La Cour de Justice de l’Union Européenne a rendu hier une décision importante à propos de la responsabilité des exploitants professionnels mettant à disposition de leurs clients un hotspot Wi-Fi ouvert. Elle était saisie suite à un litige ayant éclaté à propos du téléchargement d’un morceau de musique à partir de la connexion d’un magasin de sonorisation en Allemagne. Les questions que la Cour devait examiner portaient sur la responsabilité directe de l’intermédiaire du fait des actes commis par un utilisateur de la connexion, ainsi que sur la nature des mesures de sécurisation pouvant lui être imposées par le juge à la demande des ayants droit.
Next INpact et Numerama ont déjà produit des commentaires de cette décision auxquels je vous renvoie, mais je voudrais ici détailler une question annexe, mais importante : quelles vont être les retombées de ce jugement sur les établissements publics tels des bibliothèques qui fournissent une connexion Wi-Fi à leurs usagers ? En 2010, l’IABD (Interassociation Archives Bibliothèques et Documentation) avait produit une analyse juridique du cadre législatif en vigueur qui montrait clairement que les bibliothèques n’étaient en réalité soumises ni à l’obligation d’identifier leurs usagers, ni à celle de mettre en place des mesures de filtrage des contenus. Ces principes protégeaient l’anonymat des usagers des bibliothèques, ainsi que la liberté d’accès à l’information, et ils n’ont (miraculeusement) pas été remis en cause par le cortège de lois sécuritaires adoptées en France ces dernières années.
Ce jugement de la CJUE va-t-il conforter ces principes ou au contraire les bouleverser ?
Absence de responsabilité directe et d’obligation de filtrage des contenus
Sur beaucoup de points, la Cour a suivi les conclusions de son avocat général, qui insistait sur la nécessité de préserver la liberté d’accès à l’information procurée par les hotspots. Les juges ont notamment considéré que la personne qui met à disposition un accès Wi-Fi ouvert au public n’était pas responsable des agissements de ses utilisateurs, à condition qu’elle se cantonne à un rôle passif de connexion et de transport des informations. Cette exemption de responsabilité bénéficie à l’intermédiaire s’il : 1) n’est pas à l’origine de la transmission des informations, 2) ne sélectionne pas le destinataire et 3) ne sélectionne, ni le modifie les informations faisant l’objet de la transmission.
Par ailleurs, comme c’était déjà le cas pour les fournisseurs d’accès Internet (FAI), la CJUE rappelle dans ce jugement son attachement à ce que les intermédiaires techniques ne soient pas « soumis à des obligations générales de surveillance des informations qu’ils transmettent« . Cela signifie que les ayants droit ne peuvent demander à une juridiction ou à une autorité administrative d’imposer à la personne qui met à disposition un hotspot Wi-Fi des moyens de sécurisation impliquant un filtrage automatisé des contenus ou des dispositifs de type liste noire ou liste blanche de sites Internet.
Cela ne veut cependant pas dire que les établissements fournissant un accès à Internet soient dispensés de toute obligation de conservation des informations liées aux connexions. En France notamment, en vertu de la loi anti-terroriste de 2006, il est obligatoire de conserver pendant un an les « données de connexion » ou « données de trafic« , c’est-à-dire selon la CNIL, des informations comme « l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, la date, de l’heure et la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé). » Ces données peuvent être demandées par la justice « dans le but de permettre la recherche et la poursuite des infractions pénales« . Mais cette obligation est distincte de la question de la lutte contre la contrefaçon qui était en cause dans cette affaire et elle va rester applicable.
En revanche, la Hadopi est bien compétente pour s’assurer que les personnes morales offrant un accès à Internet ne commettent pas de « négligence caractérisée dans la sécurisation de leur connexion« . Cela signifie – et j’ai déjà eu des témoignages de collègues attestant que c’est déjà arrivé à des bibliothèques – que des personnes morales peuvent recevoir des mails et des courriers d’avertissement de la Hadopi, si l’autorité repère des téléchargements illégaux commis à partir de leurs accès Internet. Au cas où elle est ainsi avertie, la personne morale doit « mettre en place un moyen de sécurisation » adapté pour faire cesser les infractions. Or la décision de la CJUE est intéressante de ce point de vue, car elle précise que les mesures appropriées en la matière n’ont pas besoin d’aller jusqu’à la coupure de la connexion internet, ni même la mise en place de dispositifs de filtrage.
