La Cour de justice de l’Union européenne a jugé aujourd’hui qu’un fournisseur de hotspot n’était pas responsable des contrefaçons réalisées par ses utilisateurs. Cependant, cet acteur pouvait se voir enjoindre d’exiger un mot de passe par une juridiction ou une autorité administrative nationale.
Le litige est né en 2010 : Sony Music avait adressé une mise en demeure à Thomas Mc Fadden. Cet exploitant d’une entreprise de sonorisation outre-Rhin avait laissé son réseau Wi-Fi ouvert sans mot de passe. Or, un tiers a pu mettre à disposition une œuvre du catalogue de la major. L’affaire était remontée jusqu’à la CJUE où les juridictions allemandes ont déversé une série de questions préjudicielles.
FAI ou exploitant de hotspot Wi-Fi, même combat
Dans son arrêt (PDF) du jour, la Cour va d’abord considérer que la fourniture d’un tel accès Wi-Fi relève de la fourniture d'un service de la société de l'information, à l’instar donc des prestations d’un FAI (article 12 de la directive de 2000). Cela implique cependant que l’exploitant du hotspot ait un rôle « purement technique, automatique et passif » et qu’il n’a ni la connaissance ni le contrôle des informations transmises.
Ceci vérifié, la Cour rappelle qu’un tel prestataire n’est alors pas responsable des contenus qui passent dans ses tuyaux à la triple condition :
- de ne pas être à l’origine d’une telle transmission,
- de ne pas sélectionner le destinataire de cette transmission et
- de ne ni sélectionner ni modifier les informations faisant l’objet de ladite transmission.
Si ces conditions sont remplies, alors un titulaire de droit ne peut demander la moindre indemnisation à cet intermédiaire ou le remboursement de ses frais.
Une juridiction ou une autorité peut adresser des injonctions à ces acteurs
Cependant, la même CJUE relève que la directive 2000/31, toujours dans ce fameux article 12, autorise une juridiction nationale ou une autorité administrative d’imposer à un tel prestataire, la fin d’une violation des droits d’auteur ou qu’il la prévienne. Dans un tel cadre, et seulement dans ce cas, les titulaires de droit peuvent demander cette fois le remboursement des frais de mise en demeure et de justice exposés.
Mais, s’agissant de l’injonction, que peut réclamer le juge ou l’autorité administrative ? Pour la CJUE, d’abord, « considérer qu’un fournisseur d’accès à un réseau de communication ne doit pas sécuriser sa connexion à Internet aboutirait ainsi à priver le droit fondamental à la propriété intellectuelle de toute protection ». Cette injonction doit donc être une réalité. Cependant, une mesure trop musclée heurterait nécessairement d’autres droits fondamentaux, comme la liberté d’entreprendre, le droit de bénéficier d’un accès Internet, etc.
Par une pirouette, elle estime qu’il revient donc aux autorités et juridictions nationales de gérer la mise en concurrence de ces intérêts. Dans l’affaire, la justice allemande a cependant imaginé trois scénarios qu’a dû jauger la CJUE :
- imposer au fournisseur d’un lien hotspot l’examen de toutes les informations transmises,
- arrêter cette connexion,
- ou bien sécuriser celle-ci au moyen d’un mot de passe.
Coupure d'accès et surveillance généralisée sont exclues d’emblée
La première hypothèse, la surveillance de l’ensemble des informations transmises est exclue « d’emblée ». En effet, la directive de 2000 interdit « qu’il soit imposé, notamment aux fournisseurs d’accès à un réseau de communication, une obligation générale de surveillance des informations que ceux-ci transmettent ».
La deuxième est accueillie avec la même froideur : la coupure entrainerait « une atteinte caractérisée à la liberté d’entreprise » de la personne qui, ne serait-ce qu’à titre accessoire, poursuit une activité économique consistant à fournir un accès à Internet.
L'option de l’accès protégé par mot de passe
Reste le troisième cas : enjoindre l’exploitant du hotspot de sécuriser par mot de passe les accès. Une telle obligation « est susceptible de restreindre tant le droit à la liberté d’entreprise du prestataire fournissant un service d’accès à un réseau de communication que le droit à la liberté d’information des destinataires de ce service » remarque la CJUE.
Mais contrairement à l’avocat général, elle juge une telle obligation non incompatible. C’est une mesure d’aménagement marginale de l’activité de fournisseur, où les utilisateurs se contentent de demander un mot de passe pour accéder à Internet par cette porte.
Et voilà aussi une mesure qui peut permettre de juguler les échanges illicites. Comment ? Au point 96, elle précise que si elle est décidée, cette mesure sera dissuasive « pour autant que ces utilisateurs soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement, ce qu’il appartient à la juridiction de renvoi de vérifier ».
