La régime de l'hébergeur de données, 10 ans après sa création

Toute personne développant une activité économique dite « participative » sur Internet, invoque le régime de l’hébergeur de données, qui établit un régime de responsabilité atténué, et offre un cadre juridique propice au développement d'activités économiques sur Internet.

Toutefois, ce régime n’est pas automatiquement accordé, et ne s’applique, du moins en théorie, qu’aux acteurs du web n’éditant pas le contenu de leur site, ou ne contrôlant pas le contenu éditorial de leur site. Aujourd’hui, plus de 10 ans après la mise en place du régime de l’hébergeur de données, qui profite de ce régime ? Est-il adapté aux acteurs du web qui en bénéficient ?

      I. Le régime favorable de l’hébergeur

A. Le régime de responsabilité conditionnée de l’hébergeur

L’article 14.1, la directive européenne « Commerce Électronique » dispose que l’hébergeur n’est pas responsable des informations stockées par un utilisateur si :
- L’hébergeur n’a pas de connaissance effective de l’activité ou de l’information en cause ;
-  Si l’hébergeur en a connaissance, il doit agir promptement afin de retirer les informations en cause ou rendre l’accès à celles-ci impossible ;Cependant, l’article 14.2 de la même directive ajoute que les clauses d’exonérations ne sont pas applicables si l’utilisateur du service a agi sous le contrôle de l’hébergeur.L’article 14.1 a été transposé en droit français en 2004 par l’article 6 I) 2) de la loi pour la Confiance en l’Economie Numérique (LCEN) qui dispose ainsi que « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public, par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toutes natures, fournis par des destinataires de ces services, ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elle n’avait pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère, ou si dès le moment où elles en ont eu cette connaissance elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »L’article 6 I) 7) de la LCEN a également repris le principe posé par la directive « Commerce Electronique » dans son article 15 selon lequel on ne peut pas soumettre l’hébergeur à une obligation générale de surveillance des informations qu’il transmet ou stocke, ni à une obligation générale de recherche des faits ou des circonstances révélant les activités illicites ; et ce en vertu du principe de la neutralité de l'Internet. Par ailleurs, l’article 6 I) 5) de la LCEN détaillé la procédure de notification permettant à l’hébergeur de prendre connaissance du contenu illicite qu’il héberge, et dispose que « La connaissance des faits litigieux est présumée acquise par les hébergeurs lorsqu’il leur est notifié les éléments suivants [...] ». Les juges considèrent, après quelques hésitations jurisprudentielles, que le respect de ladite procédure est impératif. Ainsi, dans un arrêt du 10 mai 2012, la Cour d’appel de Bordeaux a considéré qu’il ne pouvait avoir de retrait du contenu litigieux si le formalisme de la procédure de notification n’avait pas été respectée.L’application du régime de responsabilité conditionnée de l’hébergeur reste imprécise sur d'autres points essentiels, dans lesquels la jurisprudence joue un rôle important. Tout d’abord, elle est venue préciser la notion de « contenu manifestement illicite ». Dans une décision du Conseil constitutionnel n°2004-496 du 10 juin 2004, les Sages ont considéré que l’hébergeur ne pouvait être le « juge de l’illicite », devant se cantonner au rôle de « juge du manifestement illicite ». Selon la doctrine, le contenu « manifestement illicite » serait le contenu ne nécessitant aucun débat contradictoire pour révéler son caractère illicite. Dans une ordonnance en date du 4 avril 2013 « H&M c/ Google Inc. », le juge des référés du Tribunal de Grande Instance de Paris a considéré que l’hébergeur n’a pas à apprécier le caractère diffamatoire du contenu. Dans un arrêt du 15 avril 2008 « Jean-Yves LAFESSE c/ Dailymotion », le Tribunal de Grande Instance de Paris a retenu l’approche doctrinale. Il ressort de cet arrêt qu’il existe trois cas de contenu manifestement illicite : la pédopornographie, l’apologie des crimes contre l’humanité et l’incitation à la haine raciale.Cependant, la portée de cet arrêt reste difficile à mettre en œuvre. Ainsi, dans un arrêt de la Cour d’appel de Paris du 8 novembre 2006 « Comité de défense de la cause arménienne », les juges ont pu considérer que des contenus contestant l’existence du génocide arménien n’étaient pas manifestement illicites. Par ailleurs, dans un jugement en référé du Tribunal de Grande Instance de Paris en date du 12 juin 2012, on a pu considérer que « des propos exprimés en termes vulgaires, vifs et désagréables, liés à un article qui critiquait un film, ne présentaient pas un caractère manifestement illicite. » En outre, dans un arrêt de la Cour d’appel de Paris « Benneton c/ Google Inc. » en date du 12 décembre 2007, il a été jugé que les contenus a priori contrefaisants constituent des contenus manifestement illicites, l’hébergeur devant les retirer ou en empêcher l’accès.S’agissant de l’obligation d’agir promptement, le Tribunal de Grande Instance de Toulouse a jugé que pour être qualifiée de prompte, la cessation de la diffusion du contenu manifestement illicite devait intervenir le jour même de la notification ; à défaut de quoi la responsabilité de l’hébergeur serait engagée. Les juridictions parisiennes semblent moins exigeantes : dans un arrêt du 4 février 2011, la Cour d’appel de Paris se réfère à un délai de deux semaines au-delà duquel le retrait ne serait pas suffisamment prompt.
Concernant l’obligation d’empêcher la remise en ligne, il apparaît que les juges ont forgé une obligation particulière pour les prestataires de partage de vidéos (tels que Youtube ou Dailymotion), tendant à leur imposer de mettre en œuvre tous les moyens nécessaires pour empêcher une nouvelle diffusion d’un contenu manifestement illicite qui aurait été retiré une première fois suite à une notification (c’est un principe que les juges américains appellent le take down stay down).Ainsi, dans un jugement du Tribunal de Grande Instance « Zadig Production c/ Google Inc. » en date du 19 octobre 2007, et en dépit de sa qualité d’hébergeur, on a considéré que Google Inc. avaient engagé leur responsabilité en n’ayant pas rendu impossible la remise en ligne de contenu litigieux. Allant au bout de la logique des juges de première instance, la Cour d’appel de Paris est allée jusqu’à considérer que la remise en ligne de fichiers, différents de ceux initialement retirés par la plateforme de vidéos en ligne, pouvait être sanctionnée dès lors que les nouveaux fichiers reproduisaient les films litigieux contenus dans les premiers.Or l’article 6 1) 5) de la LCEN dispose que la connaissance du contenu litigieux est présumée connue par l’hébergeur uniquement s’il lui a été notifié la localisation précise de ces contenus litigieux. Dès lors, l’hébergeur ne peut pas être présumé avoir acquis la connaissance de l’existence d’un nouveau contenu illicite, quand bien même il aurait retiré un contenu identique, sans que lui soit communiquée de nouveau la localisation exacte du nouveau contenu. Ainsi la jurisprudence de la Cour d’appel de Paris ne respecte pas l’article 6 I) 5) de la LCEN.Néanmoins, certaines décisions remettent en cause l’obligation de take down stay down, notamment un jugement du Tribunal de Grande Instance de Paris dans une affaire « Omar et Fred c/ Youtube », dans lequel les juges affirment que la LCEN n’exige pas un contrôle a priori des contenus.Mettant fin à la théorie du take down stay down, cette solution a été consacrée par la Cour de cassation dans un arrêt du 12 juillet 2012 « Aufeminin.com c/ Google », où elle juge qu’en se prononçant ainsi la Cour d’appel aboutissait à soumettre les hébergeurs à une obligation générale de surveillance des contenus stockés et à une obligation générale de recherche des mises en ligne contrefaisantes, et ainsi à leur prescrire la mise en place d’un dispositif de blocage sans limitation de temps. C’est une approche plus respectueuse de la directive et de la LCEN.

