CJUE : pour l’avocat général, contraindre à sécuriser un hotspot Wi-Fi est illégal

CJUE : pour l’avocat général, contraindre à sécuriser un hotspot Wi-Fi est illégal

Coucou Hadopi

Avatar de l'auteur
Marc Rees

Publié dans

Droit

16/03/2016 9 minutes
12

CJUE : pour l’avocat général, contraindre à sécuriser un hotspot Wi-Fi est illégal

L’avocat général de la CJUE a rendu ses conclusions dans une affaire importante née en Allemagne. Elle concerne l’éventuelle responsabilité du gestionnaire d’un hotspot Wi-Fi quant aux œuvres mises à disposition par des tiers sur son accès.

Le litige est né en 2010 lorsque Sony Music a adressé une mise en demeure à Thomas Mc Fadden, l’exploitant d’une entreprise de sonorisation. Son tort ? Avoir laissé ouvert un accès hotspot sans mot de passe, d’où un tiers a pu mettre à disposition une œuvre du catalogue de la major. L’affaire a rapidement pris un tournant judiciaire, où le gérant a d’abord été la cible d’une injonction et d’une condamnation à des dommages et intérêts. Mc Fadden a contrattaqué, refusant d’être responsable pour les faits d’autrui. La juridiction de renvoi a finalement décidé de mitrailler la Cour de Justice de l’Union européenne d’une série de questions préjudicielles.

Un hotspot Wif-Fi même accessoire est protégé contre les actions en responsabilité

Les conclusions de l’avocat général, destinées à éclairer la Cour, ont été publiées aujourd’hui. Maciej Szpunar considère rapidement que fournir un hotspot gratuit relève bien de la fourniture d’un « simple transport » au sens de l’article 12 de la directive de 2000. Comme nous l’avions vu précédemment, l’exploitant n’est donc pas responsable des flux échangés à une triple condition : « qu’il ne soit pas à l'origine de la transmission, ne sélectionne pas le destinataire de la transmission, et ne sélectionne et ne modifie pas les informations faisant l'objet de la transmission ».

De là, l’AG estime qu’il est impossible de condamner le responsable d’un hotspot à une condamnation pécuniaire (dommages et intérêts ou  remboursement des frais), ni lui reprocher de ne pas avoir prévenu de sa propre initiative, une violation éventuelle des droits d’auteur.

Si cette disposition limite la responsabilité d’un prestataire intermédiaire en raison des informations transmises, elle ne le protège pas d’autres mesures que peuvent décider les tribunaux et les autorités administratives. Ce sont les actions en cessation « exigeant qu’il soit mis un terme à toute violation ou que l’on prévienne toute violation. » Ces injonctions sont programmées en effet par l’article 8 paragraphes 3 de la directive de 2001 et l’article 11 de la directive de 2004/48.

En somme, pas de condamnation, mais la possibilité d’asséner une injonction à l’encontre d’un intermédiaire technique comme cela avait été posé notamment dans l’affaire Sabam notamment. L’AG rappelle d’ailleurs que ce pouvoir d’injonction relève de chaque législation nationale où les juridictions et autorités administratives peuvent en outre l’accompagner d’une astreinte financière…

Injonction de cesser ou prévenir une atteinte à un droit

Mais quelle peut être très concrètement cette injonction ? Doigt sur les textes européens, l’avocat général recommande des mesures « loyales et équitables », sans être « inutilement complexes ou coûteuses, ni comporter de délais déraisonnables, ni entraîner de retards injustifiés ». Elles doivent être en outre être « effectives, proportionnées et dissuasives et être appliquées de manière à éviter la création d’obstacles au commerce légitime et à offrir des sauvegardes contre leur usage abusif ». L’injonction ne peut non plus sacrifier la liberté d’expression, la liberté d’information, ou la liberté d’entreprise de manière disproportionnée.

Partant de là, il estime que l’injonction de faire cesser ou prévenir une atteinte à un droit d’auteur doit viser une violation spécifique et surtout ne pas conduire à une obligation générale en matière de surveillance. Aux États, donc, de peser les intérêts en présence dans cette subtile quête entre la protection des intérêts des ayants droit et celles des autres enjeux également protégés en Europe.

