Mise à jour
Mise à jour de la base de données, veuillez patienter...
C'est un sujet récurrent, dans les questions législatives autour d'Internet, depuis l'amendement Fillon en 1996, et qui est actuellement le cœur du régime défini par l'article 6 de la LCEN, à savoir jusqu'à quel point, et dans quelles conditions, un hébergeur est responsable de ce que font les hébergés. Un point essentiel manque, et est apparu comme manquant lors des débats et des réflexions sur la neutralité des réseaux: la responsabilité de l'hébergeur de ses propres actes. Et bien entendu, dans le même contexte, la question de la responsabilité du fournisseur d'accès à Internet.
OVH a publié récemment les décisions prises en référé autour de la question de savoir si WikiLeaks est légal ou non en France. L'une de ces réponses, qui ne fait pas tellement avancer la question WikiLeaks, offre cependant un point très important à discuter. C'est une ordonnance de référé, manuscrite, donc probablement une décision très rapide, mais qui soulève de très intéressantes questions. L'ordonnance est disponible en ligne. Je partirai de cette ordonnance de référé pour mon exposé.
Erratum
On me souffle dans l'oreillette que j'ai manifestement mal lu la LCEN, en y voyant un manifestement
qui n'y est pas (ou n'y est plus). C'est un point très important du droit qui s'applique sur Internet, et qui change beaucoup l'équilibre des forces, mais perturbe à pein la présentation faite ici. Les rectifications ont été apportées dans le texte. Pour ceux d'entre vous qui ont déjà lu le billet, ce que ça change:
- un hébergeur peut être tenu pour responsable de tout contenu
manifestementillicite qu'on lui signale et qu'il laisse en ligne (c'est le point clef); - donc, quelle que soit l'infraction supposée, il a un avantage immédiat à retirer le contenu, puisque ce retrait abusif ne peut pas lui être reproché;
- en effet, ce n'est que le signalement abusif en vue du retrait qui peut être poursuivi.
La question habituelle
La question habituelle, en matière de responsabilité de l'hébergeur, est de savoir si l'hébergeur du serveur (quoi qu'on entende par le terme hébergeur) est responsable de ce qui est publié sur le serveur en question[1].
Qui est hébergeur ?
En effet, la longue chaîne des intermédiaires techniques est complexe. Prenons un cas un peu ramifié: un adhérent de FDN met à la disposition d'un de ses amis un site sur le serveur web de l'association. On a la chaîne suivante. D'abord l'ami, qui est l'auteur du site, juridiquement éditeur. Ensuite l'adhérent, qui a simplement mis à disposition un espace qu'il paye (qu'il le refacture ou pas n'a pas grande importance légalement). Ensuite FDN, qui possède et gère le serveur, et lui a attribué une de ses adresses IP. Ensuite, Gitoyen, l'opérateur réseau dont FDN est membre, qui loue la baie où se trouve le serveur en question, et gère le routage de l'infrastructure de raccordement. Enfin, Telehouse, propriétaire du bâtiment, qui fournit la baie, de l'électricité et de la climatisation à Gitoyen. Qui dans cette chaîne est l'hébergeur? Qui n'est qu'un prestataire technique, comme le marchand de boulons ou le marchand de disques durs? FDN serait sans doute hébergeur. L'adhérent le serait peut-être, ou considéré comme co-éditeur, fonction des circonstances. Gitoyen serait peut-être aussi considéré comme hébergeur. Telehouse ne le serait pas.
Les critères pris en compte par la loi sont nombreux et variés. Le fait par exemple qu'il existe une relation commerciale, tend à indiquer qu'il n'y a pas de lien direct entre l'hébergeur et l'hébergé. Dans le cas qui nous occupe, l'activité professionnelle habituelle de l'adhérent n'étant pas d'héberger des sites web sur sa page perso de l'association, il a de bonnes chances d'être considéré comme éditeur, ou co-éditeur. Par contre, la fourniture d'une prestation (facturée) d'hébergement à ses membres étant une activité habituelle de FDN, FDN peut dés lors être considéré comme hébergeur.
Qui est responsable ?
La question de droit est ancienne. Dans le fond, c'est celle de la responsabilité du postier. Le messager est-il coupable du message? Le postier est-il responsable du fait que le courrier que vous avez reçu soit en fait une escroquerie, ou un mensonge[2]? Le livreur qui vous apporte un paquet est-il responsable si le contenu du paquet est illégal, par exemple une contre-façon de sac à main, ou de la drogue, ou des armes? Sur le principe, sauf à démontrer une complicité quelque part, a priori, le transporteur n'est pas responsable.
