La CJUE juge que la loi d’un État membre peut prévoir d’enjoindre à un fournisseur d’un réseau wifi gratuit, accessible à tous, de mettre en place des mesures de sécurisation de la connexion consistant à tout le moins en un mot de passe afin que les utilisateurs soient obligés de révéler leur identité et ne puissent plus agir anonymement. Si les fournisseurs ne seront pas directement responsables des actions de leurs utilisateurs sur leur réseau, ils seront néanmoins responsables de la sécurisation de l’accès à celui-ci. L’arrêt de la CJUE aborde par ailleurs un certain nombre de points fondamentaux pour de tels prestataires.

CJUE 15 septembre 2016, aff.C-484/14 Tobias Mc Fadden / Sony Music Entertainment Germany GmbH

Le gérant d’une entreprise de vente ou de location de matériel exploitait un réseau local sans fil offrant aux abords de son entreprise un accès gratuit et anonyme à internet. L’accès à ce réseau était volontairement non protégé afin d’attirer l’attention des chalands et voisins sur la société.

Aux alentours du 4 septembre 2010, une œuvre musicale a été mise gratuitement à la disposition du public sur Internet, sans l’accord des titulaires de droits, au moyen dudit réseau local WiFi. Le gérant affirme ne pas avoir commis l’atteinte alléguée, mais ne pas pouvoir exclure qu’elle ait été commise par l’un des utilisateurs de son réseau.

Sony Music, productrice de l’œuvre diffusée illégalement, a mis en demeure le gérant de respecter ses droits sur ladite œuvre.

Le gérant a alors introduit un recours devant les juridictions allemandes en vue de se voir déclarer non responsable. En réponse Sony Music a formé plusieurs demandes reconventionnelles visant à demander l’indemnisation au titre de la violation de ses droits ainsi que la cessation de l’atteinte portée à ses droits.

La juridiction saisie a, par jugement du 16 janvier 2014, rejeté la demande du gérant et fait droit aux demandes de Sony Music. Le gérant a formé opposition contre ce jugement, arguant que l’engagement de sa responsabilité était exclu, en vertu des dispositions allemandes transposant l’article 12, paragraphe 1, de la directive 2000/31.

Par décision du 18 septembre 2014, la juridiction a décidé de surseoir à statuer et effectué un renvoi préjudiciel à la Cour de Justice de l’Union Européenne.

Le cadre juridique : article 12 paragraphe 1 de la directive 2000/31 sur le commerce électronique, intitulé « simple transport » (“Mere conduit”)

En vertu de l’article 12 paragraphe 1, les États membres sont tenus de veiller à ce que les prestataires de « services de la société de l’information » consistant «à transmettre, sur un réseau de communication, des informations fournies par le destinataire du service ou « à fournir un accès au réseau de communication », ne soient pas responsables des informations transmises sur leur réseau à condition : (i) de ne pas être à l’origine de la transmission ; (ii) de ne pas sélectionner le destinataire de la transmission et (iii) ne pas sélectionner ni modifier les informations faisant l’objet de la transmission.

Les services de la société de l’information sont définis par référence à l’article 1er de la directive 98/34 sur les règles relatives aux services de la société de l’information) pour lequel « service » correspond à « tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de service ».

En vertu de l’article 12 paragraphe 3, les États membres conservent néanmoins la possibilité d’exiger du prestataire qu’il mette fin à une violation ou la prévienne.

1. La nature juridique du wifi public gratuit

Le fait que le WiFi soit proposé « gratuitement » ne fait pas obstacle à l’application de la réglementation pour autant que la mise à disposition gratuite « est réalisée par le prestataire concerné à des fins publicitaires pour des biens vendus ou des services fournis par ce prestataire ».

Ceci reflète une interprétation très large de la notion de « contre rémunération » et de la définition de « service » de la société de l’information).

2. Pas de critères additionnels au critère de « mise à disposition »

Le critère déterminant pour établir si le service consiste en la « fourniture un accès à un réseau de communication » en application de l’article 12 paragraphe 1 et 3 de la directive 2000/3, est strictement technique (à savoir le procédé technique, automatique et passif assurant l’exécution de la transmission d’informations requise). Aucun autre critère n’est requis.

3. Pas de similarité entre le régime de « simple transport » et celui « d’hébergeur »

Le régime applicable aux hébergeurs, selon lequel ceux-ci doivent agir promptement dès qu’ils ont connaissance d’une information illicite afin de la retirer ou de rendre l’accès à celle-ci impossible, ne s’applique pas par analogie au service d’accès à un réseau de communication.

4. Pas d’obligations supplémentaires pesant sur le fournisseur du WiFi gratuit

Un prestataire de services fournissant l’accès à un réseau de communication n’est pas soumis à d’autres obligations que celles visées à l’article 12 paragraphe 1 et 3 de la directive 2000/3.

5. Pas d’action en indemnisation mais droit de demander la cessation de la violation

L’ayant droit dont une œuvre a été publiée en violation de ses droits ne peut pas demander une indemnisation au fournisseur d’accès à un réseau de communication dont les services ont été utilisés pour commettre cette violation, mais peut demander l’interdiction de la poursuite de cette violation.

6. L’obligation de sécuriser l’accès à son réseau sur injonction

La directive ne s’oppose pas à ce que les États membres prévoient « une injonction qui exige d’un fournisseur d’accès à un réseau de communication permettant au public de se connecter à Internet, sous peine d’astreinte, qu’il empêche des tiers de mettre à la disposition du public, au moyen de cette connexion à Internet, une œuvre déterminée ou des parties de celle-ci protégées par le droit d’auteur, sur une bourse d’échanges Internet (peer-to-peer), lorsque ce fournisseur a le choix des mesures techniques à adopter pour se conformer à cette injonction, même si ce choix se réduit à la seule mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe, pour autant que les utilisateurs de ce réseau soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement, ce qu’il appartient à la juridiction de renvoi de vérifier ».