La CJUE vient d’écarter la responsabilité des fournisseurs de VPN lorsqu’un internaute contourne un géoblocage pour accéder à une œuvre protégée. Si le filtrage est insuffisant, c’est à celui qui l’a publiée d’en répondre.

En janvier dernier, nous revenions sur les conclusions de l’avocat général de la Cour de justice de l’Union européenne, qui refusait de tenir les fournisseurs de VPN responsables du contournement des géoblocages. Les juges devaient toutefois encore se prononcer. C’est désormais chose faite : dans un arrêt rendu le 9 juillet 2026, la CJUE confirme que les fournisseurs de VPN ne peuvent pas être tenus responsables de cette diffusion, et précise à qui incombe la responsabilité lorsqu’une œuvre protégée devient accessible depuis un pays où elle ne devrait pas l’être.
Pour la CJUE, un géoblocage suffisant n’a pas à être infaillible
Pour rappel, l’affaire porte sur une édition scientifique numérisée des manuscrits d’Anne Frank, publiée gratuitement sur un site enregistré en Belgique. L’œuvre y appartient au domaine public, comme dans plusieurs autres pays européens, mais une partie de ces textes demeure protégée par le droit d’auteur aux Pays-Bas jusqu’en 2037.
Pour empêcher les internautes néerlandais d’y accéder, les responsables du site ont donc mis en place un géoblocage fondé sur l’adresse IP. Une protection qu’il est toutefois possible de contourner en passant par un VPN, afin de faire croire au site que la connexion provient d’un autre pays. L’Anne Frank Fonds, détenteur des droits aux Pays-Bas, estimait alors que cette possibilité suffisait à caractériser une diffusion non autorisée de l’œuvre auprès du public néerlandais, en violation de son droit exclusif à autoriser ou interdire sa mise à disposition dans le pays.
La CJUE rejette aujourd’hui ce raisonnement de principe. Une mesure technique n’a pas besoin d’être impossible à contourner pour être considérée comme efficace. Elle doit utiliser des techniques suffisamment récentes et solides, adaptées à l’objectif poursuivi, sans imposer de restrictions disproportionnées.
En clair, si un site déploie un géoblocage suffisamment abouti, il manifeste son intention de ne pas s’adresser aux internautes du pays où l’œuvre demeure protégée. Le fait que certains d’entre eux puissent ensuite contourner cette restriction à l’aide d’un VPN ne suffit donc pas à considérer que l’éditeur du site y a lui-même diffusé l’œuvre.
La Cour laisse toutefois à la justice néerlandaise le soin de vérifier si le géoblocage utilisé dans cette affaire était suffisamment solide pour remplir ces conditions.
La responsabilité revient à celui qui publie l’œuvre
Même si la justice néerlandaise jugeait finalement le géoblocage insuffisant, le fournisseur de VPN ne deviendrait pas responsable pour autant. La faute incomberait à l’organisme ayant mis l’œuvre en ligne sans empêcher correctement son accès depuis le pays où elle demeure protégée.
La distinction tient à la notion de « communication au public ». Pour être considéré comme l’auteur de la diffusion, un acteur doit volontairement intervenir afin de donner accès à l’œuvre et jouer un rôle déterminant dans sa mise à disposition.
Or, un fournisseur de VPN ne publie pas le contenu, ne choisit pas les sites consultés et ne décide pas à quel public l’œuvre est proposée. Il se contente de mettre à disposition un outil technique général, que ses abonnés peuvent légalement utiliser pour protéger leur connexion et préserver leur vie privée. Le fait que certains s’en servent pour contourner un géoblocage en modifiant leur adresse IP ne suffit donc pas à le rendre responsable de la diffusion non autorisée de l’œuvre.
L’arrêt confirme ainsi la position défendue en janvier par l’avocat général. Celui qui publie en ligne une œuvre encore protégée dans certains pays doit employer des protections géographiques suffisamment solides, mais un fournisseur de VPN ne peut pas être considéré comme l’auteur de sa diffusion au seul motif que son service a permis de contourner ces restrictions.