Par rapport à la loi « Hadopi 1 », la loi « Hadopi 2 » n'a pas seulement apporté des modifications concernant l'autorité chargée de prononcer des sanctions, elle a aussi modifié les modalités de traitement des saisines ou des plaintes des titulaires de droits par la CPD. L'intervention de la CPD doit faire en sorte que les dossiers éventuellement transmis au parquet le soient dans des conditions qui répondent à toutes les exigences en vigueur en matière de poursuites pénales. Cela entraîne plusieurs conséquences sur l'élaboration des procès-verbaux par les agents des titulaires de droits, l'identification précise des adresses IP et des personnes qui y correspondent, les critères de choix des dossiers, le nombre des recommandations à envoyer, les différentes volumétries à retenir et les liaisons avec les différents parquets.
Nous travaillons donc depuis février, avec le ministère de la culture – qui ne pouvait les élaborer avant la mise en place de la CPD – sur le décret relatif à la négligence caractérisée – qui devrait être publié incessamment – et sur le décret relatif à la procédure devant la CPD, qui seront nos outils de travail. Leur contenu ne sera donc pas une surprise pour nous.
Le passage de la loi « Hadopi 1 » à la loi « Hadopi 2 », les débats devant le Parlement, les décisions du Conseil constitutionnel et les avis de la CNIL ont fait apparaître une exigence particulière quant à la protection des données personnelles. Le souci fondamental qui a guidé l'action de la CPD, sa ligne rouge, c'est la protection des données personnelles et l'équilibre entre les droits des ayant-droits et ceux des internautes mis en cause.
Le décret sur la négligence caractérisée devait donc éviter deux écueils. Il fallait d'une part que la définition de la contravention ne prenne pas de plein fouet les décisions du Conseil constitutionnel, notamment en termes de présomption de responsabilité – il était exclu que sa rédaction puisse laisser penser que l'on instaurait une présomption de responsabilité du titulaire de l'abonnement. Mais il ne fallait pas non plus que cette définition soit stricte au point de donner à penser qu'il ne pourrait jamais y avoir de poursuites – car sans la possibilité de poursuites, c'est toute la loi qui ne pourrait être appliquée. L'équilibre était donc délicat à atteindre pour une contravention, et le résultat est d'une étonnante subtilité.
Contrairement à ce que j'ai pu lire ici ou là, la CPD est le contraire d'un radar automatique. Un radar automatique constate des faits, et cela débouche sur une sanction. Ici, le législateur a voulu – et ne voyez là aucune outrecuidance de ma part – qu'à tous les stades de la procédure, la CPD « puisse » envoyer le premier avertissement, puis la deuxième lettre, et enfin transmettre le dossier au parquet. Mais si la CPD « peut », elle peut aussi « ne pas ». L'intervention de la CPD elle-même est donc un élément constitutif de l'infraction de négligence caractérisée. Autrement dit, le législateur a laissé à la CPD l'opportunité des poursuites. C'est assez nouveau en droit pénal. Nous ne sommes pas ici dans le cadre de l'article 40 du code de procédure pénale : la CPD n'a pas l'obligation de dénoncer les faits au parquet. La loi lui impose seulement de délibérer avant toute transmission au parquet. Rappelons qu'elle est composée de trois magistrats, l'un issu du Conseil d'État, l'autre de la Cour de cassation et le troisième de la Cour des comptes. L'intention du législateur n'est donc pas que les négligences caractérisées fassent l'objet d'une transmission en masse au parquet. La transmission au parquet reste donc un acte de dissuasion, la réponse graduée étant avant tout de la pédagogie !
Lorsqu'on dresse la liste de tout ce qu'il faut envoyer avec les premier et deuxième avertissements, on constate d'ailleurs qu'elle est impressionnante. Nous avons beaucoup travaillé à la rédaction de ces avertissements : il fallait respecter la loi, mais il fallait à l'inverse éviter que la personne qui reçoit une lettre la mette directement au panier. Je le répète, notre objectif est avant tout de faire de la pédagogie.
Quant au décret relatif à la procédure devant la CPD, il est actuellement devant le Conseil d'État et devrait être publié courant juillet. Il édicte les règles que la CPD devra respecter pour permettre aux droits de la défense des internautes mis en cause de s'exercer. Il prévoit une possibilité d'audition – qui peut être demandée par l'internaute ou sollicitée par la CPD – et un certain nombre d'avertissements et de mises en demeure, au-delà de ce qui est prévu par la loi.
Autre objectif de la CPD, la garantie des données personnelles. Lorsqu'il y a transmission au parquet, il faut qu'il n'y ait aucun doute sur l'identité de la personne. Nous ne prendrons donc aucun risque par rapport à un éventuel piratage des adresses IP. Même si elle travaille au sein de la Hadopi, la CPD est une structure autonome. Ses membres et ses agents, qui sont assermentés, sont seuls habilités à avoir connaissance des données personnelles et à pouvoir envoyer des mails.
On nous interroge beaucoup sur les dates d'envoi des premiers mails. Tant que nous n'avons pas délibéré, nous ne pouvons ni les connaître, ni savoir combien nous enverrons d'avertissements.
Il est vrai qu'on nous annonce 50 000 saisines par jour. Mais je rappelle que la CPD « peut »… ou peut « ne pas ».