Elle résume ainsi sa position par cette réponse très technique :
« Par conséquent, il convient de répondre aux cinquième, neuvième et dixième questions posées que l’article 12, paragraphe 1, de la directive 2000/31, lu en combinaison avec l’article 12, paragraphe 3, de cette directive, doit être interprété, compte tenu des exigences découlant de la protection des droits fondamentaux ainsi que des règles prévues par les directives 2001/29 et 2004/48, en ce sens qu’il ne s’oppose pas, en principe, à l’adoption d’une injonction qui, telle que celle en cause au principal, exige d’un fournisseur d’accès à un réseau de communication permettant au public de se connecter à Internet, sous peine d’astreinte, qu’il empêche des tiers de mettre à la disposition du public, au moyen de cette connexion à Internet, une œuvre déterminée ou des parties de celle-ci protégées par le droit d’auteur, sur une bourse d’échanges Internet (peer-to-peer), lorsque ce fournisseur a le choix des mesures techniques à adopter pour se conformer à cette injonction, même si ce choix se réduit à la seule mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe, pour autant que les utilisateurs de ce réseau soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement, ce qu’il appartient à la juridiction de renvoi de vérifier. »
En résumé et situation au regard de la Hadopi
Le droit européen, interprété par la CJUE, n’interdit donc pas qu’une injonction soit adressée au fournisseur professionnel d’un hotspot Wi-Fi par un juge ou une autorité administrative, au besoin sous astreinte, afin d’empêcher des tiers de partager des fichiers sans autorisation sur les réseaux P2P. Et cette injonction pourra se limiter par l’exigence d’un mot de passe où les utilisateurs sont obligés de révéler leur identité.
« En clair, on ne pourra pas retenir de fautes sur les épaules d’un tel acteur qui a fourni un accès conditionnel à son accès Wi-Fi » nous commente en ce sens Me Alexandre Archambault. Il s’agit donc d’une obligation de moyens non de résultat, qui pourra être imposée par les autorités nationales sans contrariété avec le droit européen. Dit autrement, on ne pourra pas adresser aucun reproche à l’exploitant commercial d’un hotspot dès lorsqu’il a mis en place un tel accès par mot de passe sur demande d'un juge.
Reste une difficulté pratique : on voit mal comment ce gestionnaire pourra vérifier la vraie identité de chaque personne. Même s’il se contente d’un code par SMS, le mécanisme restera poreux et avant tout déclaratif. C’est ce que disait l’avocat général dans ses conclusions : « l’introduction d’un mot de passe limite potentiellement le cercle des utilisateurs, mais n’exclut pas forcément les atteintes à une œuvre protégée ».
Remarquons que la CNIL explique sur ses pages qu’il n’existe pas d’obligation générale d’identifier l’utilisateur d’un hotspot. Un cybercafé « n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion ». Toutefois, s’il y a identification des utilisateurs, « en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an ». Autant dire que la décision va générer des conséquences également sur la gestion des données personnelles, du moins chez les fournisseurs enjoints par un juge ou une autorité.
Précisons enfin que l’affaire ne concerne que ceux qui fournissent un hotspot professionnel (ici à titre gratuit). Les arguments et la solution ne peuvent donc être étendus en l'état aux particuliers. En France, l'univers de la Hadopi peut en tout cas souffler doublement : en 2013, le gouvernement a fait sauter la peine de suspension qui pouvait viser aussi les entreprises dont l’accès Wi-Fi a pu servir à du téléchargement illicite. La suspension n’existe en réalité plus qu’en tant que peine accessoire à un délit de contrefaçon, comme on l’a encore vu ce matin. De plus, cette autorité oeuvre justement pour la sécurisation des accès sans fil par l'usage des mots de passe, sans que les titulaires d'accès ne soit considérés comme co-auteur des contrefaçons effectuées sur leur ligne.
Commentaires (5)
#1
Décidément, internet est une véritable plaie. Vivement qu’on coupe tout ça.
#2
#3
Le dernier paragraphe me fait tiquer : cela revient à dire qu’il pèse moins d’obligation sur un professionnel que sur un particulier pour la sécurisation d’un accès WIFI.
#4
Non cela veut dire que je ne sais pas ce que déduirait la CJUE si elle venait à être saisie de cette question.
Je prends des pincettes, et n’hurle sûrement pas que c’est la fin d’Internet, du monde, des accès wifi, du chiffrement ou que sais je encore ;)
#5
C’est quand même du bon sens…
“La Cour rappelle qu’un tel prestataire n’est alors pas responsable des contenus qui passent dans ses tuyaux à la triple condition…”
Ce serait comme porter plainte contre Orange parce que ses câbles font transiter des oeuvres protégés.