Du coup, l’idée de contraindre un fournisseur hotspot à stopper la connexion Internet ou surveiller l’ensemble des échanges est considérée comme beaucoup trop vaste et surtout en pleine contrariété avec la jurisprudence Scarlet et Sabam. Celles-ci, pour mémoire, avaient interdit qu’un intermédiaire soit visé par une injonction « de mettre en place un système de filtrage, s’appliquant à toutes les communications électroniques, à l’égard de toute sa clientèle, à titre préventif, à ses frais exclusifs et sans limitation dans le temps » (un arrêt mal interprété à l’époque, alors que, comme nous l’avions souligné, il n’interdit pas une surveillance plus ciblée).

L'épineuse question de la sécurisation, sur fond de loi Hadopi

Les juridictions allemandes ont néanmoins demandé s’il était possible d’obliger le responsable du même hotspot à sécuriser l’accès à son réseau. C’est une problématique qu’a tranché la France avec la loi Hadopi, d’ailleurs rappelée à la note 43 et 46 des conclusions, puisque le dispositif permet de sanctionner celui qui n’aura su prévenir à plusieurs reprises une mise à disposition d’oeuvres sur son réseau.

Sur ces questions, une remarque de l’AG déchire le ciel français : « J’observe que l’obligation de sécuriser l’accès à un tel réseau se heurte potentiellement à plusieurs objections d’ordre juridique ». Et celui-ci de considérer que « l’instauration d’une obligation de sécurisation remet potentiellement en cause le modèle commercial des entreprises qui proposent l’accès à Internet accessoirement à leurs autres services ». Il cite un exemple concret : « Les clients d’un fast-food ou d’un commerce, renonceraient à son utilisation si elle impliquait l’obligation systématique de s’identifier et d’introduire un mot de passe. »

De même, alors que Sony voudrait imposer une obligation d’identification des utilisateurs du hotspot, ce qui supposerait un log des accès, l’avocat général répond que la réglementation applicable aux FAI n’est pas transposable : « L’imposition de telles contraintes administratives me semble (…) clairement disproportionnée lorsqu’il s’agit de personnes qui proposent, à leurs clients ou à des clients potentiels via un réseau Wi-Fi, l’accès à Internet de manière accessoire par rapport à leur activité principale. » La mesure serait donc disproportionnée pour un cas comme celui de Mc Fadden qui, rappelons-le, propose un hotspot en marge de sa boutique de sonorisation.

L’avocat général écorche encore ces mesures de sécurisation, qui ont pourtant eu ce fameux succès législatif en France : « eu égard à la facilité de les contourner, les mesures de sécurisation sont inefficaces afin de prévenir l’atteinte spécifique à une oeuvre protégée ».

Un mot de passe ne sert pas à grand chose

Citant l’intervention de la Commission européenne, elle-même, Maciej Szpunar ajoute que « l’introduction d’un mot de passe limite potentiellement le cercle des utilisateurs, mais n’exclut pas forcément les atteintes à une œuvre protégée ». Mieux : « ainsi que l’observe le gouvernement polonais, les fournisseurs de services de simple transport ont des moyens limités pour suivre les échanges du trafic peer-to-peer, dont le contrôle nécessiterait l’application de solutions techniques avancées et coûteuses pouvant susciter de sérieuses réserves en ce qui concerne la protection de la vie privée et de la confidentialité des communications ». 

Bref, selon lui, « imposer l’obligation de sécuriser l’accès au réseau Wi-Fi, en tant que méthode de protection du droit d’auteur sur Internet, ne respecterait pas l’exigence d’un juste équilibre entre, d’une part, la protection du droit de propriété intellectuelle, dont jouissent les titulaires de droits d’auteur, et, d’autre part, celle de la liberté d’entreprise dont bénéficient les prestataires des services concernés ». Au surplus, « l’éventuelle généralisation de l’obligation de sécuriser les réseaux Wi-Fi, en tant que méthode de protection du droit d’auteur sur Internet, serait susceptible d’entraîner un désavantage pour la société dans son ensemble qui risquerait de dépasser son bénéfice potentiel pour les titulaires de ces droits ». Là encore, la France ne s’est pas posée toutes ces questions métaphysiques.

