Que l’on soit une personne privée, un employeur, un commerçant ou un fournisseur d’accès à Internet, on peut avoir envie de partager sa connexion wifi, tantôt pour permettre à des amis de passage d’avoir un accès à Internet, tantôt pour rendre service à ses clients, voire les inciter à rester plus longtemps.

Deux questions reviennent très régulièrement: premièrement quelle est la responsabilité de celui qui partage son accès en cas d’utilisation illicite et deuxièmement y a-t-il une obligation d’identifier les utilisateurs?

Quelle responsabilité ?
Celui qui partage un accès à Internet n’est en principe pas responsable de l’utilisation qui en est faite. En cas d’infraction pénale, il risque néanmoins d’être soupçonné à tort et il sera dans son intérêt de pouvoir démontrer qu’il n’est pas l’auteur des actes reprochés.

S’il veut interdire certains utilisations, sans qu’elles ne soient pour autant illégales (c’est souvent le cas pour le téléchargement d’œuvres à usage privé ou de pornographie douce), il devra prévoir des conditions d’utilisations.

Finalement, il pourrait y avoir un risque de complicité pénale ou de responsabilité civile si celui qui partage l’accès est informé, ou dans des cas bien particuliers doit savoir qu’un usage illégal a lieu et qu’il ne prend aucune mesure pour le faire cesser.

Dans l’affaire Tobias Mc Fadden c. contre Sony Music Entertainment Germany GmbH (C-484/14), la Cour de justice de l’Union Européenne (CJUE) s’est penchée sur une telle question. M. Mc Fadden mettait à disposition aux abords de son entreprise un réseau wifi offrant un accès gratuit et anonyme à Internet, notamment afin d’attirer l’attention des clients des commerces adjacents et des passants. Une œuvre musicale protégée a été mise gratuitement à la disposition du public sur Internet par un tiers, sans l’accord des titulaires de droits, au moyen du réseau wifi de M. Mc Fadden.

La CJUE a retenu qu’il n’y a pas de faute ni d’obligation de dédommagement de M. Mc Fadden. Le droit européen lui interdit également de surveiller toutes les communications et une injonction de mettre un terme à la mise disposition de l’accès Internet serait excessive. En revanche, la Cour considère que le titulaire des droits d’auteur violés doit pouvoir demander à M. Mc Fadden de sécuriser son wifi et d’exiger des utilisateurs qu’ils disposent d’un mot de passe. Une telle mesure peut en effet, dit la CJUE, dissuader les utilisateurs de cette connexion de violer un droit d’auteur, s’ils sont obligés de révéler leur identité afin d’obtenir le mot de passe requis et qu’ils ne peuvent donc pas agir anonymement.

La Cour n’indique pas comment l’identité doit être contrôlée et surtout si il suffit que la personne se présente physiquement pour demander un code sans même donner son nom, ou si l’identité doit être vérifiée et conservée pendant une certaine durée, voire si le code d’accès doit être unique et permettre de relier l’utilisation qui est faite du réseau avec le bénéficiaire du code.

Quelles obligations d’identification ?
Actuellement, seuls les fournisseurs de services de télécommunications soumis à une obligation d’annonce au sens de la LTC sont tenus de conserver durant six mois les données permettant l’identification des usagers, ainsi que les données relatives au trafic et à la facturation (art. 15 al. 3 LSCPT). Ils doivent en particulier être en mesure d’identifier les personnes à qui ils ont attribué des adresses IP (art. 27 OSCPT), mais il n’y pas d’obligation d’identifier les utilisateurs d’un réseau wifi.

Contrairement à ce qui avait été envisagé dans les projets initiaux, la révision de la LSCPT, n’a pas non plus introduit une obligation systématique pour celui qui partage un accès d’identifier les personnes l’utilisant. Les personnes qui mettent leur accès à un réseau public de télécommunications à disposition de tiers devront néanmoins tolérer une surveillance exécutée par le Service SCPT et fournir les informations dont elles disposeraient (art. 29 nLSCPT). C’est tout.

Les fournisseurs de services de télécommunications continueront aussi de devoir être en mesure d’identifier les personnes à qui ils ont attribué des adresses IP.

La nouveauté vient en revanche de l’art. 19 nOSCPT (en consultation jusqu’au 30 juin) qui obligerait les fournisseurs de services de télécommunications à identifier les usagers du service, qu’il s’agisse d’un abonné, de l’acheteur d’une carte SIM prépayée ou justement du simple utilisateur d’un réseau wifi!

Ainsi, si un fournisseur de services de télécommunications (Swisscom par exemple) met à disposition un accès wifi sur la place de la gare, il doit être en mesure d’identifier les usagers. Si un voisin de la gare laisse son réseau ouvert et à disposition des tiers, il n’a pas d’obligation d’identification. Le restaurant et le magasin qui mettent aussi à disposition leur accès n’auraient pas non plus d’obligations d’identification, n’étant pas visés par l’art. 19 nOSCPT.