Le 15 septembre 2016, la Cour de Justice de l'Union européenne (CJUE) a rendu une décision d’importance, contre l'avis de son avocat général, sur la nécessité pour tout professionnel – et implicitement une bibliothèque - mettant à disposition un réseau Wi-Fi de le sécuriser et de recueillir l'identité réelle de leurs utilisateurs.
La CJUE était en effet saisie par la justice allemande du cas du gestionnaire d’une boutique de sons et lumières, proposant un accès Wi-Fi gratuit et ouvert, sans sécurisation contre le téléchargement en provenance des réseaux de Peer-to-Peer. C’est Sony Music qui poursuivait le commerçant et exigeait qu’il soit reconnu civilement responsable des téléchargements illégaux de fichiers ainsi qu’il lui soit fait obligation de sécuriser le réseau Wi-Fi.
Les juges relèvent que « en droit allemand, une personne peut voir sa responsabilité engagée en cas de violation d’un droit d’auteur ou de droits voisins commise par elle soit directement, soit indirectement. En effet, l’article 97 de la loi sur le droit d’auteur et les droits voisins est interprété par les juridictions allemandes en ce sens que la responsabilité, en cas de violation, peut être engagée envers une personne qui, sans être auteur ou complice de cette violation, y contribue délibérément. »
Précisons que, en droit français, il existe une infraction de débit (autrement dit de vente ou de distribution), d’importation et d’exportation d’œuvres contrefaites. De même, quiconque est pris dans la chaîne d’exploitation sera susceptible d’être poursuivi, de l’imprimeur au libraire, à charge pour eux de se retourner contre les véritables coupables. La bonne foi de tels « contrefacteurs » peut cependant être alors plus facilement démontrée.
Le commerçant poursuivi exploitait « un réseau local sans fil offrant, aux abords de son entreprise, un accès gratuit et anonyme à Internet. (…) l’accès à ce réseau était volontairement non protégé afin d’attirer l’attention des clients des commerces adjacents, des passants et des voisins sur sa société. »
« De plus, aux alentours du 4 septembre 2010, M. Mc Fadden, (le commerçant) a modifié le nom de son réseau de « mcfadden.de » en « freiheitstattangst.de », et ce en référence à une manifestation pour la protection des données personnelles et contre la surveillance étatique excessive. » Et, « à la même période, une œuvre musicale a été mise gratuitement à la disposition du public sur Internet, sans l’accord des titulaires de droits, au moyen du réseau local sans fil exploité par M. Mc Fadden. Ce dernier affirme ne pas avoir commis l’atteinte alléguée, mais ne pas pouvoir exclure qu’elle ait été commise par l’un des utilisateurs de son réseau. »
Or, « le fournisseur d’accès ne peut en pratique respecter l’interdiction judiciaire qu’en arrêtant la connexion à Internet, ou en la sécurisant au moyen d’un mot de passe, ou en examinant toutes les communications transmises au moyen de cette connexion afin de vérifier si l’œuvre en cause, protégée par le droit d’auteur, n’est pas à nouveau illégalement transmise ».
La CJUE s’est attachée à l’exégèse des directives de 1998 et de 2000 sur « la société de l’information » et en particulier sur « l’harmonisation de certains aspects du droit d’auteur et des droits voisins », car elles instaurent « un équilibre entre les différents intérêts en jeu et établit des principes qui peuvent servir de base aux normes et aux accords adoptés par les entreprises. »
La Cour souligne que la directive de 2000 « ne s’oppose pas à ce qu’une personne lésée par la violation de ses droits sur une œuvre demande l’interdiction de la poursuite de cette violation, une indemnisation, ainsi que le paiement des frais de mise en demeure et des frais de justice à l’encontre d’un fournisseur d’accès à un réseau de communication dont les services ont été utilisés pour commettre cette violation. »
Les juges s’interrogent néanmoins sur le fait que « ladite injonction fait peser sur ledit fournisseur d’accès une contrainte susceptible d’affecter son activité économique et où, d’autre part, elle est susceptible de limiter la liberté dont disposent les destinataires d’un tel service de bénéficier d’un accès à Internet, il doit être constaté qu’elle heurte le droit à la liberté d’entreprise de l’un (…), ainsi que le droit à la liberté d’information des autres ».
Mais, « lorsque plusieurs droits fondamentaux protégés par le droit de l’Union sont en concurrence, il incombe aux autorités ou à la juridiction nationale concernée de veiller à assurer un juste équilibre entre ces droit ».
Les magistrats de la CJUE évoquent trois hypothèses.
En premier lieu, « s’agissant, de la surveillance de l’ensemble des informations transmises, une telle mesure doit d’emblée être exclue, car contraire à la directive (…) qui interdit qu’il soit imposé, notamment aux fournisseurs d’accès à un réseau de communication, une obligation générale de surveillance des informations que ceux-ci transmettent. »
« Pour ce qui est, deuxièmement, de la mesure consistant à arrêter complètement la connexion à Internet, il y a lieu de constater que sa mise en œuvre entraînerait une atteinte caractérisée à la liberté d’entreprise de la personne qui, ne serait-ce qu’à titre accessoire, poursuit une activité économique consistant à fournir un accès à Internet, en lui interdisant totalement, de fait, de poursuivre cette activité afin de remédier à une violation limitée du droit d’auteur sans envisager l’adoption de mesures moins attentatoires à cette liberté. »
« En ce qui concerne, troisièmement, la mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe, il convient de relever que celle-ci est susceptible de restreindre tant le droit à la liberté d’entreprise du prestataire fournissant un service d’accès à un réseau de communication que le droit à la liberté d’information des destinataires de ce service. »
Il précisent qu’« une mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe peut dissuader les utilisateurs de cette connexion de violer un droit d’auteur ou des droits voisins, pour autant que ces utilisateurs soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement ».
La conclusion, qui a déjà suscité en France, sur la toile, d’âpres commentaires - est donc implacable : « Dans ces conditions, une mesure visant à sécuriser la connexion à Internet au moyen d’un mot de passe doit être considérée comme étant nécessaire pour assurer une protection effective du droit fondamental à la protection de la propriété intellectuelle. (…) la mesure consistant à sécuriser la connexion doit être considérée comme étant susceptible de réaliser un juste équilibre entre, d’une part, le droit fondamental à la protection de la propriété intellectuelle et, d’autre part, le droit à la liberté d’entreprise du prestataire fournissant un service d’accès à un réseau de communication ainsi que le droit à la liberté d’information des destinataires de ce service. »
Et de préciser que rien ne s’oppose donc « à l’adoption d’une injonction qui, telle que celle en cause au principal, exige d’un fournisseur d’accès à un réseau de communication permettant au public de se connecter à Internet, sous peine d’astreinte, qu’il empêche des tiers de mettre à la disposition du public, au moyen de cette connexion à Internet, une œuvre déterminée ou des parties de celle-ci protégées par le droit d’auteur, sur une bourse d’échanges Internet (peer-to-peer), lorsque ce fournisseur a le choix des mesures techniques à adopter pour se conformer à cette injonction, même si ce choix se réduit à la seule mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe, pour autant que les utilisateurs de ce réseau soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement. »
Cette décision est ainsi la preuve de la difficile conciliation entre respect du droit d’auteur et droit d’accès à l’internet.