Vers une obligation de sécurisation des réseaux wifi publics gratuits ?
L’arrêt rendu par la Cour de Justice de l’Union Européenne, le 15 septembre 2016, est une décision très importante en matière de fourniture d’accès à internet, puisqu’elle semble en effet sonner la fin de l’accès aux réseaux Wifi publics, gratuits et sans identification préalable des utilisateurs.
En réponse à une série de questions préjudicielles, la CJUE a d’abord jugé qu’un prestataire de service d’accès à internet n’engage pas sa responsabilité du fait de la publication par un tiers, utilisateur du réseau, de contenus contrefaisants des droits d’auteur.
Malgré cette exonération de responsabilité, la cour a précisé qu’un tel prestataire mettant à disposition un réseau Wifi public gratuit, pourrait être tenu de sécuriser l’accès à son réseau par une identification préalable des utilisateurs, compte tenu de la nécessité de protection des titulaires de droits d’auteur.
Le cadre juridique de la décision :
Monsieur Tobias Mc Fadden est le gérant d’une entreprise proposant à la vente ou à la location du matériel d’illumination et de sonorisation. Dans le cadre de son activité, il met à disposition aux abords de son entreprise, un accès gratuit à un réseau internet dans le but d’attirer l’attention de potentiels clients.
En 2010, une œuvre musicale a été mise gratuitement à la disposition du public au moyen du réseau internet de M. Mc Fadden, sans l’accord de Sony Music Entertainment, société titulaire des droits sur l’œuvre.
Ces actes de contrefaçon de l’œuvre ont donné naissance à un litige entre M. Mc Fadden et Sony Music, cette dernière souhaitant être indemnisée de son préjudice, et obtenir le remboursement des frais de mise en demeure engagés pour faire valoir ses droits.
Le tribunal régional I de Munich (Landgericht München I) reconnait la violation des droits de Sony Music sur l’œuvre musicale, mais précise que cette violation n’a pas été commise par M. Mc Fadden personnellement, mais par un utilisateur non identifié du réseau qu’il met à disposition du public.
Toutefois, le tribunal de Munich envisage la possibilité de tenir M. Mc Fadden indirectement responsable du préjudice subi par Sony Music, au motif que cet exploitant n’avait pas sécurisé le réseau wifi ayant permis de commettre anonymement la contrefaçon de droits voisins.
Pour autant, s’interrogeant sur la question de savoir si l’exonération de responsabilité prévue par la directive n°2000/31/CE[1] ne fait pas obstacle à l’engagement de la responsabilité de M. Mc Fadden, le tribunal de Munich a décidé de surseoir à statuer et a posé une série de questions préjudicielles à la Cour de Justice de l’Union Européenne.
De manière globale, ces questions préjudicielles cherchent à déterminer si des personnes dans la situation de Monsieur Mc Fadden, lesquelles mettent à disposition un réseau wifi gratuitement sans exercer une activité de fournisseur d’accès à internet, relèvent de la qualification de la directive 2000/31 permettant ainsi de les exonérer en cas de publication de contenus contrefaisants via ce réseau.
La CJUE s’est également demandée quelle mesure permettrait de mettre un terme ou de prévenir des atteintes au droit fondamental à la propriété intellectuelle.
I. L’exonération de responsabilité du fournisseur d’accès à internet pour les actes de contrefaçon réalisés par des tiers au moyen de son réseau.
La CJUE a cherché à déterminer si un service, tel que celui fournit par M. Mc Fadden, consistant en la mise à disposition d’un réseau de communication sans fil public et gratuit, constitue un « service de la société de l’information » relevant de l’article 12, paragraphe 1er de la directive 2000/31/CE.
En effet, l’article 12, paragraphe 1er de ladite directive prévoit un système d’exonération du prestataire en fonction de la qualification de sa prestation.
Ainsi, lorsqu’un prestataire met à la disposition du public un réseau internet, et que cette prestation consiste en un « simple transport » d’informations, il peut bénéficier du dispositif d’exonération de responsabilité pour une activité illicite réalisée par un tiers via ce réseau.
En cas de qualification contraire, c’est-à-dire lorsque l’activité consiste en un « hébergement » d’informations, et non en un « simple transport », la directive met à la charge du prestataire certaines obligations qui, lorsqu’elles ne sont pas remplies, engagent sa responsabilité. Un « hébergeur » a ainsi à sa charge une obligation de surveillance, et est tenu d’agir promptement en vue de la suppression de ces données dès qu’il constate leur existence.