  B. Le régime de responsabilité non conditionnée de l’hébergeur

Les hébergeurs se voient également imposer un certain nombre d’obligations légales, similaires à celles des fournisseurs d’accès. Elles concernent les données de connexions permettant d’identifier l’auteur d’une infraction, ainsi que la lutte contre certaines infractions.
S’agissant des obligations relatives aux données d’identification, l’article 6 II) 2ème alinéa de la LCEN, reprenant l’ancien article 43-9 de la loi du 1er août 2000, dispose que les hébergeurs détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu des services dont l’hébergeur est prestataire. L’article ajoute qu’un décret en Conseil d’Etat doit venir définir ces données.Avant la promulgation du décret du 25 février 2011, certains juges ont considéré que cette obligation de conservation de données à la charge des hébergeurs ne pouvait être mise en œuvre. Cette solution a été confirmée par la Cour d’appel de Paris dans un arrêt du 7 janvier 2009 « Raphaël MEZRAHI c/ Youtube ».Un deuxième courant jurisprudentiel considérait quant à lui que l’obligation n’était pas contestable, mais que la communication des données figurant dans le journal de connexion de l’hébergeur et l’adresse IP de l’utilisateur étaient suffisants (cf. arrêt de la Cour d’appel de Paris du 6 mai 2009).Un dernier courant jurisprudentiel jugeait que non seulement l’obligation n’était pas contestable mais qu’en outre la seule communication de l’adresse IP n’était pas suffisante et que l’hébergeur était tenu de communiquer les nom, prénom et adresse de la personne à l’origine du contenu litigieux.A la suite de l’adoption du décret n°2011-219 du 25 février 2011, les hébergeurs ont été tenu de conserver obligatoirement pendant une durée d’un an à compter de la création du contenu les éléments suivants :

