Le ministre français de la Culture, Frédéric Mitterrand, réagit après le vote de la loi sur le piratage sur Internet à l'Assemblée nationale, le 15 septembre 2009.
SAA/ - Reuters - Charles Platiau
Le 30 avril 2026, le Conseil d’État a porté un coup décisif à la riposte graduée héritée d’Hadopi, en jugeant illégal, au regard du droit européen, le traitement de données personnelles utilisé par l’Arcom pour traquer les internautes accusés de piratage sur Internet. Décision technique en apparence, mais séisme politique : c’est tout un modèle de surveillance des adresses IP, pensé en 2009 pour dissuader le téléchargement illégal, qui s'effondre.
Saisi par La Quadrature du Net, French Data Network (FDN), Franciliens.net et la Fédération FDN, le Conseil d’État a examiné le décret du 5 mars 2010 qui encadre le « Système de gestion des mesures pour la protection des œuvres sur Internet », le fichier central de la riposte graduée créé à l’époque d’Hadopi et aujourd’hui exploité par l’Arcom.
Deux points sont jugés incompatibles avec le droit de l’Union européenne : l’absence de cloisonnement suffisant des données conservées par les fournisseurs d’accès et l’absence de contrôle indépendant avant certains recoupements répétés entre identité civile, adresses IP et œuvres piratées.
Concrètement, la plus haute juridiction administrative enjoint au gouvernement de revoir ce décret en profondeur. En attendant, elle encadre strictement le dispositif : l’Arcom ne peut identifier un abonné à partir de son IP que si le fournisseur d’accès prouve que les données ont été conservées dans des conditions conformes à la jurisprudence européenne, et elle ne peut plus utiliser la chaîne de recoupements pour aller jusqu’au troisième stade de la réponse graduée – la transmission systématique au parquet – sans passer par un contrôle indépendant.
À retenirLe piratage reste illégal, mais la riposte graduée « à la Hadopi » ne peut plus fonctionner telle quelle. L’État doit revoir son dispositif pour respecter la protection des données personnelles.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Le mécanisme mis en place à partir de 2009 est simple dans son principe : des ayants droit mandatent des prestataires pour surveiller les réseaux peer-to-peer (BitTorrent, eDonkey, etc.). Lorsqu’une œuvre protégée est repérée en partage, l’adresse IP de l’internaute est relevée et transmise à l’autorité de régulation. Celle-ci sollicite alors le fournisseur d’accès pour lever l’anonymat et obtenir l’identité civile et les coordonnées de l’abonné.
Une fois ces données recoupées et stockées, s’enclenche la « réponse graduée » : première recommandation par e‑mail, seconde recommandation assortie d’un envoi plus formel (courrier recommandé ou équivalent), puis transmission éventuelle du dossier au procureur de la République en cas de répétition des faits dans un délai déterminé. L’abonné risque alors une contravention pour « négligence caractérisée » ou des poursuites pour contrefaçon.
La mécanique en trois étapesÉtape 1 : e‑mail d’avertissement. Étape 2 : avertissement avec accusé de réception.Étape 3 : transmission au parquet possible en cas de récidive.
Derrière la bataille Hadopi, un enjeu s’impose progressivement : jusqu’où un État peut‑il aller dans la surveillance des connexions pour défendre le droit d’auteur ? Interrogée par le Conseil d’État, la Cour de Justice de l’Union européenne (CJUE) a précisé, dans un arrêt du 30 avril 2024, qu’un pays peut imposer aux opérateurs de conserver de manière généralisée les adresses IP et l’identité associée, y compris pour des infractions qui ne relèvent pas de la criminalité la plus grave, mais à des conditions strictes.
Les données doivent être conservées de façon « cloisonnée », dans des silos séparés ne permettant pas de recouper facilement IP, trafic et localisation. Et lorsqu’une autorité publique croise à plusieurs reprises l’identité d’un abonné avec des informations sur les œuvres piratées, un contrôle indépendant (juridiction ou entité autonome) devient obligatoire à partir d’un certain seuil, pour éviter de reconstituer, à bas bruit, le profil culturel et les habitudes de l’internaute.
