce un contrôle préalable lorsqu'il s'agit d'atteindre à la vie privée de manière aussi intrusive. Ensuite, le dispositif permettait un traitement massif de données sans encadrement assez précis sur leur accès, leur conservation ou leur croisement.
Ce manque de garanties posait alors un problème de proportionnalité, puisque la lutte légitime contre le piratage ne peut pas justifier une surveillance massive des internautes. D'autant plus que le croisement des données, qui n'étaient pas assez cloisonnées, pouvait potentiellement permettre de déduire des informations très intimes sur l'internaute concerné.
Fin de Hadopi : quel avenir pour le piratage ?
Il faut bien comprendre une chose : le Conseil d'État ne condamne pas l'objectif du dispositif, mais impose une refonte complète des outils juridiques et techniques utilisés pour y parvenir. La nuance est importante : le dispositif n'est pas interdit en soi, c'est son cadre actuel qui est jugé insuffisant.
Reste que sa décision prive l'Arcom de son principal levier répressif. En effet, la phase la plus sévère du dispositif – celle qui permettait d'envoyer un dossier devant la justice – ne peut plus être utilisée dans sa forme actuelle. Le système devient donc largement inopérant et les sanctions pénales ne peuvent plus être déclenchées.
À l'avenir, l'Arcom pourrait tout à fait revoir sa copie pour s'adapter aux exigences de l'Union européenne, par exemple en demandant aux fournisseurs d'accès de garantir une séparation stricte des données, ou en limitant les informations personnelles accessibles aux agents de l'autorité. En attendant, l'organisme peut toujours envoyer les e-mails d'avertissement, mais, sans sanction dissuasive, cela perd grandement de son intérêt.
Dans son communiqué, la Quadrature du Net se réjouit de cette victoire. Pour elle, le dispositif a surtout servi à criminaliser le partage culturel non-marchand entre internautes, sans jamais améliorer la rémunération des artistes ni endiguer le piratage à grande échelle.
Aujourd'hui, le téléchargement peer-to-peer a considérablement reculé en faveur des plateformes de streaming illégales et de l'IPTV. Alors, faut-il recentrer le combat contre ses sites pirates ? Impliquer davantage les fournisseurs d'accès Internet et les distributeurs d'outils de contournement que sont les DNS et les VPN, comme c'est le cas actuellement ? Viser également les utilisateurs qui consomment ce type de contenus ?
Le débat persiste. C'est juste un peu dommage qu'il ait fallu attendre 17 ans pour se rendre compte que ficher massivement les internautes sans contrôle judiciaire était illégal...