- L’identifiant de connexion à l’origine de la communication ;
- L’identifiant attribué au contenu objet de l’opération ;
- Les types de protocole utilisés pour la connexion au service et pour le transfert des contenus ;
- La date et l’heure de début et de fin de la connexion ;
-  L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fournie.

L’article 1.3 du décret énonce également les données qui doivent être conservées par les hébergeurs en cas de création de compte :« 3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :

- Au moment de la création du compte, l’identifiant de cette connexion ;
- Les nom et prénom ou la raison sociale ;
- Les adresses postales associées ;
- Les pseudonymes utilisés ;
- Les adresses de courrier électronique ou de compte associées ;
- Les numéros de téléphone ;
- Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour. »

Au-delà de la conservation des données, l’article 6 II) 3ème alinéa de la LCEN impose aux hébergeurs de communiquer les données d’identification à l’autorité judiciaire lorsque celle-ci lui en fait la demande. En outre un nouvel article L.331-23 3ème alinéa du Code de propriété intellectuelle prévoit que l’HADOPI peut obtenir tout document, y compris les données conservées par les hébergeurs aux fins de mener ses procédures. Ainsi, cela revient à instaurer une nouvelle obligation à la charge des hébergeurs, celle de communiquer les informations qu’ils détiennent à l’HADOPI.

Concernant les obligations relatives à la lutte contre les infractions s’imposant aux hébergeurs, elles sont identiques à celles s’imposant aux fournisseurs d’accès. Ainsi, les procédures spéciales telles que le « référé LCEN » et le « référé ARJEL » s’imposent également à l’hébergeur. Prévu par l’article 6 I) 8), le « référé LCEN » oblige l’hébergeur à bloquer l’accès à un contenu illicite. Le « référé ARJEL » ou « référé jeux en ligne », prévu par l’article 61 de la loi du 12 mai 2010 relative à « l’ouverture, la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne » et qui dispose que « L’ARJEL peut adresser une injonction de cession d’activité à tout opérateur qui ne serait pas agréé ». En cas d’inexécution le président de l’ARJEL peut saisir le président du Tribunal de Grande Instance de Paris en référé pour demander l’arrêt de l’accès à ce service.
On peut dire qu'après une période de flou, autour du régime de responsabilité des hébergeurs, la jurisprudence à ces dernières années, petit à petit, réussie à sécuriser le régime des hébergeurs, tout en équilibrant le degré de responsabilité, devenant ainsi beaucoup plus lourd avec une remise en ligne de contenu litigieux.

Qu'en est-il de la qualification même d'hébergeur ?

Cette notion a depuis une dizaine d'année pu regrouper des types de services assez variés.

II. La qualification d’hébergeur

Les juges retiennent deux critères principaux afin de déterminer si le prestataire en question peut bénéficier de la qualité d’hébergeur ou non.

Le premier critère est celui de l’analyse in concreto de l’activité exercée par la personne physique ou morale : l’activité doit consister en un stockage de données fournies par les utilisateurs du service, et destinées aux autres utilisateurs. Ce critère a été appliqué dans un arrêt de la 1ère Chambre civile de la Cour de cassation « Nord Ouest Production c/ Dailymotion » le 17 février 2011.

Le second critère consiste à analyser la passivité du prestataire de service : s’il a un rôle actif, il ne peut pas être qualifié d’hébergeur. C’est l’analyse qui a été donnée dans une décision n°C324/09 de la Cour de Justice de l’Union européenne « L’Oréal c/ EBay International » du 12 juillet 2011. En l’espèce la Cour a considéré qu’Ebay avait outrepassé le rôle passif de l’hébergeur en ayant une intervention active sur le plan de la présentation et de la promotion des annonces sur sa plateforme.
Le second critère semble être le plus utilisé par les juges ; on le retrouve dans de nombreuses affaires.