La question de la qualification de l’activité du prestataire avait donc un rôle fondamental dans cette affaire. En l’espèce, la CJUE estime que l’activité de M. Mc Fadden consiste en un « simple transport » puisqu’elle relève d’une fonction purement technique, automatique et passive. Le prestataire n’a donc, en principe, pas eu connaissance des informations transmises sur son réseau internet.
Toutefois, la CJUE relève que la directive pose une triple condition pour exonérer le prestataire. En effet, la CJUE rappelle que l’article 12, paragraphe 1er de la directive 2000/31 énonce que « les Etats membres doivent veiller à ce que les prestataires fournissant un service d’accès à un réseau de communication ne soient pas tenus responsables des informations qui leur ont été transmises par les destinataires de ce service, à la triple condition, énoncée à cette disposition, que ces prestataires ne soient pas à l’origine d’une telle transmission, qu’ils ne sélectionnent pas le destinataire de cette transmission, et qu’ils ne sélectionnent ni ne modifient les informations faisant l’objet de ladite transmission ».
En l’espèce, Tobias Mc Fadden se contentait de mettre gratuitement à disposition un réseau Wifi dans un but publicitaire, afin d’attirer l’attention de clients potentiels sur son magasin, et n’avait pas connaissance de la publication de l’œuvre violant les droits voisins via son réseau. De plus, il a été constaté qu’il n’était pas à l’origine des informations, qu’il n’avait pas sélectionné le destinataire de la transmission des informations, et qu’il avait ni sélectionné ni modifié les informations transmises sur son réseau. L’activité de fourniture d’accès à internet exercée par ledit prestataire était donc manifestement une activité de simple transport, relevant du régime prévu à l’article 12 paragraphe 1 de la directive.
La CJUE a donc logiquement considéré qu’un tel prestataire exerçant une activité de fourniture d’internet consistant en un « simple transport », et remplissant la triple condition posée par la directive 2000/31, ne peut être tenu indirectement responsable de la violation des droits voisins, née lors de l’utilisation de son réseau wifi public gratuit.
Elle énonce en effet que : « l’article 12 paragraphe 1, de la directive 2000/31 doit être interprété en ce sens qu’il s’oppose à ce qu’une personne ayant été lésée par la violation de ses droits sur une œuvre puisse demander à un fournisseur d’accès à un réseau de communication une indemnisation au motif que l’un de ces accès a été utilisée par des tiers pour violer ses droits ».
En conséquence, le titulaire des droits n’est pas en mesure de demander une indemnisation à ce prestataire, au motif que le préjudice dont il est victime a été causé par une personne utilisant son réseau internet gratuit.
De la même manière, le titulaire des droits ne peut pas non plus demander le remboursement de ses frais de mise en demeure et ses frais de procédure engagés suite à la constatation de la violation de ses droits.
II. Une obligation de sécurisation des réseaux wifi publics gratuits.
Dans cet arrêt la CJUE s’est également interrogée sur la question de savoir quelle mesure le titulaire de droits de propriété intellectuelle pouvait demander à une juridiction ou à une autorité administrative afin d’enjoindre à un prestataire de mettre fin ou de prévenir de telles atteintes à ses droits de propriété intellectuelle.
En effet, la publication d’une œuvre protégée constitue manifestement une contrefaçon de droits d’auteur, alors que le droit à la propriété intellectuelle constitue, au même titre que tout droit de propriété, un droit fondamental. Il est donc normal que le titulaire de droits de propriété intellectuelle puisse exiger que soit mis en place un dispositif permettant de mettre un terme ou de prévenir une prochaine violation de ses droits. Toutefois, la question de la mesure applicable soulève des difficultés, puisque la protection du droit à la propriété intellectuelle est susceptible de restreindre l’exercice d’autres droits fondamentaux.
Afin de répondre à cette question préjudicielle, après avoir rappelé qu’il découle de l’article 12, paragraphe 1, de la directive 2000/31 que le prestataire de service ne peut être tenu responsable de la contrefaçon des droits d’auteur, du fait de la mise à disposition du réseau ayant servi à réaliser cette contrefaçon, la CJUE précise que « l’article 12, paragraphe 3, de la directive 2000/31 précise que cet article n’affecte pas la possibilité, pour une juridiction nationale ou une autorité administrative, d’exiger d’un prestataire de services qu’il mette fin à une violation de droits d’auteur ou qu’il la prévienne ».
