La fin des réseaux wifi publics non sécurisés !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

CJUE, 15 septembre 2016, affaire C-484/14

Nombreuses sont les entreprises qui, pour se différencier ou valoriser leurs prestations, offrent à leurs visiteurs/clients un accès à un réseau wifi, gratuit et non sécurisé leur permettant de s’y connecter de manière totalement anonyme.

Nombreuses sont les entreprises qui, pour se différencier ou valoriser leurs prestations, offrent à leurs visiteurs/clients un accès à un réseau wifi, gratuit et non sécurisé leur permettant de s’y connecter de manière totalement anonyme.

Une telle connexion permet alors aux utilisateurs de se connecter à internet et de commettre de manière anonyme – et donc en toute impunité – des infractions et notamment des actes de contrefaçon.

Jusqu’à présent, ces entreprises ne s’en souciaient que très peu, dans la mesure où leur responsabilité – en tant qu’exploitant du réseau – ne peut pas être engagée si elles démontrent qu’elles :

  • ne sont pas à l’origine de la transmission ;
  • ne sélectionnent pas le destinataire de la transmission et
  • ne sélectionnent et ne modifient pas les informations faisant l’objet de la transmission.

Pourtant, depuis un arrêt récent du 15 septembre 2016 de la Cour de Justice de l’Union Européenne (CJUE), la sécurisation d’un réseau wifi via l’instauration d’un mot de passe pourrait être de nature à engager la responsabilité de l’exploitant de ce réseau wifi.

En l’espèce, le gérant d’une entreprise proposant à la vente ou à la location du matériel d’illumination et de sonorisation exploitait un réseau local sans fil offrant, aux abords de son entreprise, un accès gratuit et anonyme à Internet.

Une œuvre musicale a été téléchargée illégalement, sans l’accord des titulaires de droits, par un utilisateur de ce réseau.

Sony Music, la productrice du phonogramme de cette œuvre, a saisi la juridiction allemande en vue d’obtenir de l’exploitant du réseau, le paiement de dommages et intérêts au titre de sa responsabilité directe dans la violation de ses droits sur ledit phonogramme, la cessation de l’atteinte portée à ses droits sous peine de pénalité, et le remboursement de ses frais de mise en demeure ainsi que de procédure.

Par jugement du 16 janvier 2014, la juridiction allemande a fait droit aux demandes de Sony Music.

L’exploitant a donc formé opposition contre ce jugement, estimant que l’engagement de sa responsabilité était exclu, en vertu des dispositions allemandes transposant l’article 12, paragraphe 1, de la directive 2000/311.

La juridiction de renvoi a reconnu que la violation des droits de Sony Music a été commise non pas personnellement par l’exploitant du réseau (ce qui exclut donc sa responsabilité directe) mais par l’un de ses utilisateurs inconnus. Toutefois, elle envisageait l’engagement de la responsabilité indirecte en raison du fait que celui-ci n’avait pas sécurisé le réseau ayant permis de commettre anonymement cette violation.

S’interrogeant sur la question de savoir si l’exonération de responsabilité – prévue à l’article 12, paragraphe 1, de la directive 2000/31, lequel est transposé en droit allemand – ne fait pas obstacle à toute forme d’engagement de la responsabilité de l’exploitant du réseau, la juridiction de renvoi a saisi la Cour de Justice de l’Union Européenne (CJUE) d’une dizaine de questions préjudicielles.

Particulièrement, la juridiction allemande a interrogé la CJUE afin de savoir si, en synthèse, l’article 12 de la directive 2000/31 doit être interprété, compte tenu des exigences découlant de la protection des droits fondamentaux, ainsi que des règles prévues par les directives 2001/29 et 2004/48, en ce sens qu’il s’oppose à l’adoption d’une injonction qui exige d’un fournisseur d’accès à un réseau de communication permettant au public de se connecter à Internet, sous peine d’astreinte, qu’il empêche des tiers de mettre à la disposition du public, au moyen de cette connexion à Internet, une œuvre déterminée ou des parties de celle-ci protégées par le droit d’auteur, sachant que les seules mesures que celui-ci pourrait en pratique adopter consistent soit à suspendre la connexion à Internet, soit à la sécuriser au moyen d’un mot de passe, soit à examiner toutes les informations transmises au moyen de cette connexion.