Pour mesurer ce que change la décision de 2026, il faut remonter au début de la saga. En 2009, la loi Hadopi naît dans un climat explosif. Nicolas Sarkozy fait de la lutte contre le téléchargement illégal un symbole de volontarisme politique. En face, tout un pan du Web français s’organise pour dénoncer une loi jugée liberticide et technologiquement dépassée. La (petite) communauté activiste des libertés d'Internet est sidérée par un texte qui inverse la logique de la présomption d’innocence et confie à une autorité administrative le soin de sanctionner des comportements en ligne sur la base d’adresses IP. Au même moment, La Quadrature du Net s’impose comme l’un des principaux contre‑pouvoirs.
Au fil des années 2010, Hadopi devient un objet politique étrange : omniprésent dans les discours, mais peu visible dans les condamnations. Les rapports d’activité affichent des millions d’avertissements envoyés, mais les transmissions au parquet restent rares. Dans le même temps, les usages de piratage se déplacent massivement vers le streaming illégal, le téléchargement direct et, plus récemment, les offres d’IPTV pirates, zones grises sur lesquelles la riposte graduée est largement inopérante.
Le 1er janvier 2022, Hadopi disparaît officiellement, absorbée par le CSA au sein d’une nouvelle autorité : l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique). Sur le plan institutionnel, l’objectif est de rassembler sous un même toit la régulation de l’audiovisuel, des plateformes en ligne et de la protection des œuvres.
Mais sur le terrain de la riposte graduée, la continuité est totale. L’Arcom hérite du système d’information, des procédures et des missions d’Hadopi. Pour les abonnés, seul le logo au bas du courrier change. Pour les juristes, en revanche, une question persiste : cette mécanique conçue en 2009 est‑elle encore compatible avec un droit européen de plus en plus protecteur de la vie privée et des données personnelles ?
Le 30 avril 2026, La Quadrature du Net publie une nécrologie au titre sans ambiguïté : « Hadopi (2009-2026) ». Pour l’association, le Conseil d’État vient de reconnaître que le système de surveillance des adresses IP mis en place avec Hadopi, puis repris par l’Arcom, est incompatible avec les droits fondamentaux et doit être démantelé.
L’autorité ne peut plus, en l’état du droit, dérouler automatiquement son scénario en trois actes jusqu’à la troisième étape, celle qui faisait peser la menace d’une comparution devant le tribunal pour négligence caractérisée.
La décision du Conseil d’État ne trace pas la route à la place du législateur, mais elle pose des bornes claires. Si l’État veut reconstruire une riposte graduée compatible avec le droit européen, il devra accepter davantage de contrôle externe, de transparence sur la conservation des données et, sans doute, un dispositif plus lourd à mettre en œuvre.
Une autre voie se dessine déjà : déplacer le centre de gravité de la lutte contre le piratage, en ciblant davantage les plateformes, les sites de streaming illégaux et les offres d’IPTV pirates plutôt que les abonnés individuels. L’Arcom dispose déjà de leviers pour faire bloquer des sites, obtenir le déréférencement de services et coopérer avec les grands acteurs du numérique. Mais cette stratégie suppose d’assumer que le modèle Hadopi – focalisé sur la surveillance des IP et la pédagogie punitive – appartient à une autre époque d’Internet.
A VivaTech, Bezos dans l’optimisme spatial, LeCun dans l’IA ouverte
VivaTech : la France et l’Allemagne s’entendent sur ce que signifie « souveraineté numérique »
Inde : des femmes se filment en faisant le ménage pour entraîner les robots qui les remplaceront
2 milliards de tokens par jour : comment Grok a épaulé les frappes américaines contre l'Iran
Comment fonctionnait le système Hadopi/Arcom