Le Conseil d'État ordonne l'abrogation du décret Hadopi, jugé incompatible avec les droits fondamentaux européens. Ce que cela change pour la lutte anti-piratage.
Une décision historique au bout d'un long marathon judiciaire
Le 30 avril 2026, le Conseil d'État a donné raison à La Quadrature du Net, French Data Network (FDN), Franciliens.net et la Fédération FDN : le système de surveillance de la Hadopi est incompatible avec les droits fondamentaux de l'Union européenne . Le gouvernement est désormais enjoint d'abroger une partie du décret central organisant la riposte graduée . Dix-sept ans après les premiers débats législatifs.
Ce combat a, en fait, une date de naissance précise : 2009, lorsque la loi Hadopi est défendue à l'Assemblée nationale par Christine Albanel, alors ministre de la culture . La Quadrature du Net s'y oppose dès les premières lectures . Il faudra attendre 2019 pour que l'association dépose formellement devant le Conseil d'État une demande d'abrogation du décret fondateur . Sept ans de plus avant la décision finale.
Le rapporteur public du Conseil d'État avait lui-même mesuré l'enjeu, avec une formule peu commune pour une juridiction administrative :
« Cette affaire devrait, hélas, réjouir des millions d'internautes puisqu'elle met en jeu, indirectement, l'existence même de la [Hadopi]. »
Comment fonctionnait la riposte graduée
Le mécanisme reposait sur une logique en deux temps . D'abord, les ayants droit repéraient les adresses IP des internautes partageant des contenus en peer-to-peer. Ensuite, la Hadopi sollicitait les fournisseurs d'accès à Internet pour obtenir l'identité civile des abonnés concernés. Simple sur le papier.
La sanction, elle, était progressive . Un premier e-mail d'avertissement, un second en cas de récidive, puis une lettre recommandée. Faute de régularisation, le dossier partait au parquet. La sanction potentielle : une contravention de cinquième classe pour défaut de sécurisation de la connexion, soit jusqu'à 1 500 € d'amende — et 3 000 € en cas de récidive .
Le dispositif avait déjà essuyé plusieurs coups avant 2026. En 2020, le Conseil constitutionnel avait censuré l'un de ses pans les plus larges : la loi permettait initialement à la Hadopi d'accéder à « tous documents », une formulation jugée trop extensive . En 2021, la fusion du CSA et de la Hadopi avait donné naissance à l'Arcom — sans régler, au fond, les questions de légalité qui demeuraient ouvertes.
Le vice juridique : une conservation de données sans cloisonnement légal
La faille identifiée par le Conseil d'État est précise. Technique, même. La juridiction a relevé que la conservation des données de connexion — adresses IP d'un côté, identité civile des abonnés de l'autre — ne s'effectue pas de manière « étanche » chez les opérateurs, faute de disposition légale l'imposant expressément .
« Aucune disposition légale n'impose une telle conservation, dans ces conditions, aux opérateurs de communications électroniques. »
La CJUE avait pourtant ouvert une porte : un accès à des données de connexion sans contrôle indépendant préalable peut, sous certaines conditions strictes, être toléré . Le mécanisme Hadopi ne remplissait pas ces conditions. Le Conseil d'État a précisé à quel moment la rupture devient juridiquement insupportable : à partir du troisième accès aux données, celui correspondant à l'envoi de la lettre recommandée, étape charnière avant toute transmission à la justice .
Pourquoi ce seuil précisément ? Parce qu'à ce stade, l'accumulation des données — adresse IP, identité, historique des avertissements — croise plusieurs couches d'informations personnelles, sans qu'aucun tiers indépendant ne supervise l'opération. Le Conseil d'État a, bref, estimé que la chaîne de traitement ne présentait pas les garanties minimales exigées par le droit européen.
La ministre de la culture avait interrogé SFR, Free, Orange et Bouygues Telecom sur leurs pratiques de conservation. Les quatre opérateurs avaient affirmé procéder à un cloisonnement des données . Une réponse que la juridiction a néanmoins jugée insuffisante : sans cadre légal contraignant, une affirmation volontaire ne saurait tenir lieu de garantie.
Quelles conséquences pour la régulation du piratage en ligne ?
L'injonction d'abroger le décret central prive l'Arcom de son principal outil de surveillance des échanges peer-to-peer . Aucune alternative légale n'est à ce jour identifiée. Le vide est réel.
La question du cloisonnement des données reste, elle, entière. Le Conseil d'État n'a pas fermé définitivement la porte à un mécanisme de surveillance du piratage — il a signifié que celui-ci devra reposer sur une base législative explicite, avec des garanties procédurales claires, notamment un contrôle indépendant à partir d'un certain stade . C'est au législateur de s'en emparer.
