Juriscom.net - droit des technologies de l'information

accueil

actualité

jurisprudence

articles

Rubrique : internautes / Branche : droit des obligations ; preuve ; responsabilité / Domaine : contenus et comportements illicites
Citation : Yann Tesar , Metrobus remis sur les rails.''Où va-t-on ?'', demande le juge , Juriscom.net, 04/02/2004

Metrobus remis sur les rails.''Où va-t-on ?'', demande le juge

Yann Tesar

édité sur le site Juriscom.net le 04/02/2004
cette page a été visitée 32103 fois

Trois ans et demi après que le législateur ait imposé aux prestataires techniques de l'internet, comprenez fournisseurs d'accès et fournisseurs d'hébergement, l'obligation de conserver ce que l'on désigne communément sous le vocable de "données de connexion"[1], la détermination de ces dernières ainsi que la durée pendant laquelle elles doivent être conservées restent en suspens. En attendant que le décret prévu par les textes voit enfin le jour, le juge est donc contraint de jouer les funambules entre protection de la vie privée des internautes et lutte contre la cybercriminalité. La présente espèce n'en est qu'une nouvelle illustration, dans la ligne directe de l'affaire OVH jugé par le même tribunal quelques mois plus tôt[2].

On rappellera que l'obligation en question figure à l'article 43-9 de la loi du 30 septembre 1986 relative à la liberté de communication[3], instauré par une loi du 1^er août 2000[4]. D'après le 1^er alinéa de cet article, les prestataires techniques sont tenus de "détenir et de conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont [ils] sont prestataires". Son 4^ème alinéa précise qu'"un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation". Comme nous l'évoquions, point de décret et une obligation de conservation à laquelle le juge tente tant bien que mal d'attribuer quelques contours lorsqu'il lui est demandé de requérir du prestataire technique communication de ces fameuses données, communication qu'il est le seul au demeurant à pouvoir exiger, ainsi qu'il ressort du 3^ème alinéa de l'article 43-9. Si l'on a pu s'émouvoir dans l'affaire OVH de ce que le prestataire dusse assumer (pour des raisons d'équité !) "la contrepartie d'une responsabilité limitée", correspondant à l'obligation (légale !) de s'adresser au juge pour obtenir communication d'une quelconque donnée identifiante, en prenant à charge ses frais irrépétibles, le prestataire qui souhaiterait éviter une telle charge en passant outre une décision judiciaire serait bien mal inspiré. On rappellera ici les dispositions des articles 226-17, 226-21 et 226-22 du Code pénal auxquelles renvoie l'article 43-9, et qui répriment essentiellement, sur le terrain pénal, la communication d'informations nominatives à des tiers non autorisés et leur détournement de finalité.

Dans le premier volet de cette affaire[5], la société Metrobus, régie publicitaire de la RATP, avait agi en référé à l'encontre de l'hébergeur Ouvaton pour obtenir communication des données lui permettant d'identifier le créateur d'un site hébergé chez ce dernier ayant appelé à la dégradation des affiches publicitaires situées dans le réseau métropolitain parisien. Conformément aux dispositions susvisées de l'article 43-9, le juge enjoignit à l'hébergeur de communiquer au demandeur des données strictement nécessaires[6] à l'identification de l'éditeur du site et de toute personne ayant contribué à la création de son contenu. On se souviendra que dans l'affaire OVH le juge avait estimé qu'il résultait du défaut de décret "une sérieuse contestation quant à la portée de l'obligation invoquée par le demandeur". Formulation curieuse dont on a pu se demander si elle ne remettait pas en cause l'obligation de l'hébergeur de détenir et de conserver des données de connexion[7]. Pirouette du juge qui, pour éviter le déni de justice[8], imposa la communication de toutes données permettant une identification à titre de mesure d'instruction préalable. Dans son ordonnance du 1^er décembre 2003, le juge a non seulement quitté le champ de la "sérieuse contestation", mais il a également ouvert la voie à une délimitation du contour des données entrant dans le cadre de l'obligation de communication et de conservation de l'hébergeur. A ce stade, la question de la portée de l'obligation pesant sur celui-ci restait donc entière. Quid en effet si les données communiquées ne permettent pas l'identification, que l'hébergeur n'ait pas conservé les données nécessaires ou que ses données soient erronées.