Ainsi dans un jugement du Tribunal de Grande Instance de Paris en date du 15 décembre 2011, les juges déclarent que le comparateur de produit du groupe EBay Shopping.com est un éditeur, qui ne peut donc pas bénéficier du régime favorable des hébergeurs. En effet, le tribunal considère qu’il a eu un rôle actif du fait de son contrôle sur les fiches-produits réalisées par les annonceurs, puisqu’il en a effectivement connaissance avant leur diffusion et peut ainsi opérer un contrôle préalable. En outre les juges s’appuient sur les conditions générales d’utilisation du service, qui donnent à Shopping.com un droit non exclusif d’accéder au site annonceur et de reproduire, modifier ou adapter son contenu pour le diffuser. Les juges déclarent alors que « Dès lors que la société Shopping opinions international se reconnaît le droit de sélectionner les informations fournies par les fichiers-produits des annonceurs, de les adapter et de les modifier, elle ne limite pas ses prestations à celles d’un hébergeur mais elle joue un rôle actif dans le choix des informations qu’elle porte à la connaissance des internautes. »

Dans un arrêt du 23 janvier 2012 la Cour d’appel de Paris avait considéré qu’EBay tenait un rôle actif et répondait donc à la qualification d’éditeur. En effet, pour les juges de seconde instance, EBay n’avait pas une position neutre. Elle avait ainsi conclu que« L’hébergement des annonces n’est que le support de l’activité principale d’EBay, à savoir l’intermédiation entre vendeurs et acheteurs pour laquelle elle a mis en place des outils destinés à promouvoir les ventes et à les orienter pour optimiser les chances qu’elles aboutissent à des transactions effectives sur le montant desquelles elle percevra une commission. »

Dans un jugement du 13 mars 2012, le Tribunal de Grande Instance de Paris considère qu’EBay est un hébergeur. Ce jugement s’oppose à l’arrêt de la Cour d’appel de Paris selon lequel EBay est un éditeur, et ne peut bénéficier du régime favorable des hébergeurs. Selon le Tribunal de Grande Instance, les outils et le fonctionnement d’EBay ne sont pas de nature à entraîner un « rôle actif de nature à lui conférer une connaissance ou un contrôle des données qu’elle stocke ».

En outre les juges considèrent que le fait qu’EBay retire des avantages économiques de la consultation des annonces n’exclut en rien la qualification d’hébergeur. En effet la LCEN n’interdit pas à l’hébergeur de tirer profit du service qu’il héberge, le fait de tirer profit n’entraînant pas nécessairement le contrôle du contenu des annonces mises en ligne sur le site.

Enfin, trois arrêts de la Cour de cassation du 3 mai 2012 concernant Louis Vuitton, Christian Dior Couture, et Parfums Christian Dior / LVMH qualifient le rôle actif d’EBay en retenant les arguments de la Cour d’appel de Paris dans son jugement du 3 septembre 2010 : EBay met à la disposition des vendeurs des moyens d’optimisation des transactions, envoie spontanément des messages aux acheteurs les incitant à acquérir ou les invitant à se reporter sur d’autres offres. Les juges considèrent donc que le rôle d’EBay est « de nature à lui conférer la connaissance ou le contrôle des offres de vente [...] qu’il offre. ». Ainsi, pour la Cour, « les sociétés EBay n’avaient pas exercé une simple activité d’hébergement mais qu’elles avaient, indépendamment de toute option choisie par les vendeurs, joué un rôle actif de nature à leur conférer la connaissance ou le contrôle des données qu’elles stockaient et à les priver du régime exonératoire de responsabilité prévu par l’article 6.1.2 de la loi du 21 juin 2004 et l’article 14 § 1 de la directive 2000/31. »
Si la bataille juridique autour du cas eBay a permis d'affiner les critères d'exclusion du statut d'hébergeur, il y a ce jour encore. Assez peu de jurisprudence sur d'autres types de services en ligne qui ne recueilleraient pas la qualification d'hébergeur. On peu dire que la jurisprudence à sur ce point toujours été conciliante avec les plateformes de partage de contenu, malgré une éditorialisation des contenus postés, sur certaines d'entre elles.

Il n'est toutefois pas inutile de faire appel à des spécialistes du droit de l'Internet, pour éviter des développements qui seraient susceptibles d'entrer dans un régime de responsabilité plus lourd que celui de l'hébergeur de données.

----------------
Chronique rédigée par Sébastien Lachaussée, Avocat et Pauline Garrone, stagiaire