Les usages numériques ont, par ailleurs, considérablement évolué depuis 2009. Le peer-to-peer a largement cédé du terrain face au streaming. La riposte graduée ciblait un comportement qui n'est plus central dans les pratiques de piratage. La décision du Conseil d'État invalide, au fond, un dispositif déjà partiellement dépassé par les faits.
Pour La Quadrature du Net, qui a porté ce dossier depuis les premières lectures du texte à l'Assemblée , la victoire est à la mesure de l'attente : dix-sept ans de procédures, de recours et de mobilisation pour aboutir à cette injonction d'abroger. Le combat judiciaire s'achève. Le chantier législatif, lui, commence.
11 commentaires
Dix-sept ans pour avoir raison contre l'État, c'est ça la réalité des associations qui se battent sans moyens face à des appareils institutionnels qui usent les gens à la corde. La Quadrature du Net elle a tenu, chapeau. Mais pendant ce temps les travailleurs du numérique, les petits créateurs, les techniciens, eux ils ont vécu sous ce régime sans jamais être vraiment protégés non plus. La victoire lé bon, mais le chemin est trop long pour les dominés.
Ce qui est économiquement intéressant dans cette affaire c'est la question du préjudice réel. Toute la construction de la Hadopi reposait sur une équivalence implicite entre un téléchargement illégal et une vente perdue, équivalence que personne n'a jamais sérieusement démontrée. Parallèlement, les plateformes de streaming ont capté des milliards pendant que l'État dépensait des ressources juridiques et administratives considérables pour un dispositif dépassé. Qui a vraiment gagné dans cette histoire ?
La formulation retenue par le Conseil d'État mérite attention : il ne ferme pas la porte, il indique les conditions. Dans le monde des collectivités on connait bien cette mécanique, une décision d'annulation n'est pas une fin, c'est une remise à plat avec un cahier des charges plus exigeant. La question qui se pose maintenant est de savoir si le législateur a la capacité, et la volonté, de produire un texte à la hauteur dans un délai raisonnable, ce qui n'est pas garanti.
Il y a quelque chose d'assez beau dans cette histoire, un recours déposé en 2019 qui aboutit en 2026, c'est presque le rythme d'une randonnée dans Mafate, long, parfois décourageant, mais on arrive. Ce que le Conseil d'État dit en creux c'est que la surveillance ne peut pas s'improviser, qu'elle a besoin d'un sentier balisé et d'un guide indépendant pour être légitime. Le vide que ça laisse maintenant, ça va demander du soin pour le combler sans retomber dans les mêmes ornières.
Ce qui me frappe c'est que dix-sept ans de bataille juridique pour un texte qui ciblait déjà un usage en train de disparaître, pendant ce temps les vrais problèmes de protection des créateurs locaux, artisans, producteurs, on reste sans outils. Mes étiquettes, mes recettes, mes assemblages, kosa qui les protège vraiment ? Pas grand chose de concret.
@Sandrine, tu soulèves quelque chose d'important sur le chiffre des 1 500 €. Je pense que la vraie question derrière tout ça c'est pas juste l'amende, c'est la confiance qu'on accorde ou pas aux institutions pour gérer nos données personnelles. Quand tu construis une marque, que tu partages du contenu, tu te poses forcément la question de qui y a accès et dans quelles conditions. Cette décision va dans le bon sens, elle oblige à poser un cadre plus clair.
@David, c'est exactement ça le problème, la SACEM elle continue de tourner pendant que les grandes décisions comme celle-là mettent dix-sept ans à aboutir. Pour les petites structures comme toi ou moi, on n'a pas le temps d'attendre les législateurs.
Bon je vois que mon premier commentaire a lancé le débat, et @Marie a raison, la SACEM elle attend pas, elle. Mais là on parle de peer-to-peer, de streaming, de trucs qui me concernent pas directement en terrasse. Ce qui me choque c'est surtout que ça a pris dix-sept ans pour arriver à cette décision, dix-sept ans ! Moi en dix-sept ans j'ai changé de four, de carte, de fournisseur, deux fois. L'État il avance à une autre vitesse.
J'ai une question sincère : si le Conseil d'État laisse la porte ouverte à un nouveau mécanisme avec une base législative solide, est-ce que quelqu'un sait combien de temps ça prendrait concrètement pour que le législateur propose quelque chose de viable ?
1 500 € d'amende maximum, c'est le chiffre qui mérite qu'on s'y arrête. Rapporté au coût réel d'un abonnement streaming légal à l'année, la sanction était déjà peu dissuasive sur le papier. Ce qui est intéressant ici c'est surtout l'absence de cadre légal explicite sur la conservation des données — un vide juridique qui, dans n'importe quel dossier de conformité, aurait été signalé dès l'audit initial.
Franchement moi ce qui m'intéresse c'est de savoir si ça change quelque chose pour les petits comme moi qui galèrent avec la musique en terrasse et les droits SACEM, parce que eux ils continuent de pointer sans se poser de questions sur la légalité de leurs méthodes.