Le second volet de l'affaire Ouvaton est venu compléter ce point. Peu enclin à multiplier les démarches, Metrobus, qui n'est pas parvenue à identifier les responsables du site à l'aide des éléments communiquées par Ouvaton suite à la première ordonnance, a ramené l'hébergeur devant le TGI de Paris en arguant de l'insuffisance de ces éléments pour procéder à l'identification. L'hébergeur invoquait pour sa défense le fait qu'il avait communiqué l'ensemble des éléments à sa disposition (noms, adresses IP, adresses mail et certains éléments relatifs à la transaction électronique). Dans sa seconde ordonnance, en date du 2 février 2004, le juge estime que "les divers renseignements communiqués, et notamment les adresses IP des ordinateurs à partir desquels la connexion pour l'ouverture de compte du site litigieux a été réalisée auprès du prestataire d'hébergement, doivent être considérés comme satisfaisant à l'injonction et de nature à permettre à la requérante d'obtenir les éléments d'identification des éditeurs du site". Peu importe le résultat de l'identification donc. En outre on relèvera que le juge n'a pas tenu rigueur à Ouvaton de ne pas avoir vérifié l'exactitude des éléments recueillis auprès de ses adhérents, ce dont, n'en doutons pas, la communauté des hébergeurs lui est gré. Il nous semble cependant qu'il soit possible de s'interroger sur cette solution au regard de la finalité du texte (l'article 43-9 n'impose à l'hébergeur aucune obligation de vérification). Quel pourrait être l'intérêt en effet d'une obligation légale de communication et de conservation de données erronées ?[9]

Quoi qu'il en soit, il est acquis qu'il faudra s'armer de patience pour voir le décret adopté puisque le projet de loi pour la confiance dans l'économie numérique, dont les sénateurs devraient entamer la seconde lecture le mois prochain dans les conditions consensuels que l'on sait, prévoit de modifier l'actuel article 43-9 en laissant le soin au pouvoir réglementaire de venir préciser quelle est la nature des données devant être conservés ainsi que les modalités... De la patience il en faudra d'autant plus que le projet se dirige vers une autonomisation du droit de l'internet dont les conséquences n'ont, à notre connaissance, pas encore été sérieusement envisagées à ce jour.

Yann Tesar

Juriste NTIC

DESS Droit du multimédia et de l'informatique, Paris 2

y.tesar @ laposte.net

[1] Le texte de l'article 43-9 de la loi du 30 septembre relative à la liberté de communication parle de "données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elles [les prestataires techniques] sont prestataires".

La directive n° 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite directive "vie privée et communications électroniques"; JOCE 31 juillet 2002, n° L 201, p. 37) distingue entre "données de localisation" ("toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public"), qui ne peuvent être traitées qu'après avoir été rendues anonymes ou avec le consentement de la personne concernée (art. 9), et "données relatives au trafic" (Art. 2, b) : "toutes les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation"), les fameuses données de connexion. A noter que la directive laisse la possibilité aux Etats membres de déterminer librement aussi bien les données susceptibles d'être conservées que la durée de cette conservation.

[2] TGI Paris, réf., 26 mai 2003 : Lionel Thoumyre, "Affaire OVH : ''contestation sérieuse'' sur l'obligation faite au hébergeurs de détenir les données de connexion", Juriscom.net, 5 juin 2003 : http://www.juriscom.net/actu/visu.php?ID=233.

[3] Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, JO 1er octobre 1986, p. 11755.

[4] Loi n° 2000-719 du 1er août 2000, JO 2 août 2000, p. 11903.

[5] TGI Paris, réf., 1er décembre 2003 : http://www.juriscom.net/jpt/visu.php?ID=387 ; Philippe Amblard, "La turpitude des sites hébergés à la charge de leurs hébergeurs : R@s acquitté, Ouvaton sanctionné", Juriscom.net, 4 décembre 2003 : http://www.juriscom.net/actu/visu.php?ID=395.

[6] Cf. Forum des droits sur l’internet, Conservation des données relatives à une communication électronique, recommandation du 18 déc. 2001 : http://www.foruminternet.org/recommandations/lire.phtml?id=230. On rejoint le Forum des droits sur l'internet qui estime que le décret d'application devrait exclure "les données de communication pouvant être considérées comme des données indirectes de contenu ou de comportement", solution qui favorise évidemment la protection de la vie privée.

[7] Cf. Lionel Thoumyre, op. cit. n. 2

[8] Article 4 du Code civil : "Le juge qui refusera de juger, sous prétexte du silence, de l'obscurité ou de l'insuffisance de la loi, pourra être poursuivi comme coupable de déni de justice".

[9] L'art. 43-13 du projet de loi pour la confiance dans l'économie numérique tel qu'issu de sa 1^ère lecture par l'Assemblée nationale prévoyait une obligation de vérification des données conservées. Cette obligation a disparu après le passage du projet de loi en 1^ère lecture au Sénat et n'a pas été repris par les députés lors de la 2^ème lecture.

Liens :
Décision : TGI Paris, référé, 2 février 2004, Métrobus c/ Ouvaton

accueil :: actualité :: jurisprudence :: articles :: présentation :: newsletter ::
liens :: contact :: design

© juriscom.net 1997-2010
Directrice de la publication : Valérie-Laure Benabou
Rédacteurs en chef : Mélanie Clément-Fontaine et Ronan Hardouin
Fondateur : Lionel Thoumyre
design blookat studio