Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance

Effacement d’adresses IP : obligation légale des FAI respectée

Après avoir été débouté en référé par le Président du Tribunal de commerce de Paris de sa demande de se voir communiquer l’adresse IP d’un internaute proposant sur un forum le téléchargement gratuit d’une revue automobile, l’éditeur de la revue a interjeté appel. Dans un arrêt du 15 décembre 2015, la Cour d’appel de Paris a jugé que l’envoi d’un courrier à un FAI lui demandant les coordonnées des personnes à qui ont été attribuées les adresses IP "ne [pouvait] être assimilé à l’injonction judiciaire prévue à l’article L. 34-1 du Code des postes et télécommunications", seule exception permettant de différer d’une année l’obligation des FAI d’effacer les données de connexion. Par conséquent, la Cour a confirmé l’ordonnance de référé considérant qu’"en supprimant (…) les données personnelles liées à l’adresse IP litigieuse enregistrées [un an après la] date de la connexion la plus récente, [les FAI] ont respecté l’obligation légale à laquelle [ils] étaient astreints".

 Pour lire l’arrêt sur Legalis.net

Injonction faite à un FAI de blocage de contenu contrefaisant : conformité au droit de l’UE

Dans un arrêt du 27 mars 2014, la CJUE a statué à titre préjudiciel sur la question de savoir si l'injonction faite à un FAI de bloquer à ses clients l'accès à un site web dont le contenu viole le droit d'auteur est conforme à la directive 2001/29 sur le droit d’auteur et les droits voisins dans la société de l’information. En l'espèce, un FAI auquel il avait été fait injonction de bloquer l'accès à un site contestait, devant la cour suprême autrichienne, être soumis à la disposition fondant l'injonction. La Cour rappelle que la directive 2001/29 vise à garantir un niveau élevé de protection et qu'un FAI qui fournit l'accès au réseau permettant la transmission d'une œuvre contrefaisante "est un intermédiaire dont les services sont utilisés pour porter atteinte à un droit d'auteur ou à un droit voisin au sens de l'article 8 § 3 de la directive 2001/29". Elle arbitre ensuite le conflit entre protection du droit d'auteur et liberté d'entreprendre en constatant qu'un juste équilibre entre ces droits est atteint lorsque l'injonction faite au FAI lui "laisse le soin de déterminer les mesures concrètes à prendre pour atteindre le résultat visé" et qu'il a la possibilité de "s'exonérer de sa responsabilité en prouvant qu'il a pris toutes les mesures raisonnables."

Pour lire l'arrêt de la CJUE.

Modification du contrat d’abonnement par un FAI

Dans un arrêt du 27 novembre 2013, la Cour de cassation a cassé une décision rendue par la Juridiction de proximité de Montpellier qui avait condamné un fournisseur d’accès à internet (FAI) à indemniser un consommateur dont le contrat d’abonnement à une offre de triple accès à internet, au téléphone et à la télévision, avait fait l’objet d’une modification contractuelle unilatérale par le FAI consistant à rendre le service audiovisuel, optionnel et payant, "sauf la possibilité pour l'abonné de résilier le contrat ou de décliner l'option payante". N’ayant pas usé de ces facultés, le FAI a adressé une facture au consommateur incluant l’option payante. La Cour de cassation a considéré quele FAI avait dûment informé son cocontractant ‘‘ de l’évolution tarifaire litigieuse plus d’un mois avant son entrée en vigueur et de la faculté pour celui-ci de résilier le contrat dans un délai de quatre mois à compter de cette date sans pénalité ni droit à dédommagement’’ conformément aux dispositions de l’article L. 121-84 du Code de la consommation.

Pour lire l’arrêt sur Légimobile.

Refus de communication des données d’identification par un FAI

Dans une ordonnance du 30 janvier 2013, le président du TGI de Paris a condamné un FAI pour ne pas avoir fourni les données d’identification correspondant à une adresse IP contrefaisante. Le FAI, pour justifier son refus, arguait qu’il ne pouvait dévoiler ces informations que pour la recherche, la constatation et la poursuite d’infractions pénales (article 34-1 du Code des postes et communications électroniques). Le président a fait prévaloir la LCEN selon laquelle les FAI ont une obligation de conservation et de communication de ces données sur demande de l’autorité judiciaire, cette obligation ne se limitant pas aux infractions pénales.

