Droit des contenus : quelles responsabilités relatives entre éditeur et hébergeur ?

Avant-Propos : cet article a été rédigé durant l'été 2002. Il est publié ici à titre informatif et ne tient pas compte du récent projet de loi sur l'économie numérique.

Loi 2000-719 du 1er août 2000

La loi 2000-719 a été prise pour transposer en droit interne la directive 2000/31/CE du parlement européen relative au commerce électronique.

La loi du premier août 2000 précise que les prestataires d'hébergement, qu'ils agissent à titre gratuit ou onéreux, ne sont pénalement responsables ou civilement responsables du fait du contenu des services qu'ils hébergent que si ayant été saisis par une autorité judiciaire, ils n'ont pas agi promptement pour empêcher l'accès à e contenu (art. 43-8 de la loi n°86-1067 du 30 septembre 1986 modifiée par la loi n°2000-719 du 1/08/2000)

La loi précise que les prestataires d'hébergement doivent détenir et conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elles sont prestataires, ces informations pouvant être requises par l'es autorités judiciaires (art. 43-9) elle impose également au prestataire de mettre à disposition des éditeurs de contenus, des moyens techniques permettant de satisfaire aux obligations d'identification (pour une application cf. TGI Paris Ord. Réf. 20 sept. 2000)

Le rapport du Conseil d'Etat de 1998

Dans son rapport "Internet et les réseaux numériques" de juillet 1998, le Conseil d'Etat remarque que "les données conservées associées à l'adresse IP par le fournisseur d'accès peuvent permettre de suivre, pas à pas, l'activité d'un internaute (les sites visités, la date et l'heure, les documents téléchargés, la participation à un espace de discussion, les messages électroniques expédiés et reçus) aussi longtemps que ces données sont conservées". Dès lors, ces fichiers logs constituent une véritable mine de données indirectement nominative dont la conservation, notamment à des fins commerciales, risque de heurter les principes de protection des données personnelles garanties en France par la loi du 6 janvier 1978.

Le Conseil d'Etat recommande que ces données ne soient pas détruites trop vite "afin de faciliter les poursuites et l'établissement de la preuve des infractions". Constatant que le délai de prescription légales des délits est de trois ans, que la durée de conservation des données relatives aux appels téléphoniques par France Télécom est de un an et que la CNIL recommandait alors un délai de conservation maximal d'un an, le Conseil d'Etat proposait, sous réserve d'expertise, d'adopter une durée de conservation d'un an.

NB : l'article 9 § 2 de la Convention STE 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel précise qu' "il est possible de déroger aux dispositions des articles 5, 6 et 8 [relatifs à la protection des données à caractère personnel] de la présente Convention lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales".

Le projet de loi sur la Société de l'information (LSI)

La dernière version du projet de loi sur la Société d'information adopté par le Conseil des ministres le 13 juin 2001 envisage au sein de son Titre II un Chapitre III intitulé "L'effacement des données relatives aux communications". L'article 14 pose le principe d'effacement ou d'anonymisation de toute donnée de communication dès que celle-ci est achevée. Notons que cette disposition est inspirée de la directive 97/66/CE du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.

Le principe ainsi posé contient néanmoins l'exception suivante : "Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques." (art. 14-II).

N.B. : cette possibilité de conservation des données pendant un délai d'un an à des fins judiciaires s'inscrit dans le cadre des dérogations prévues par les articles 13 de la directive 95/46/CE et 14 de la directive 97/66/CE sur la protection des données personnelles. Cette dernière est actuellement en cours de réécriture pour y intégrer le fait internet (art. 15 du projet de la Commission du 12 juillet 2000).

Les précisions sur la portée et les modalités de mise en oeuvre de la conservation des données sont confiées par le projet de LSI au pouvoir réglementaire. Un décret en Conseil d'Etat devra en effet déterminer, après avis de la Commission nationale de l'informatique et des libertés, les catégories de données et la durée de leur conservation selon l'activité des opérateurs et la nature des communications (art. 14-II).

Ce décret devra obéir aux règles fixées par l'article 14-IV du projet de loi, qui précisent notamment que les données en cause "portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers". Les données ne peuvent concerner, en outre, "le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications."

La délibération de la CNIL du 3 mai 2001 portant avis sur le projet de loi sur la Société de l'information

Saisie de la question relative à la conservation des données de connexion abordée au sein de la LSI, la Commission nationale informatique et liberté constate que les autorités ont déjà la possibilité de procéder à des interceptions de communication sur l'internet dans les conditions prévues par la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications. Elle remarque ainsi que le projet recherche à étendre, par le biais de la conservation des données de connexion, les possibilités dont devraient disposer les autorités publiques pour fins de d'investigations et de constitution de preuves.

L'obligation de conservation des données dérogeant, selon elle, au droit commun, elle demande que la portée et les modalités de mise en oeuvre de cette obligation soient clairement et précisément fixées par le législateur et non par le pouvoir réglementaire.

Par ailleurs, la Commission estime qu'une durée de conservation maximale de trois mois serait "adaptée aux objectifs d'intérêt public poursuivis par le projet de loi" et parfaitement proportionnée aux intérêts en cause.

