La plus haute juridiction d'Europe vient d'offrir aux utilisateurs et fournisseurs de VPN une victoire rare et retentissante. Dans un arrêt rendu le 9 juillet 2026, la Cour de justice de l'Union européenne a jugé qu'un éditeur utilisant un géoblocage à l'état de l'art ne viole pas le droit d'auteur, même lorsque des utilisateurs déterminés contournent le blocage avec un VPN - et que les fournisseurs de VPN eux-mêmes ne sont pas responsables des actes de leurs utilisateurs. La décision, née d'un litige autour des manuscrits d'Anne Frank, démonte l'un des arguments favoris de ceux qui présentent les VPN comme des outils de piratage.
L'affaire Anne Frank derrière l'arrêt
Le litige (affaire C-788/24) est né d'une bizarrerie du droit d'auteur européen. Une partie des manuscrits originaux d'Anne Frank reste protégée aux Pays-Bas jusqu'en 2037, alors que les mêmes textes sont entrés dans le domaine public en Belgique et dans de nombreux autres États membres depuis des années.
Quand la Anne Frank Stichting et ses partenaires académiques ont publié en ligne une édition savante des manuscrits - géobloquée pour que les visiteurs néerlandais ne puissent pas y accéder -, le Anne Frank Fonds, basé en Suisse, a saisi la justice. Son argument central : puisque les utilisateurs néerlandais peuvent déjouer le géoblocage avec un VPN, la publication équivaut à une « communication au public » aux Pays-Bas, où les textes sont encore protégés.
Ce que la Cour a décidé
La CJUE a rejeté cette logique. Un système de géoblocage conforme à l'état de l'art est juridiquement efficace, a jugé la Cour, même si aucune mesure technique n'est parfaite. Selon les termes de l'arrêt, la possibilité d'un contournement via « un VPN ou un service similaire » ne peut « à elle seule et en toutes circonstances constituer un facteur décisif pour considérer ces mesures comme inadéquates et, partant, inefficaces ».
Concrètement : un éditeur qui érige une clôture géographique sérieuse et moderne a rempli son obligation juridique. L'existence des VPN ne transforme pas une publication licite dans un pays en contrefaçon dans un autre.
Les fournisseurs de VPN, intermédiaires neutres
La Cour est allée plus loin en se prononçant directement sur les services VPN. Un fournisseur de VPN, a-t-elle jugé, « ne donne pas aux utilisateurs finaux accès à une œuvre protégée » et ne joue aucun « rôle indispensable » dans une diffusion non autorisée - c'est un intermédiaire neutre, pas un co-contrefacteur. Les utilisateurs qui franchissent les frontières agissent sous leur propre responsabilité.
Ce raisonnement fait écho à ce que les juridictions nationales commencent à dire. Plus tôt cette année, un tribunal espagnol a rejeté la tentative de LaLiga d'infliger des amendes à NordVPN pour le comportement de ses utilisateurs - et la CJUE vient d'ancrer le même principe au sommet de l'ordre juridique de l'UE.
Un contrepoids à la pression sur les VPN
L'arrêt tombe dans un climat de pression juridique croissante sur les VPN à travers l'Europe. La France a imposé aux fournisseurs un rôle de police des contenus, comme nous l'avons couvert quand les tribunaux français ont ordonné à ProtonVPN de bloquer des sites pirates. Le Danemark est allé encore plus loin en proposant des sanctions pénales pour l'usage d'un VPN visant à contourner les géo-restrictions.
Dans ce contexte, l'arrêt de Luxembourg est un contrepoids structurel : il dit aux ayants droit que la simple existence des VPN n'est pas une arme juridique, et aux États membres que les services VPN sont des intermédiaires, pas des complices.
La suite
L'affaire retourne désormais devant la Cour suprême néerlandaise, qui devra déterminer si le géoblocage réellement mis en place par la Stichting atteint le seuil de « l'état de l'art » défini par la CJUE. Si oui, les prétentions du Fonds échouent ; sinon, l'action en contrefaçon peut se poursuivre. Luxembourg a fourni le test juridique - l'appliquer aux faits revient maintenant aux Néerlandais.
Pour les utilisateurs ordinaires de VPN, la portée dépasse le droit d'auteur. L'arrêt traite le VPN comme ce qu'il est techniquement : un outil de chiffrement et de routage qui protège une connexion et masque une localisation, utilisé très majoritairement pour la confidentialité et la sécurité. Quand la plus haute juridiction de l'UE refuse explicitement de traiter cet outil comme un instrument de contrefaçon, elle consolide le socle juridique de tous ceux qui s'y fient.