Chaque
semaine, gros plan sur la loi et l'Internet
Hébergeurs
:
quatre pistes de réflexion
- Mardi 30 juillet 2002 -
Le
cadre juridique du métier d'hébergeur se construit sur les
plans législatif et judiciaire : des textes récents soumettent
ce dernier à des obligations spécifiques de conservation des
données de connexion et rappellent que le prestataire reste
aussi tenu par le droit des contrats, ce qui doit amener chacun
à prendre le plus grand soin à la rédaction du contrat d'hébergement.
1)
La conservation des données de connexion
Dans un premier temps, c'est le législateur qui s'est penché
sur les contours de ce nouveau métier. Déjà le projet de loi
sur la société de l'information (LSI) prévoyait d'imposer
aux prestataires sur Internet de conserver toutes les données
permettant de tracer la navigation des internautes sur le
réseau pour les transmettre au juge dans le cadre des procédures
judiciaires.
En novembre
2001, la mesure a été récupérée dans la loi sur la sécurité
quotidienne (LSQ) pour faciliter les enquêtes liées aux actes
de terrorisme. A ce jour, on attend encore la parution du
décret d'application de la LSQ, qui doit définir le type de
données à conserver et leur durée de conservation, tandis
que l'article sur la conservation des données a été dénoncé
devant la Commission européenne, qui a déclaré recevable la
plainte déposée contre la France pour violation du droit communautaire.
Début
2002, allant au-delà de la lutte contre le terrorisme, la
loi de finances rectificative pour 2001(LFR) a aussi autorisé
les agents fiscaux, douaniers et enquêteurs de la Commission
des opérations de Bourse à obtenir communication de ces données
de connexion et le Conseil constitutionnel a validé le texte
n'y voyant aucune atteinte à "la protection des libertés publiques."
.
2)
L'aménagement d'un accès à distance à ces données
En juillet 2002, le projet de loi d'orientation et de
programmation de la sécurité intérieure (LOPSI), présenté
le 10 juillet par le ministre de la Sécurité intérieure et
des libertés locales et adopté le 17 juillet 2002 en première
lecture par l'Assemblée nationale, étend aussi le dispositif
mis en place par la LSQ. Il prévoit, en effet, de permettre
aux autorités judiciaires un accès direct et une consultation
à distance des données de connexion conservées par les opérateurs
de télécommunication. Une mesure qui vise à réduire "les délais
de transmission par les opérateurs des réquisitions des autorités
judiciaires" afin de renforcer encore "l'efficacité des investigations
policières".
Une telle
mesure implique que les opérateurs devraient, au-delà de la
conservation des données, aller jusqu'à aménager un accès
direct et en ligne aux données ainsi stockées pour ces autorités
judiciaires. On peut penser que ce texte va soulever les mêmes
controverses que celles connues lors du vote de la LSQ, notamment
sur le type de données à conserver et le délai de conservation,
mais aussi sur le mode d'accès aux données et la sécurité
apportée aux données alors accessibles à distance.
.3)
Le respect des droits et obligations prévus au contrat
Plus récemment, le juge a aussi eu l'occasion de contribuer
à la construction du cadre juridique du métier d'hébergeur
puisqu'il l'a contraint, dans le cadre d'une récente décision,
à prendre toutes mesures de sécurité nécessaires à la sauvegarde
des données sous peine de devoir récupérer les données perdues.
Pour la première fois, le juge des référés a condamné un hébergeur
à "rechercher dans les fichiers de sauvegarde du serveur de
août, septembre et octobre 2001 les fichiers et les logs correspondant
aux sites de Sergus ainsi que les coordonnées de la base de
données SQL des sites "Sergus.com", "gratologo.com" et "contenuweb.net"
et les restituer à cette dernière", sous astreinte de 750
euros par jour de retard.
Au-delà
de son obligation de conseil, d'information et de renseignement,
cette décision rappelle que l'hébergeur reste soumis au droit
général des contrats. Ainsi, si le contrat d'hébergement n'oblige
pas expressément l'hébergé à installer des solutions de sécurité
et de sauvegarde (back-up), ce dernier ne sera pas tenu de
le faire. De la même façon, si des fichiers sont perdus, ce
sera à l'hébergeur, qui a l'obligation de les conserver, de
les retrouver et de les restituer, à moins qu'il puisse invoquer
un cas de force majeure pour se dégager, c'est-à-dire un élément
à la fois imprévisible, irrésistible et extérieur aux parties.
Dans ce
sens, bien que dans un tout autre domaine, la Cour de cassation
a estimé, en février 2002 qu'un agriculteur n'était pas responsable
de la perte de récolte provoquée par une panne de courant.
EDF prétendait que l'agriculteur aurait dû prendre des mesures
de sécurité. La Cour ne l'a pas suivi et a relevé que le contrat
n'imposait pas cette obligation à l'agriculteur. A défaut
de stipulation contractuelle expresse, l'usager n'est donc
pas tenu de prendre des mesures de sécurité spécifiques. Quel
que soit le domaine, c'est bien le contrat qui va désigner
celui qui doit prendre en charge la prestation de back-up
et déterminer son coût.
4)
La nécessaire révision des contrats d'hébergement
Cette décision de justice doit amener les hébergeurs à
réviser leurs documents contractuels en vue de compléter les
dispositions relatives à la sécurité des données. A défaut,
ils risquent d'être condamnés à aller rechercher eux-mêmes
et à leur frais les données perdues. Et ils n'auront aucune
possibilité de pouvoir s'exonérer de cette responsabilité.
En s'inspirant
des contrats informatiques, le contrat d'hébergement pourra
ainsi :
- organiser une clause de gestion de sécurité ou de soutien,
dénommée back-up, qui se déclenche en cas de sinistre. Par
exemple en cas de perte de fichiers ;
- limiter le montant des dommages dus, en le faisant par exemple
correspondre au coût de l'abonnement annuel.
[haas@wanadoo.fr]
A
lire également :
Au
sommaire de l'actualité
|