Un autre passage doit être cité in extenso : « D’une part, les réseaux Wi-Fi publics utilisés par un grand nombre des personnes ont une largeur de bande relativement limitée et, dès lors, ne sont pas très exposés aux atteintes aux oeuvres et aux objets protégés par le droit d’auteur. D’autre part, les points d’accès Wi-Fi présentent incontestablement un potentiel important pour l’innovation. Toute mesure risquant de freiner le développement de cette activité doit donc être soigneusement examinée par rapport à son bénéfice potentiel. »

Des conclusions qui ne lient pas la CJUE

Pour l’avocat général Maciej Szpunar, c’est sûr : on ne peut donc adresser à l’exploitant d’un hotspot Wi-Fi d’injonction générale de sécuriser son accès. Toute extrapolation est toujours risquée juridiquement. L’affaire en cause ne concerne que l’entreprise qui offre à titre accessoire à son activité économique, un accès Wi-Fi gratuit, non sécurisé.

On pourrait imaginer que cet avis puisse s’étendre aux simples particuliers inquiétés par la Hadopi, faute d’avoir sécurisé leur hotspot Wi-Fi sur leur box. Mais pas si vite. L'affaire ne concerne que le cas des entreprises qui fournissent un accès Wi-Fi à titre gratuit et accessoire. Il faut en outre rappeler que ces conclusions ne sont que des conclusions…En ce sens que la Cour de justice de l’Union sera libre de les suivre à la lettre ou des choisir une solution diamétralement opposée. Parions en attendant que la France interviendra dans ce dossier pour appeler la CJUE, lorsque viendra dans quelque temps le moment de la décision, à se souvenir des intérêts des titulaires de droit.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un hotspot Wif-Fi même accessoire est protégé contre les actions en responsabilité

Injonction de cesser ou prévenir une atteinte à un droit

L'épineuse question de la sécurisation, sur fond de loi Hadopi

Un mot de passe ne sert pas à grand chose

Des conclusions qui ne lient pas la CJUE

Commentaires (12)


Il n’y a pas une obligation de déclarer son identité, pour l’utilisation de hotspot ?




Là encore, la France ne s’est pas posée toutes ces questions métaphysiques.



Effectivement, ici on préfère tirer d’abord (légiférer, réglementer) et discuter ensuite (re-légiférer, re-réglementer). Éventuellement. S’il y a trop de vagues.








Northernlights a écrit :



Il n’y a pas une obligation de déclarer son identité, pour l’utilisation de hotspot ?





Les identifiants hotspots fournis par les FAIs permettent de tracer les connexions.



Et si l’on prend la définition du simple transport, le fait de restreindre les ports sur les hotspots de box FAI, de ce que je comprend de la législation, fait passer ceux-ci dans la catégorie opérateur de communication électronique, donc logs des connexions obligatoires.



En France : aucune conséquence bien sur ! <img data-src=" />




Parions en attendant que la France interviendra dans ce dossier pour

appeler la CJUE, lorsque viendra dans quelque temps le moment de la

décision, à se souvenir des intérêts des titulaires de droit.





Ce qui signifie… ? <img data-src=" />


Je pense que ça veut dire un truc du genre :



Parions en attendant que lorsque viendra dans quelque temps le moment de la

décision la France interviendra dans ce dossier pour

appeler la CJUE à se souvenir des intérêts des titulaires de droit.



Ou pas, je peux me tromper.


Wouah, nxi rajoute des retours à la ligne aléatoirement ?








Jarodd a écrit :



Ce qui signifie… ? <img data-src=" />





Ça veut dire que les AD vont pouvoir taper dans les 25% de la RCP dédié à la promotion de la propriété intellectuelle pour se payer des billets AR vers Bruxelles et faire du lobbying pour influencer la décision de la CJUE.



De mémoire, la législation française fait de l’exploitant de tout hotspot public un opérateur, avec notamment l’obligation d’enregistrer les log des connexion pendant 1 an.

Sauf à rentrer dans les quelques exceptions prévues…

En gros, il n’est a priori pas légal pour l’exploitant d’une entreprise de sonorisation (ou un bar,…) de proposer un hotspot


Je me demande comment certains restaurant de fat food ou des hôtels ont pu passer à travers l’hadopi. Ce genre de problématique aurait déjà du ce poser non ?


Bataille perdue d’avance, aujourd’hui un échange de disque à disque peut se faire sur plusieurs TERA, potentiellement 1500 films/TERA …


Oh le subtil équilibre de MFM qui se casse la gueule.