La Cour, à la recherche d’un juste équilibre entre la protection des droits de propriété intellectuelle et le droit à la liberté d’entreprise, a relevé qu’une mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe est de nature à limiter la violation des droits de propriété intellectuelle, en ce sens qu’elle peut dissuader les utilisateurs de cette connexion de violer un droit d’auteur ou des droits voisins dès lors que ces derniers sont obligés de révéler leur identité afin d’obtenir le mot de passe requis.

Considérant qu’il n’existe aucune autre mesure qu’un fournisseur d’accès à un réseau de communication peut mettre en place et contrairement aux conclusions de son avocat général, la Cour a considéré que le fait de ne pas imposer à un tel prestataire de sécuriser sa connexion à Internet aboutirait à priver le droit fondamental à la propriété intellectuelle de toute protection, ce qui serait contraire à l’idée de juste équilibre.

La Cour en a conclu que « dans ces conditions, une mesure visant à sécuriser la connexion à Internet au moyen d’un mot de passe doit être considérée comme étant nécessaire pour assurer une protection effective du droit fondamental à la protection de la propriété intellectuelle ».

En conséquence, l’article 12 de la directive 2000/31 ne s’oppose pas, en principe, à l’adoption d’une injonction qui exige d’un fournisseur d’accès à un réseau de communication « de sécuriser la connexion à Internet au moyen d’un mot de passe, pour autant que les utilisateurs de ce réseau soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement ».

Cet arrêt semble sonne le glas des réseaux wifi non sécurisés. Notons que les entreprises qui mettront en place des mesures de sécurité et notamment l’instauration d’un mot de passe, auront par là même l’obligation de permettre la mise à disposition aux autorités judiciaires de l’ensemble des données permettant l’identification de leurs utilisateurs durant une période d’une année.

 

1 Art. 12, 1 de la Directive 2000/31 : « 1. Les États membres veillent à ce que, en cas de fourniture d’un service de la société de l’information consistant à transmettre, sur un réseau de communication, des informations fournies par le destinataire du service ou à fournir un accès au réseau de communication, le prestataire de services ne soit pas responsable des informations transmises, à condition que le prestataire :

a) ne soit pas à l’origine de la transmission ;
b) ne sélectionne pas le destinataire de la transmission
et
c) ne sélectionne et ne modifie pas les informations faisant l’objet de la transmission. »

Sommaire

Autres articles

some
Le DSI de l’ancienne région Rhône-Alpes poursuivit pour espionnage informatique, la procureure de la République requiert six mois d’emprisonnement avec sursis et 5.000 euros d’amende
Article 226-15, 323-1 et 323-3 du Code pénal Le Tribunal correctionnel de Lyon a entendu le vendredi 20 mai 2022 le Directeur des Services d’Information (DSI) de la Région Rhône-Alpes (ci-après : la Région) à qui il était reproché de…
some
Synthèse du rapport sur « Le data altruisme » : une initiative européenne : pour une économie de la donnée équitable et innovante
Le 23 février 2022, la Commission Européenne a présenté sa nouvelle initiative législative sur l’exploitation des données, le Data Act, qui vise à créer un cadre facilitant l’exploitation et le partage des données dans un cadre altruiste, et non plus…
some
La Doctrine « cloud au centre » sur l’usage de l’informatique en nuage au sein de l’État va-t-elle profiter au G.A.F.A.M. ?
Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État L’informatique en nuage (Cloud Computing) constitue un levier essentiel de la transformation numérique de l’Etat et des territoire priorités du Gouvernement actuel…
some
Publication d’un décret relatif aux nouvelles règles applicables aux services de médias audiovisuels à la demande
Décret n°2021-793 du 22 juin 2021 relatif aux services de médias audiovisuels à la demande Le décret n°2021-793 du 22 juin 2021, entré en vigueur le 1er juillet 2021, a modifié les règles applicables aux services de médias audiovisuels à…
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
Avis n°2021-03 du 29 avril 2021 portant recommandations dans le domaine de la sécurité numérique La Commission Supérieure du Numérique et des Postes a publié, le 29 avril 2021, un avis portant recommandations dans le domaine de la sécurité numérique,…
some
La France peut-elle retrouver sa souveraineté numérique en s’affranchissant des GAFAM ?
Stratégie nationale pour le Cloud du 17 mai 2021 Pour répondre aux inquiétudes sur « l’extraterritorialité » de lois américaines comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), qui peuvent permettre à la justice ou aux services…