Enfin, la Commission demande à ce que les conditions dans lesquelles des données personnelles peuvent être saisies dans le cadre d'une procédure judiciaire soient précisées compte tenue du fait que ces données sont conservées par un tiers (le fournisseur d'accès).

Loi sur la sécurité quotidienne dite LSQ

Cette loi votée après les événements du 11 septembre dans une souci de lutte contre le terrorisme est une loi assez réductrice des libertés, elle traduit cependant un souci mondial puisque elle comporte des mesures présentes dans des termes quasi-similaires dans d'autres pays (Grande-Bretagne ou Etats-Unis dans le Patriot Act)

L'amendement n°9 , intitulé "Stockage des logs de connexions par les Fournisseurs d'Accès à Internet" reprend intégralement les dispositions susmentionnés de la LSI.

L'amendement ne répond donc pas davantage que le texte du projet de LSI aux questions liées aux circonstances dans lesquelles la conservation peut être demandée auprès des fournisseurs d'accès, à la durée de conservation et à la nature même de ces données, même s'il est réaffirmé que ces données ne concernent pas les contenus.

Adoption de l'amendement n°9 au Sénat le 17 octobre :

L'amendement n°9 (devenu l'art. 6 undecies projet de loi sur la Sécurité quotidienne) intègre dorénavant des modalités de compensation des surcoûts spécifiques incombant aux opérateurs pour la conservation des données personnelles :

Les conséquences de l'amendement Bloche

Dans un première affaire opposant One.Tel à la société Multimania, le TGI de Paris, par une ordonnance de référé du 20 septembre 2000, a jugé que Multimania, hébergeur de deux sites dont les contenus avaient pour objet de dénigrer One.Tel, avait bien satisfait à ses obligations légales telles que découlant des dispositions de l'article 43-9 de la loi du 1^er août 2000.
En effet, les juges constatent que l'hébergeur a informé ses abonnés de la mise en demeure émanant de One.Tel, suspendu les sites litigieux et fourni à One.Tel toutes les informations qu'il détenait sur les sites en cause ainsi que le journal des connexions de ses abonnés dès réception de l'ordonnance sur requête du président du tribunal de commerce.
Par ailleurs, ce journal faisait apparaître que One.Tel était le fournisseur d'accès des titulaires des sites hébergés par Multimania ; dès lors, le demandeur avait la possibilité d'identifier lui-même les abonnés afin de prendre les mesures nécessaires à la cessation du trouble.
Pour la juridiction, l'hébergeur a parfaitement rempli son obligation légale de fourniture des données de nature à permettre l'identification d'une personne ayant contribué à la création d'un contenu de services dont il est prestataire. La société One.Tel a donc été débouté de ses prétentions.

Le TGI de Paris a rendu une ordonnance de référé importante le 30 octobre 2001. En l'espèce, un site créé et hébergé aux Etats-Unis fédère et anime plusieurs pages personnelles à connotation raciste, antisémite et xénophobe dédiées au combat contre " les sous-races, la juiverie, la dictature juive, l'envahissement islamique " au nom de la supériorité de la race aryenne.
Ce site offre aux titulaires de ces pages de nombreux services en ligne.
L'association " J'accuse ", dont l'objectif statutaire est de combattre le racisme et l'antisémitisme sous toutes ses formes et sur toute forme de support, multiplie les démarches visant à obtenir la cessation de l'hébergement du site auprès de l'hébergeur.
Celles-ci restant vaines, l'association décide de se retourner vers les fournisseurs d'accès nationaux qu'elle considère comme seuls aptes à mettre un terme au trouble résultant de la possibilité d'accéder à ce site et d'en visualiser le contenu. Elle leur reproche le fait de ne pas vouloir mettre en oeuvre le moyens à leur disposition.
Les juges vont rappeler que les FAI n'ont aucune autre obligation légale que celle de fournir à leurs clients des outils de filtrage ; ils n'ont aucune obligation personnelle de filtrage ni aucune obligation de fournir un accès à Internet et déterminent donc librement les conditions auxquelles ils soumettent la fourniture d'un tel accès.

Dans la continuité, une ordonnance de référé du 20 novembre 2000 rendue par le TGI de Paris, dans une affaire opposant l'UEFJ à Yahoo, vient confirmer une position déjà adoptée le 22 mai de la même année et par laquelle les juges ont ordonner à Yahoo ! Inc de " prendre toutes les mesures de nature à dissuader et à rendre impossible toute consultation sur Yahoo.com du service de ventes aux enchères d'objets nazis et de tout autre site ou service qui constituent une apologie du nazisme ou une contestation des crimes nazis ".
Mais ils ont également ordonner à Yahoo France de " prévenir tout internaute consultant Yahoo.fr, et ce dès avant même qu'il fasse usage du lien lui permettant de poursuivre ses recherches sur Yahoo.com, que si le résultat de sa recherche, soit à partir d'une arborescence, soit à partir de mots-clés l'amène à pointer sur des sites, des pages ou des forums dont le titre et/ou les contenus constituent une infraction à la loi française, ainsi en est-il de la consultation de sites faisant l'apologie du nazisme et/ou exhibant des uniformes, des insignes, des emblèmes rappelant ceux qui ont été portés ou exhibés par les nazis, ou offrant à la vente des objets et ouvrages dont la vente est strictement interdite en France, il doit interrompre la consultation du site concerné sauf à encourir les sanctions prévues par la législation française ou à répondre à des actions en justice initiées à son encontre ".