La Cour estime en revanche qu’une juridiction ou une autorité administrative saisie par des ayants droit peut imposer une sécurisation de la connexion au moyen d’un mot de passe. Et c’est sur ce point précis que la décision va peut-être conduire à imposer une nouvelle obligation d’identification des usagers.
Vers une obligation d’identification des usagers ?
En effet, la Cour estime que l’identification par mot de passe constitue une mesure proportionnée, « susceptible de dissuader les usagers d’un réseau de violer des droits de propriété intellectuelle« . Mais afin d’ »assurer la réalisation de cet effet dissuasif« , la Cour souligne qu’ :
il est nécessaire que les utilisateurs, pour éviter qu’ils n’agissent anonymement, soient obligés de révéler leur identité avant de pouvoir obtenir le mot de passe requis.
Or si l’on en croit les préconisations de la CNIL, les personnes morales, privées ou publiques, étaient jusqu’à présent dispensées de cette obligation d’identifier les personnes utilisant les connexions Internet qu’elles mettaient à leur disposition. Elles doivent conserver les données de connexion pendant un an, comme nous l’avons vu ci-dessus, mais elles n’ont pas obligation de relier ces logs à des utilisateurs identifiés. Certaines bibliothèques, comme la BULAC par exemple (voir cette interview sur Bibliobsession de l’un de ses responsables) mettent même un point d’honneur à ne pas aller au-delà de la loi en matière d’accès à Internet, en n’imposant pas de mesures d’identification afin de préserver le droit à la vie privée de leurs lecteurs. Aux États-Unis, certains établissements vont même plus loin, notamment dans le cadre du Library Freedom Project, en installant un relai TOR afin d’anonymiser et protéger les données personnelles des usagers qui utilisent la connexion Internet de l’établissement (et l’idée commence visiblement à faire son chemin en France).
La question qu’on peut dès lors se poser est de savoir si ces pratiques protectrices vont être remises en cause par la décision de la CJUE ?
Quel impact sur les bibliothèques françaises ?
Il faut d’abord rester prudent quant à la portée exacte de cette décision, car la CJUE s’est prononcée dans cette affaire sur le cas d’un exploitant commercial mettant à disposition de ses clients un hotspot Wi-Fi. On n’est donc pas certain que le résultat aurait été identique si un établissement public comme une bibliothèque avait été en cause.
Néanmoins, il y a quand même des chances non négligeables pour que les principes dégagées dans cette affaire s’appliquent à des accès publics à Internet. En effet, on constate par exemple que la CNIL a tendance à amalgamer la situation des cybercafés avec celles des administrations mettant à la disposition de leurs usagers des connexions Internet (voir ici et ici). Certes, la CNIL n’est pas une juridiction, mais je pense néanmoins que les probabilités sont fortes pour que les principes dégagés par la CJUE s’appliquent aussi aux acteurs publics.
Toutefois, même si l’on reconnaît une portée large à la décision de la CJUE, celle-ci ne signifie pas que des établissements comme des bibliothèques doivent mettre en place de manière pro-active des mesures d’identification de leurs usagers. Ce que dit la Cour, c’est que la réglementation européenne ne « s’oppose pas à ce que le titulaire de droits demande à une autorité ou à une juridiction » d’enjoindre à un établissement mettant à disposition de ses usagers des connexions Wi-Fi la mise en place d’un dispositif de sécurisation par mots de passe pour faire cesser des infractions constatées.
On en déduit donc que la Hadopi ou un juge saisi dans le cadre d’un litige pourraient enjoindre à une bibliothèque de mettre en place une procédure d’identification par mot de passe, sans pour autant que l’établissement puisse être condamné pour ne pas en avoir établie une de lui-même.
Il demeure donc une marge de manoeuvre appréciable pour mettre en place des politiques ouvertes d’accès à internet préservant la vie privée des usagers, même si la décision de la CJUE va contribuer à fragiliser le droit à l’anonymat et c’est une chose regrettable.
Classé dans :Bibliothèques, musées et autres établissements culturels 
