La Cour de justice de l’Union européenne a jugé aujourd’hui qu’un fournisseur [ NDLR : pro ] de hotspot n’était pas responsable des contrefaçons réalisées par ses utilisateurs. Cependant, cet acteur pouvait se voir enjoindre d’exiger un mot de passe par une juridiction ou une autorité administrative nationale.
Le litige est né en 2010 : Sony Music avait adressé une mise en demeure à Thomas Mc Fadden. Cet exploitant d’une entreprise de sonorisation outre-Rhin avait laissé son réseau Wi-Fi ouvert sans mot de passe. Or, un tiers a pu mettre à disposition une œuvre du catalogue de la major. L’affaire était remontée jusqu’à la CJUE où les juridictions allemandes ont déversé une série de questions préjudicielles.
Dans son arrêt (PDF) du jour, la Cour va d’abord considérer que la fourniture d’un tel accès Wi-Fi relève de la fourniture d'un service de la société de l'information, à l’instar donc des prestations d’un FAI (article 12 de la directive de 2000). Cela implique cependant que l’exploitant du hotspot ait un rôle « purement technique, automatique et passif » et qu’il n’a ni la connaissance ni le contrôle des informations transmises.
Ceci vérifié, la Cour rappelle qu’un tel prestataire n’est alors pas responsable des contenus qui passent dans ses tuyaux à la triple condition :
- de ne pas être à l’origine d’une telle transmission,
- de ne pas sélectionner le destinataire de cette transmission et
- de ne ni sélectionner ni modifier les informations faisant l’objet de ladite transmission.
Si ces conditions sont remplies, alors un titulaire de droit ne peut demander la moindre indemnisation à cet intermédiaire ou le remboursement de ses frais.
Cependant, la même CJUE relève que la directive 2000/31, toujours dans ce fameux article 12, autorise une juridiction nationale ou une autorité administrative d’imposer à un tel prestataire, la fin d’une violation des droits d’auteur ou qu’il la prévienne. Dans un tel cadre, et seulement dans ce cas, les titulaires de droit peuvent demander cette fois le remboursement des frais de mise en demeure et de justice exposés.
Donc un pro peut ouvrir un hotspot, puis se voir imposer un mdp lors d'une procédure et donc devoir rembourser les milliers d'euros de frais de justice alors qu'il sera reconnu innocent de l'infraction en elle-même … … …
Mais, s’agissant de l’injonction, que peut réclamer le juge ou l’autorité administrative ? Pour la CJUE, d’abord, « considérer qu’un fournisseur d’accès à un réseau de communication ne doit pas sécuriser sa connexion à Internet aboutirait ainsi à priver le droit fondamental à la propriété intellectuelle de toute protection ». Cette injonction doit donc être une réalité. Cependant, une mesure trop musclée heurterait nécessairement d’autres droits fondamentaux, comme la liberté d’entreprendre, le droit de bénéficier d’un accès Internet, etc.
Par une pirouette, elle estime qu’il revient donc aux autorités et juridictions nationales de gérer la mise en concurrence de ces intérêts. Dans l’affaire, la justice allemande a cependant imaginé trois scénarios qu’a dû jauger la CJUE :
- imposer au fournisseur d’un lien hotspot l’examen de toutes les informations transmises,
- arrêter cette connexion,
- ou bien sécuriser celle-ci au moyen d’un mot de passe.
La première hypothèse, la surveillance de l’ensemble des informations transmises est exclue « d’emblée ». En effet, la directive de 2000 interdit « qu’il soit imposé, notamment aux fournisseurs d’accès à un réseau de communication, une obligation générale de surveillance des informations que ceux-ci transmettent ».
La deuxième est accueillie avec la même froideur : la coupure entrainerait « une atteinte caractérisée à la liberté d’entreprise » de la personne qui, ne serait-ce qu’à titre accessoire, poursuit une activité économique consistant à fournir un accès à Internet.
Mais contrairement à l’avocat général, elle juge une telle obligation non incompatible. C’est une mesure d’aménagement marginale de l’activité de fournisseur, où les utilisateurs se contentent de demander un mot de passe pour accéder à Internet par cette porte.
Et voilà aussi une mesure qui peut permettre de juguler les échanges illicites. Comment ? Au point 96, elle précise que si elle est décidée, cette mesure sera dissuasive « pour autant que ces utilisateurs soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement, ce qu’il appartient à la juridiction de renvoi de vérifier ».
Hum. Il faut que le FAI vérifie l'identité donnée ? Pour l'instant les textes n'obligent à rien. Ensuite, il faut que le prestataire fasse le lien entre identité et le trafic litigieux donc il doit conserver un log des IPs attribuées ou ce genre de chose.
Le droit européen, interprété par la CJUE, n’interdit donc pas qu’une injonction soit adressée au fournisseur professionnel d’un hotspot Wi-Fi par un juge ou une autorité administrative, au besoin sous astreinte, afin d’empêcher des tiers de partager des fichiers sans autorisation sur les réseaux P2P. Et cette injonction pourra se limiter par l’exigence d’un mot de passe où les utilisateurs sont obligés de révéler leur identité.
[...]
Remarquons que la CNIL explique sur ses pages qu’il n’existe pas d’obligation générale d’identifier l’utilisateur d’un hotspot. Un cybercafé « n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion ». Toutefois, s’il y a identification des utilisateurs, « en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an ». Autant dire que la décision va générer des conséquences également sur la gestion des données personnelles, du moins chez les fournisseurs enjoints par un juge ou une autorité.
Précisons enfin que l’affaire ne concerne que ceux qui fournissent un hotspot professionnel (ici à titre gratuit). Les arguments et la solution ne peuvent donc être étendus en l'état aux particuliers. [...]
http://www.numerama.com/politique/194912-cjue-met-a-mort-wi-fi-public-anonyme-nom-droit-dauteur.html :
[...] La CJUE vient ainsi s’opposer à l’avis de l’ONU qui estime qu’utiliser Internet anonymement devrait être un droit fondamental de l’homme, pour préserver sa liberté d’expression (ce n’est peut-être pas évident vu de France, mais il faut songer aux dissidents politiques qui ont intérêt à ne pas être identifiés lorsqu’ils publient des messages s’attaquant à des gouvernements autoritaires).