Deux autres ordonnances de référé du 15 janvier 2002 peuvent également attirer notre attention. Rendues par le TGI de Paris, elles constituent une illustration de l'application de la loi du 1^er août 2000.
Dans la première affaire, des particuliers se rendent compte que leur site, servant à promouvoir leur château, a fait l'objet d'une contrefaçon sur un site hébergé par la société T-Online France. Ils assignent donc l'hébergeur afin d'obtenir les informations leur permettant d'identifier l'auteur du site litigieux, mais aussi pour que l'hébrgement de ce dernier cesse.
Le tribunal constate que l'hébergeur a rempli ses obligations légales en faisant cesser l'hébergement du site litigieux et en tenant à la disposition de l'autorité judiciaire les coordonnées de l'abonné mis en cause conformément à l'article 43-9 de la loi du 30 septembre 1986.
Les prétentions des demandeurs sont donc rejetées, ceux-ci étant condamnés à verser 250 euros à l'hébergeur.

Dans le second cas, un artiste constate qu'une page Internet provenant d'un site web hébergé par la société Multimania contient des propos menaçants et injurieux à son égard ainsi que des informations le concernant (photographie, coordonnées téléphoniques domiciliaires).
Il demande donc à ce que Multimania interrompe l'hébergement et lui communique les informations permettant l'identification de l'éditeur du site.
L'hébergeur s'exécute en remettant aux autorités judiciaires les informations requises et en procédant à la suspension du site.
Les juges considèrent que Multimania a satisfait à " ses obligations légales et contractuelles ".
Ils précisent aussi que " la présente décision vaudra réquisition judiciaire auprès de la société Wanadoo au sens de la loi du 1^er août 2000 ", cette société étant le nouvel hébergeur du site au contenu litigieux.

Terminons par deux affaires récentes soumises au TGI de Paris (18 février et 30 mai 2002). Tout d'abord, celle opposant la société Télécom City et ses dirigeants à la société Finance Net.
Les faits étaient les suivants : la société finance Net exploite un site qui diffuse des informations boursières ; un forum est accessible aux utilisateurs faisant usage d'un pseudonyme. La société Télécom city a constaté la présence de plusieurs messages contenant des menaces de mort à l'encontre de ses dirigeants ainsi que des propos injurieux et racistes.
Elle demande donc que soit fermé ce forum.
Les juges vont tout d'abord constaté que l'hébergeur a fait supprimer les messages incriminés et qu'il a justifié de la mise en place d'un système de filtrage permettant de retirer immédiatement du forum des messages contenant certains mots, d'une intervention humaine lors de l'utilisation d'autres termes, de la possibilité pour les utilisateurs de signaler l'existence d'abus, d'une surveillance spécifique de certains forum (dont celui de la société Télécom City).
A ce titre, l'hébergeur ne peut être tenu pour responsable du fait du contenu des messages concernés que si " ayant été saisi par une autorité judiciaire, il n'a pas agi promptement pour empêcher l'accès à ce contenu, en application e l'article 43-8 de la loi du 1^er août 2000 ".
De plus, la société Net Finance a communiqué au tribunal toutes les informations nécessaires à l'identification des auteurs des messages incriminés.

Dans la dernière illustration que nous aborderons, le TGI de Paris a innover en ordonnant des mesures originales pour empêcher la diffusion sur Internet de fichiers musicaux " contrefaisant ", visant les entre autres les articles 43-8 et 43-9 de la loi de septembre 1986 tels que modifiés par la loi d'août 2000.
Le juge a demandé à l'unité française d'enregistrement de noms de domaine de placer un aiguillage électronique pour détourner les internautes, voulant accéder au site www.miditext.com, vers une page de l'Agence de protection des Programmes (APP).
De cette façon, l'APP peut informer le public de la suspension de la diffusion du site litigieux et présenter le texte de la décision.
La conséquence directe de cette mesure est d'empêcher les internautes de consulter ou télécharger un des 15 000 fichiers qui étaient disponibles sur le site hébergé par une société située aux Etats-Unis.
Le juge en charge de l'affaire était convaincu du caractère contrefaisant du site mais ne pouvait agir auprès de l'éditeur ou de l'hébergeur. En effet, le site ne portait aucune mention de l'éditeur.
Malgré le fait que la consultation et le téléchargement s'effectuaient gratuitement, le site constituaient une source générant des profits au bénéfice de l'hébergeur grâce aux bannières publicitaires situées en page d'accueil.
Le TGI a donc pris des mesures considérées comme " exceptionnelles " dans le cadre d'une procédure non contradictoire afin " d'éviter tout transfert du nom de domaine vers une autre unité d'enregistrement ou celui du site vers un autre hébergeur ", démontrant ainsi que le droit n'est pas sans ressource devant les difficultés techniques.