Pour lire la décision sur Legalis.net.

Peering payant et pratique anticoncurrentielle

Dans une décision du 20 septembre 2012, l’Autorité de la concurrence a estimé que le peering payant ne constituait pas une pratique anticoncurrentielle en cas de forte asymétrie des échanges de trafic. Dans cette affaire, un opérateur de transit américain reprochait à un fournisseur d’accès à internet français, opérant également en tant qu’opérateur de transit, de lui demander une rémunération en échange de l’ouverture de capacités techniques supplémentaires vers ses abonnés. En effet, les accords de peering sont traditionnellement gratuits lorsque les volumes échangés entre deux opérateurs sont sensiblement équivalents. Ce qui n’est pas le cas en l’espèce. Il est cependant demandé au FAI d’être davantage transparent sur les tarifs pratiqués et sur la distinction entre ses activités de fournisseur d’accès et d’opérateur de transit.

Pour lire la décision de l’Autorité de la concurrence

Validation par la CJUE de la communication des adresses IP pour les ayants droits

La CJUE a été saisie par la Cour Suprême de Suède afin de savoir si le droit communautaire s'opposait ou non à ce qu'un Fournisseur d'Accès à Internet soit contraint, par une législation nationale et dans le cadre de poursuites pour atteinte au droit d'auteur, à fournir l'identité d'un abonné à un ayant droit, à partir de son adresse IP. Par un arrêt du 19 avril 2012, la CJUE a considéré que le droit communautaire doit être interprété comme n'excluant pas l'application d’une telle loi nationale, à condition d’assurer un juste équilibre entre les différents droits fondamentaux des personnes concernées.

Pour lire la décision sur le site de la CJUE

Condamnation d’un FAI pour pratiques commerciales trompeuses

Par une décision du 7 février 2012, le Tribunal correctionnel de Paris a condamné un fournisseur d’accès internet à une amende de 100 000€ pour des pratiques commerciales trompeuses commises au détriment de ses abonnés. Il était reproché à cette société d’avoir proposé un forfait « internet haut débit illimité » attractif, alors qu’elle avait parallèlement mis en place un dispositif de limitation du débit au détriment de ses clients en zone non dégroupée. Ce dispositif visait donc à contenir le trafic, réduisant ainsi la bande passante achetée à l’opérateur historique. Cette condamnation fait suite à une plainte qui avait été déposée par l’UFC Que Choisir et à l’enquête menée par la Direction Générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF).

Pour lire le communiqué sur le site de la DGCCRF

Illégalité du filtrage général des communications électroniques par les FAI

Dans une décision du 24 novembre 2011, la CJUE a déclaré illégal un dispositif de filtrage des réseaux P2P. Elle a en effet précisé que l’injonction faite à un FAI belge de bloquer l’envoi et la réception de fichiers musicaux d’internautes constitue une surveillance permanente disproportionnée par rapport aux exigences de protection des droits de propriété intellectuelle en ce qu’elle est susceptible de porter atteinte aux droits fondamentaux des utilisateurs, tels que la protection de leurs données personnelles, le droit de recevoir et communiquer des informations et la liberté d’information.

Pour consulter la décision sur le site de la Cour de Justice

La justice ordonne le blocage du site Copwatch

Par jugement en référé du 14 octobre 2011, le Tribunal de grande instance de Paris, sur le fondement de l'article 6-I-8 de la LCEN, a fait injonction aux Fournisseurs d’Accès Internet de bloquer l’accès au site Copwatch. Le Tribunal a considéré qu'il est établi "que le site dont le contenu est constitutif d'infractions pénales est manifestement illicite" et que ce site, "en propageant des propos injurieux et diffamatoires, ainsi qu'en collectant des données à caractère personnel" cause un dommage "tant aux fonctionnaires de police qu'à l'administration".

Pour consulter la décision sur le site de Legalis