Hadopi : le Conseil d’État enterre la riposte graduée et prive l’Arcom de tout pouvoir judiciaire

Le Conseil d’État a rendu ce 30 avril 2026 un arrêt historique qui prive la Hadopi de sa fonction la plus emblématique : celle de pouvoir traduire les internautes devant la justice en cas de piratage répété. Selon Numerama, la haute juridiction administrative a annulé plusieurs dispositions clés du décret de 2010, celles-là mêmes qui fondaient le mécanisme de la riposte graduée, réduisant dès lors l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) à une simple machine à envoyer des avertissements sans réelle portée coercitive.

Un dispositif né en 2009 et condamné par l’Europe

Instaurée par la loi Hadopi de 2009, la riposte graduée reposait sur un principe simple : alerter, puis sanctionner. Un internaute repéré en train de télécharger illégalement un film ou une musique via un réseau P2P recevait d’abord un mail d’avertissement. En cas de récidive, une lettre recommandée avec accusé de réception lui était adressée. Si l’adresse IP était à nouveau impliquée dans un téléchargement illégal, l’Arcom — qui a succédé à la Hadopi en 2022 — pouvait transmettre le dossier au parquet. L’abonné risquait alors une amende de 1 500 euros pour « négligence caractérisée ». Pourtant, malgré les 12,5 millions de premiers mails envoyés entre 2010 et 2025, seules 15 000 transmissions au parquet ont été effectuées, selon les chiffres cités par Numerama.

Mais ce système, autrefois présenté comme une innovation majeure dans la lutte contre le piratage, a été jugé non conforme au droit européen. Saisie en 2019 par quatre associations de défense des libertés numériques — la Quadrature du Net, French Data Network, Franciliens.net et la Fédération des fournisseurs d’accès internet associatifs —, la juridiction administrative s’est fondée sur un arrêt de la Cour de justice de l’Union européenne (CJUE) rendu le 30 avril 2024. Celui-ci exigeait que toute collecte et recoupement de données personnelles à des fins de lutte contre le piratage soit encadré par une autorisation préalable d’un juge ou d’une autorité indépendante.

Deux manquements majeurs au droit européen

Le Conseil d’État a pointé deux vices de procédure dans le décret de 2010. D’abord, l’absence de cloisonnement des données personnelles conservées par les fournisseurs d’accès à Internet (FAI). Ces derniers n’étaient pas tenus de séparer strictement les informations d’identification des abonnés — comme leur nom ou leur adresse — des autres données sensibles, comme les données de localisation ou de trafic. Ensuite, l’autorité administrative — en l’occurrence l’Arcom — n’était pas soumise à l’obligation de demander une autorisation judiciaire avant de procéder à des recoupements entre l’adresse IP d’un abonné et les œuvres téléchargées illégalement. Autant dire que cette pratique permettait potentiellement à l’Arcom de déduire des informations très intimes sur les habitudes de consommation culturelle des internautes, comme leur orientation sexuelle ou leurs préférences politiques, sans aucun contrôle indépendant.

La CJUE a clairement indiqué que de telles pratiques relevaient d’une surveillance de masse incompatible avec le règlement général sur la protection des données (RGPD). Le Conseil d’État, en alignant sa jurisprudence sur celle de l’UE, a donc logiquement annulé les dispositions du décret qui permettaient à l’Arcom de transmettre des dossiers au parquet. Dès aujourd’hui, la procédure de négligence caractérisée, qui pouvait aboutir à une condamnation, est suspendue. Les condamnations deviennent ainsi quasi impossibles à court terme.

Une Hadopi réduite à une « machine à spams » ?

L’impact de cette décision ne se limite pas à un simple dysfonctionnement administratif. Sans la menace finale d’une amende, l’effet dissuasif du dispositif s’effondre. « L’Arcom ne peut plus vous envoyer devant la justice, puisque les exigences requises par la CJUE ne sont pas remplies. Elle est donc aujourd’hui reléguée au rôle d’immense machine à spams », a réagi la Quadrature du Net dans un communiqué intitulé « Hadopi (2009-2026) ». L’association, qui a saisi le Conseil d’État, n’hésite pas à qualifier la Hadopi de « machine de surveillance », soulignant que le dispositif reposait avant tout sur une logique de contrôle massif des usages numériques.

Pourtant, la Hadopi n’est pas totalement morte. L’Arcom conserve la possibilité d’envoyer les deux premiers mails, à condition que les FAI garantissent un cloisonnement strict des données personnelles. Mais cette contrainte administrative, si elle est respectée, transforme le dispositif en une coquille vide : sans la menace d’une sanction pénale, les avertissements perdent toute crédibilité. Entre 2010 et 2025, seuls 0,12 % des dossiers transmis à la justice ont abouti à une condamnation. Un taux d’efficacité si faible que la pertinence même du système est aujourd’hui remise en cause.

Un système dépassé par l’évolution des pratiques de piratage

Le piratage a profondément changé depuis 2009. À l’époque, les réseaux P2P dominaient le paysage illégal. Aujourd’hui, les plateformes de streaming ou les offres d’IPTV illégales ont pris le relais, échappant largement au radar de la Hadopi. Le dispositif, conçu pour une époque révolue, peine à s’adapter à des usages numériques en constante mutation. Certains observateurs s’interrogent donc sur sa pertinence future, d’autant que son coût — 430 000 euros par an pour indemniser les FAI, selon les informations de Numerama — pourrait être réalloué à des mesures plus ciblées.

La Quadrature du Net, dans son communiqué, ne mâche pas ses mots : « La Hadopi est bien une machine de surveillance. » Pour ses détracteurs, la décision du Conseil d’État marque la fin d’une époque, celle d’un dispositif conçu pour intimider plutôt que pour protéger. Pour ses défenseurs, elle ouvre la voie à une réforme nécessaire, mais dont l’urgence reste à prouver. Une chose est sûre : sans riposte graduée, la Hadopi n’est plus qu’une ombre d’elle-même.