Ainsi, bien qu’aucune obligation générale de surveillance des informations transmises sur son réseau ne soit mise à la charge du prestataire, ce dernier peut être tenu de mettre en place un dispositif permettant de mettre un terme à la violation, ou d’éviter qu’elle se reproduise. Ce dispositif nécessitera une injonction d’une juridiction nationale, laquelle ne peut d’après la CJUE, passer efficacement que par l’obligation pour le fournisseur d’accès à un réseau de communication, de sécuriser le réseau internet qu’il fournit.
En effet, la CJUE énonce qu’ « en dehors des trois mesures évoquées par elle, il n’existe aucune autre mesure qu’un fournisseur d’accès à un réseau de communication, tel que celui en cause au principal, pourrait en pratique mettre en œuvre pour se conformer à une injonction telle que celle en cause au principal ».
Or, les trois mesures évoquées par la CJUE dans cet arrêt sont les suivantes. D’une part, la CJUE évoque la surveillance de l’ensemble des informations transmises, mais cette mesure est expressément prohibée par l’article 15 paragraphe 1 de la directive 2000/31[2]. D’autre part, la CJUE évoque une mesure consistant à couper complètement la connexion à internet. Toutefois, s’agissant de cette mesure, elle ne saurait légitimement prospérer, compte tenu de l’atteinte manifestement caractérisée à la liberté d’entreprise du fournisseur d’accès à internet. Cette coupure totale de la connexion internet interdirait totalement au fournisseur d’accès de poursuivre son activité, et ne respecte pas l’exigence d’équilibre entre les droits fondamentaux au respect de la propriété intellectuelle et à la liberté d’entreprendre. L’obligation de se conformer à l’article 12, paragraphe 3, de la directive 2000/31 ne peut donc passer que par des mesures moins attentatoires à la liberté d’entreprise.
Or, concernant la dernière mesure envisagée, consistant en une sécurisation de la connexion internet au moyen d’un mot de passe, la CJUE considère qu’elle permet d’assurer un équilibre entre les droits fondamentaux en présence. En effet, bien que cette mesure porte atteinte à la liberté d’entreprise du fournisseur d’accès et à la liberté d’information des destinataires du service, il s’agit de la mesure assurant le meilleur équilibre entre les droits fondamentaux. Elle permet d’éviter toute atteinte disproportionnée aux droits fondamentaux, et constitue un mécanisme efficace dans la lutte contre la contrefaçon, et plus généralement contre les infractions commises sur internet. En effet, dès lors qu’une identification, au moyen d’un nom d’utilisateur et d’un mot de passe, est exigée pour accéder au réseau wifi gratuit, les utilisateurs sont susceptibles d’être dissuadés de commettre des infractions, puisqu’ils risquent en conséquence d’être poursuivis.
Cette décision prise par la CJUE peut sembler étonnante, notamment parce qu’elle prend le contrepied de l’avis émis par son avocat général Maciej Szpunar, lequel déclarait dans ses conclusions que : « bien qu’une injonction puisse être adressée à l’opérateur pour mettre un terme à l’infraction, il est impossible d’exiger la résiliation ou la protection par mot de passe d’une connexion internet ou même d’examiner les communications qui transitent par ladite connexion ». L’avocat général de la CJUE estimait effectivement qu’une telle mesure serait trop attentatoire à la liberté d’entreprise, et ne respecterait pas de juste équilibre. La CJUE n’est donc pas de cet avis, et cette décision semble tout à fait justifiée.
Si cette décision venait à être confirmée, les utilisateurs demeureraient libres d’accéder à un réseau wifi public gratuit, avec pour seule contrainte de s’identifier à l’aide d’un mot de passe. Les personnes souhaitant fournir un accès à internet, ne serait-ce qu’à titre accessoire, conserveraient cette possibilité sans risquer d’être poursuivis par des faits commis par des utilisateurs. Enfin, les titulaires de droits d’auteur disposeraient d’un mécanisme susceptible de dissuader de potentiels contrefacteurs de leurs droits, ou permettant de les identifier plus aisément.
Cette décision ne pourra que ravir les titulaires de droits de propriété intellectuelle, contrairement aux partisans du respect de la vie privée qui y voient là, la fin de l’accès à internet gratuit et anonyme.
Notes de bas de page
- Directive 2000/31/CE du parlement européen et du conseil du 8 juin 2000
- L’article 15 paragraphe 1 dispose que « Les Etats membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ».