La responsabilité de l’hébergeur

Quid de la responsabilité de l’hébergeur quant aux données ou publications illicites ou protégées diffusées par ses clients ? Entre contrôle a priori, obligation de retrait immédiat ou de limitation d’accès dès la notification valable d’une infraction, qu’en est-il des clauses exonératoires de responsabilité au sein des conditions générales d’utilisation ?

 

Au sein de mon cabinet, les consultations en droit de l’internet sont fréquentes, et la question m’est régulièrement posée sur la problématique de la responsabilité de l’hébergeur.

 

Enseignant en faculté de droit, également en Institut de nouvelles technologies en droit de l’internet et intervenant fréquemment, lors de la création de sites internet ou bien encore d’applications diverses et variées, dans la rédaction de conditions générales d’utilisation et de conditions générales de vente spécifiques à chaque site internet, plate forme, ou bien, encore d’applications BtoB, de différents sites internet, la question se pose régulièrement de déterminer avec exactitude la responsabilité de l’hébergeur.

 

Cette question demeure entière,

 

Cette problématique se pose pour tous les intermédiaires techniques,

 

Il convient dans un premier temps de distinguer les différents intermédiaires techniques,

 

Ces derniers peuvent être les opérateurs de télécommunication, mais aussi les fournisseurs d’accès à internet, ainsi que ceux qui vont, par la suite, procéder à l’hébergement de profils ou de données, autrement appelé l’hébergeur.

 

Il convient de rappeler que la responsabilité de différents acteurs de l’internet avait été initialement fixée par une directive de la Communauté européenne n°2000/31CE du Parlement Européen et de son conseil suivant décision du 12 juin 2000 qui venait aborder les aspects juridiques des services de la société d’information et notamment du commerce électronique.

 

En France, la transposition de cette directive a été effectuée par une loi dite loi pour la confiance dans l’économie numérique, LCEN, loi n°2004-575 en date du 21 juin 2004.

 

L’hébergeur, ce distingue du fournisseur d’accès, en ce qu’il a vocation à fournir une prestation durable d’hébergement,

 

Cette définition est confirmée par la jurisprudence, et notamment un arrêt du 22 janvier 2008 de la Cour d’Appel d’Aix-en-Provence, tout comme par la doctrine, tel que le présentent d’ailleurs les écrivains FAUCHOUX DEPREZ et BRUGUIERE dans leur ouvrage de « droit de l’internet », édition lexis-nexis,

 

Ces derniers considèrent, à juste titre, que l’hébergeur effectue une prestation durable de stockage d’informations, que la domiciliation sur son serveur rend disponible et accessible à ses clients.

 

Ainsi, l’hébergeur est assujetti, comme l’ensemble des intervenants informatiques, à une obligation générale de la prudence et de diligence afin de ne pas exposer justement sa responsabilité pénale et civile.

 

Avant d’aborder les conditions de sa responsabilité, il convient de revenir et de définir la qualité que peut avoir l’hébergeur sur le terrain juridique.

 

Ainsi, ladite loi pour la confiance dans l’économie numérique en date du 21 juin 2004 loi n°2004-575 dite LCEN (pour des soucis de simplicité), défini, en son article 6-1-2 l’hébergeur comme :

 

« toutes personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

 

A bien y comprendre, celui qui est véritablement en première ligne, comme évidemment responsable de la mauvaise utilisation de données qui sont hébergées par le client, demeure immanquablement le client lui-même,

 

Celui-ci, effectivement, se doit avant toute chose de procéder aux vérifications d’usage sur les droits d’auteur ou les droits d’exploitations liés à telle ou telle vidéo, photo, post , publication ou communication qu’il rajoutera sur son profil.

 

Cependant, il n’en demeure pas moins que l’hébergeur, peut, en deuxième temps, engager lui même sa responsabilité,

 

En effet, c’est bel et bien a posteriori que la responsabilité de l’hébergeur s’engage,

 

Si l’hébergeur se retrouve appelé en cause dans le cas d’une procédure qui viendrait à aborder la problématique d’hébergement de données interdites ou protégées, à ce moment là, et seulement à ce moment là, l’hébergeur aurait vocation à être assujetti à une obligation de retrait immédiat et ce, nonobstant la responsabilité directe et initiale de son client.

 

Ceci d’autant plus que la législation en la matière n’a cessé d’imposer de nouvelles obligations, limitations et interdictions, encadrant encore plus la responsabilité de l’hébergeur,

 

A ce titre, il convient de viser deux Décrets du 24 mars 2006 et 25 février 2011 qui viennent, quant à eux, réglementer les obligations que peut avoir l’hébergeur dans le domaine de la conservation des données de nature à permettre l’identification de tout fournisseur de contenus.

 

Il est bien évident que la législation a évolué en matière de répression d’infraction d’activités illicites.

 

Il convient encore de viser la loi n°2010 du 12 mai 2010 relative à l’ouverture à la concurrence et la régularisation des secteurs des jeux d’argent et de hasard en ligne qui impose aux hébergeurs de collaborer à la poursuite des sites illicites opérant sans l’agreement délivré par l’Autorité de régulation à savoir l’ARJEL en pareille matière.

 

Sur le terrain pénal, l’article 6-1-3 alinéa 1er de la LECN précise la responsabilité de l’hébergeur en indiquant que l’hébergeur ne peut voir sa responsabilité pénale engagée à raison des informations stockées à la demande d’un destinataire de ses services à la double condition qu’il n’avait pas a priori connaissance d’activités et d’informations illicites, et que dès le moment où ils en ont eu connaissance ils ont réagi « promptement ».

 

Ceci étant dit, il convient de concentrer notre réflexion sur la responsabilité de l’hébergeur sur un terrain purement civil quant aux publications de ses clients,

 

A ce titre, il convient de s’intéresser à l’article 6-1-2 alinéa 1er de la Loi LCEN, qui détermine clairement la responsabilité de l’hébergeur sur le plan civil,

 

En effet, ce texte rappelle que l’hébergeur peut voir sa responsabilité civile engagée du fait des activités et informations stockées à la demande d’un destinataire de ces services,

 

La responsabilité de l’hébergeur ne peut être engagée a priori car il est fort à parier que, par nature, ledit l’hébergeur n’avaient pas effectivement connaissance du caractère répréhensible des publications de son client,

 

Par contre, la responsabilité de l’hébergeur peut être engagée a postériori, à la seule et unique condition que dès le moment où l’hébergeur a connaissance d’une problématique sur une publication, celui-ci n’a pas agi promptement pour retirer ces informations ou en rendre l’accès impossible.

 

Ainsi, l’article 6-1-7 de la LECN dispense l’hébergeur de toute obligation générale de surveillance préalable des informations qu’ils transmettent ou stockent,

 

Pour autant, la responsabilité de l’hébergeur est clairement consacrée sur son attitude « a postériori ».

 

A ce titre, il n’est pas rare de constater que l’hébergeur s’interroge sur son éventuelle responsabilité tant sur les publications illicites émises par les clients qu’il héberge, mais également concernant les publications faites par ses mêmes clients de données protégées en termes de droit d’auteur ou droit ce communication.

 

En effet, qu’en est il, par exemple, de la reprise de titres musicaux enregistrés auprès de la SACEM ou bien encore de slogans publicitaires ou encore des vidéos qui font l’objet de protections juridiques intellectuelle diverses et variées.

 

Là encore la réaction prompte de l’hébergeur est fondamentale,

 

Pour ma part, je ne peux que conseiller une réaction sans délai, c’est à dire immédiate, afin de procéder au retrait ou une inaccessibilité des données litigieuses.

 

Par voie de conséquence, il convient en tout premier lieu, au seul stade des conditions générales de vente et des conditions générales d’utilisation de faire état d’une clause d’exonération de responsabilité, conforme à l’esprit des articles 6-1-2 alinéa 1er et 6-1-7 de la Loi LCEN, pour limiter fortement et exonérer la responsabilité de l’hébergeur,

 

Il n’en demeure pas moins qu’il appartient à l’hébergeur, et nonobstant toute clause limitative ou exonératoire de responsabilité, de faire diligence sans délai, pour retirer les informations litigieuses ou pour rendre leur accès impossible.

 

La question qui se pose par suite de cette obligation de réagir promptement, est de savoir quel est le point de départ de cette obligation de promptitude de l’hébergeur,

 

Se pose en en effet la question de la notification,

 

Là encore, la LCEN règlemente ce point de départ et précise les conditions et modalités de notification,

 

L’hébergeur doit recevoir copie de la même notification qui aura été faite au client lui-même dans laquelle le client lui-même se retrouve assujetti à une obligation de retrait ou de limitation des données litigieuses.

 

Car ce n’est qu’à la condition que la notification soit faite selon les règles, que la responsabilité de l’hébergeur puisse être engagée si ce dernier ne procède pas, avec promptitude obligation de retrait ou de modification des données litigieuses.

 

En effet, les faits litigieux doivent être notifiés à l’hébergeur, et ce n’est qu’à partir de ce moment que la responsabilité de l’hébergeur peut être engagée,

 

La jurisprudence est venue apporter des précisions concernant les conditions de notification de faits litigieux,

 

Elle rappelle notamment que si la notification de faits litigieux peut créer une présomption de connaissance des faits litigieux par l’hébergeur, et permet donc d’engager sa responsabilité, la notification qui doit être faite pour justement caractériser cette présomption de connaissance doit être effectuée suivant les formes tel que le préconise la loi LCEN.

 

Ainsi, la notification doit impérativement comporter : la date de celle-ci, l’identification du notifiant, à savoir: nom, prénom, profession, domicile, nationalité, date et lieu de naissance, forme de la personne morale, dénomination de la personne morale, siège social et organe qui la représente, la description des faits litigieux et surtout les raisons pour lesquelles le contenu en litige devrait être retiré en rappelant, et enfin, les dispositions légales et règlementaires caractérisant pouvant être attachés aux faits litigieux en question.

 

A défaut, il ne saurait être reproché à l’hébergeur d’avoir manqué à son obligation de retirer promptement des contenus illicites dans la mesure où la notification n‘aurait pas été faite dans les formes prévues par la loi.

 

Les dispositions de la Loi LECN viennent bien strictement encadrer la responsabilité de l’hébergeur et le protège d’une éventuelle responsabilité, à la seule et unique condition que celui-ci agisse promptement pour retirer des données ou en rendre l’accès impossible.

 

Cette notion de promptitude mérite réflexion et quelques jurisprudences sont venues étayer l’interprétation qui peut être faite de cette notion de promptitude,

 

Certaines jurisprudences sont venues aborder cette problématique de délai et certains arrêts vont jusqu’à sanctionner le retrait de vidéos ou d’informations litigieuses qui n’aurait été effectuées par l’hébergeur que quelques jours après, considérant ce délai comme étant trop tardif.

 

La rapidité est de mise en pareille matière et malheureusement celle-ci est assujettie à l’appréciation souveraine du Juge du fond de telle sorte qu’il est impératif pour l’hébergeur de réagir sans délai afin de justement caractériser cette fameuse promptitude d’agissement ou de réaction.

 

Dès lors, à mon sens, le retrait doit se faire dans les 12 à 24 heures au plus tard sans quoi, effectivement, l’hébergeur peut engager sa responsabilité.

 

Un dernier point mérite également précision,

 

Car retirer des données litigieuses ou en rendre l’accès impossible est une chose,

 

Faire en sorte qu’elle ne soient pas remise en ligne par la suite, en est une autre,

 

Pour autant, la jurisprudence précise que le retrait d’une donnée litigieuse peut emporter également l’obligation pour l’hébergeur de ne pas permettre la remise en ligne d’un contenu signalé une première fois comme étant illicite.

 

Par voie de conséquence, pèserait également sur les « épaules » de l’hébergeur une obligation de surveillance du profil litigieux afin de s’assurer que ce dernier n’ait pas vocation à remettre la publication illicite en ligne.

 

Pour autant, la jurisprudence distingue bien entre le fait de retirer une donnée litigieuse et s’assurer qu’elle ne soit pas remise en ligne,

 

Ainsi, par arrêt en date du 12 juillet 2012, la Cour de Cassation considère que l’obligation qui pèse sur l’hébergeur d’empêcher la remise en ligne d’un contenu signalé une première fois comme étant illicite ou attentatoire à des droits préservés ou protégés, dépasse le champ des diligences fixées par la loi LCEM,

 

De telle sorte que l’hébergeur n’engagerait pas nécessairement sa responsabilité.

 

Ainsi, la responsabilité de l’hébergeur, qu’elle soit civile ou pénale, se précise clairement,

 

A priori, l’hébergeur n’est pas assujetti à une obligation de contrôle a priori avant chaque publicité,

 

Par contre il expose sa responsabilité a postériori, en cas de notification de faits illicites ou d’atteinte à un droit préservé ou protégé,

 

Dans pareil cas, l’hébergeur doit réagir avec la plus grande promptitude, c’est à dire pour ma part, sans délai, soit encore dans les 6 à 12h de la réception de la notification,

 

A condition encore que la notification soit régulière et que les griefs reprochés à la publication en litige soient sérieux et vérifiables,

 

En tout état de cause, rien n’empêche la rédaction d’une clause en ce sens aux fins d’exonération ou de limitation de responsabilité,

 

Bien au contraire, un aménagement contractuel au sein des conditions générales de vente et d’utilisation permet de mieux rappeler le cadre spécifique de responsabilité de l’hébergeur,

 

Ladite clause exonératoire ou limitative de responsabilité permet de mieux rappeler au client et utilisateur ses propres obligations, tout en précisant que l’hébergeur ne saurait être exposé qu’à une responsabilité a postériori, pour laquelle il conserverait le droit de se retourner contre son client qui aurait, effectivement, procédé à la mise en ligne de faits illicites ou protégés.

 

 

Article rédigé par Maître Laurent LATAPIE,

Avocat, Docteur en Droit,

www.laurent-latapie-avocat.fr