A l’occasion d’une demande de décision préjudicielle transmise par un tribunal de Munich, la CJUE a eu à se prononcer sur l’interprétation de l’article 12§1 de la directive 2000/31/CE du 8 juin 2000 relatif à la responsabilité des prestataires de simple transport. Si la Cour juge dans un premier temps que le FAI qui propose gratuitement au public un réseau Wi-Fi n’est pas responsable des violations commises par un utilisateur, elle considère toutefois qu’il peut lui être enjoint de sécuriser son réseau au moyen d’un mot de passe.
En l’espèce, un gérant d’entreprise exploitait aux abords de son commerce un réseau local sans fil offrant un accès à Internet gratuit, anonyme, et volontairement non protégé dans le but d’attirer la clientèle. En 2010, une œuvre musicale a été mise à disposition du public sur Internet par le biais de ce réseau Wi-Fi et sans l’autorisation des titulaires de droits.
Mis en demeure par Sony, producteur du phonogramme litigieux, le gérant a affirmé ne pas être à l’origine de l’atteinte invoquée tout en ne pouvant exclure qu’elle ait été commise par l’un des utilisateurs anonymes de son réseau.
Un jugement du 16 janvier 2014 a fait droit aux demandes de Sony qui réclamait notamment le paiement de dommages et intérêts au titre de la responsabilité directe du gérant et la cessation de l’atteinte sous astreinte. Le gérant a exercé un recours contre ce jugement en invoquant les dispositions de la loi allemande transposant l’article 12§1 de la directive 2000/31 qui excluaient selon lui l’engagement de sa responsabilité. Cet article, transposé en France à l’article 9 de la Loi pour la confiance dans l’économie numérique de 2004, prévoit une exonération de responsabilité au profit des opérateurs de simple transport (dont font partie les fournisseurs d’accès à internet), à trois conditions: 1) le prestataire ne doit pas être à l’origine de la transmission, 2) il ne doit pas sélectionner le destinataire de la transmission et 3) il ne doit pas sélectionner ni modifier les informations faisant l’objet de la transmission.
La juridiction allemande chargée de trancher le litige a écarté la responsabilité directe du gérant fournisseur d’accès à internet mais a néanmoins adressé à la CJUE dix questions préjudicielles, demandant, en substance, si le gérant pouvait être condamné, au regard de l’article 12 de la directive 2000/31, en raison de l’absence de sécurisation de son réseau Wi-Fi.
Après avoir vérifié que le service fourni par le gérant du magasin constituait bien un « service de la société de l’information », la Cour de justice rappelle la distinction entre les régimes de responsabilité des FAI et des hébergeurs. Ces derniers, contrairement au FAI, doivent réagir promptement lorsqu’ils ont connaissance d’une information illicite afin de ne pas voir leur responsabilité engagée (cette différence étant justifiée par la durée dans laquelle s’inscrit le stockage d’informations réalisé par les hébergeurs, par opposition au caractère transitoire de la prestation des FAI). En conséquence, la Cour exclut l’application de la condition spécifique de mise en œuvre de la responsabilité des hébergeurs aux FAI.
La Cour revient ensuite plus précisément sur la triple condition posée à l’article 12§1 de la directive 2000/31. Elle énonce à ce sujet que, lorsque les conditions sont remplies, la responsabilité du prestataire ne peut en aucun cas être engagée. Il est ainsi exclu qu’un titulaire de droits de propriété intellectuelle « puisse demander au prestataire une indemnisation au motif que la connexion à un réseau a été utilisée par des tiers pour violer ses droits ».
En revanche, la Cour précise que ce principe n’affecte pas la possibilité pour une juridiction nationale d’exiger d’un prestataire de services qu’il mette fin à une violation de droits ou qu’il la prévienne. Ainsi, en cas de contrefaçon réalisée par un tiers, il est possible pour le titulaire des droits, même lorsque les trois conditions de l’article 12§1 sont réunies, de demander l’interdiction de la poursuite de la violation.
Dans la dernière partie de l’arrêt, la Cour se penche sur l’équilibre à trouver entre la protection de la propriété intellectuelle d’une part, la liberté d’entreprendre et la liberté d’information d’autre part.
La Cour rappelle que le juste équilibre entre ces droits fondamentaux doit être assuré par les juridictions nationales et qu’elle a déjà jugé qu’une injonction qui laisse à un FAI le soin de déterminer les mesures concrètes à prendre pour atteindre le résultat visé est susceptible de parvenir à cet équilibre.
La Cour envisage alors les trois mesures auxquelles le prestataire pourrait être enjoint de se conformer : 1) examiner toutes les informations transmises au moyen de la connexion à Internet, 2) arrêter la connexion ou 3) la sécuriser au moyen d’un mot de passe. Selon la Cour, les deux premières ne peuvent être retenues car elles seraient contraires à l’interdiction de surveillance générale des informations transmises par les prestataires (prévue par la directive 2000/31) et à la liberté d’entreprendre.
Le mot de passe apparaît donc comme la solution la plus à-même d’assurer un juste équilibre entre les droits en présence. Il s’agit d’une mesure strictement ciblée qui doit servir à mettre fin à l’atteinte portée par un tiers aux droits d’auteur ou aux droits voisins, sans que la possibilité pour les utilisateurs d’internet d’accéder de façon licite à des informations ne s’en trouve affectée. Le but de la mesure doit donc être de rendre plus difficiles les consultations non autorisées d’objets protégés en décourageant les utilisateurs susceptibles de réaliser une violation de droits d’auteur ou droits voisins. La Cour ajoute que le système de mot de passe ne peut être réellement dissuasif que dans le cas où il oblige les utilisateurs à agir de manière non anonyme, en fournissant leur identité.
Certains estiment que cette décision pourrait marquer la fin de l’accès gratuit et anonyme aux réseaux Wi-Fi dans les lieux publics.
Charlotte NOËL