Il a fallu lutter 8 ans pour faire entendre ça, doucement, au législateur. Huit ans entre l'amendement Fillon (1996) et la LCEN[3](2004). La position en droit est donc que la responsabilité de l'hébergeur est limitée. Les limites sont, pour faire simple:
uniquement pour les contenus manifestement illégaux[4], si c'est peut-être illégal, pas sur d'être illégal, probablement illégal, très probablement légal, alors, l'hébergeur ne peut pas en être tenu pour responsable;- il faut que le
manifestementillégal relève de certaines catégories de délits (représentation à caractère pornographique mettant en scène des mineurs, incitation à la haine raciale, etc)[5] - il faut que le contenu, et son caractère
manifestementillicite, aient été portés à sa connaissance. - il faut que l'éditeur ait été contacté et ait refusé de retirer le contenu, ou apporter la preuve de ce qu'il n'a pas pu être contacté.
Si les trois critères sont réunis, l'hébergeur est tenu de mettre le contenu hors-ligne rapidement. Dans tous les autres cas, il peut bien attendre la décision du juge.
La limite de l'exercice
La médaille a deux faces. D'un côté, le texte permet aux hébergeurs militants, comme FDN ou L'autre Net ou Toile-Libre, etc[6], d'héberger qui ils veulent, tant qu'on n'est pas dans le manifestement illégal, ce qui permet aux petites structures de survivre malgré la tentation de beaucoup de gens de faire des procès pour rien. Celui qui hébergeait jeboycotte-danone.com avait par exemple bien du mérite, Danone, c'est du lourd comme adversaire. C'est par exemple ça qui permet à FDN d'héberger le miroir de WikiLeaks sans trop d'inquiétude légale.
Mais, de l'autre côté, chez un hébergeur marchand normal, quand un quidam moyen vient signaler un contenu illégal, juste en cliquant sur un bouton, quel est le risque? Au pire, on retire, on perd un client parmi mille, et on s'en fiche. Alors que si on laisse, on prend le risque de se faire embêter. Leur but étant de gagner de l'argent, et pas de défendre la liberté d'expression de leurs clients, et encore moins la liberté d'accès à l'information de gens qui ne sont même pas clients chez eux, ils choisissent la pente la moins fatigante pour le faire. Et donc, on coupe pour un oui ou pour un non tout ce qui pourrait peut-être être susceptible d'éventuellement déranger quelqu'un.
La responsabilité pénale
C'est là que nous arrivons sur le sujet de la neutralité du réseau. Un opérateur, par exemple votre opérateur préféré[7], Orange, décide de filtrer un site sur son réseau. Mettons, au hasard de l'actualité, WikiLeaks.
Comprendre le problème
Que risque Orange? Étonnamment, à peu près rien. Il ne vous vend plus de l'accès Internet, puisqu'il manque un bout du réseau, mais il ne vous vend déjà pas de l'accès à Internet, puisqu'il filtre le port 25[8], puisqu'il filtre déjà presque-tout sur le mobile, et que pourtant tout ça, c'est vendu sous le nom Internet
[9]. Donc, tromperie sur la marchandise, ou publicité mensongère, ça ne tiendra pas face à un tribunal.
Orange est tenu de filtrer les sites dont le juge a dit qu'ils devaient être filtrés[10], mais il n'est pas tenu de transporter tous les autres. Donc, vous ne pourrez pas attaquer Orange. Changer de FAI, peut-être, mais pas attaquer Orange.
Est-ce que WikiLeaks pourrait attaquer? Il est probable que non. Le fait d'avoir privé quelqu'un de sa liberté d'expression en le censurant n'est pas un délit en France, sauf pour l'État, parce que la question ne s'était jamais posée. Si seulement WikiLeaks vendait quelque chose, ils pourraient arguer de la perte de chiffre d'affaire, et donc aller devant un tribunal de commerce. Si en plus Orange vendait lui aussi les mêmes produits que WikiLeaks, on pourrait parler d'entrave à la concurrence[11].
Atteinte à la neutralité me direz-vous. Oui, sauf qu'elle n'est pas définie dans la loi. Donc, si Orange a pris la précaution de filtrer le site, et non pas des mots clefs, alors selon la loi actuelle, tout va bien, puisque Orange doit être neutre vis-à-vis du message transporté, mais pas vis-à-vis de la source ou de la destination du message.
D'où ce que nous[12] avons eu l'occasion de décrire lors d'une audition à l'Assemblée: il est nécessaire que la responsabilité des intermédiaires techniques soit engagée. Le cas n'est pas restreint, pour nous, aux opérateurs de réseau ou aux fournisseurs d'accès à Internet. Il est plus vaste que ça. Il est du même ordre que l'obligation de respect de la pluralité des opinions par les chaînes de télévision, ou que les obligations déontologiques des avocats ou des médecins. Si c'est mon iBox, ou mon ChromeOrdi, qui filtre, c'est bien la même chose: un intermédiaire technique, quelqu'un qui se trouve situé entre moi et ma liberté, qui filtre à mon insu.
Addendum: suite à une (rapide) lecture des passages concernés du code pénal, on a retrouvé le court passage qui traite de la défense de la liberté d'expression. Ce sont les articles L.431-1 et L. 431-2 du code pénal. En gros, on parle du fait de faire taire quelqu'un par la menace (alinea 1) ou par la force (alinea 2). C'est ce qui empêche les opposants d'aller casser la gueule des politiques ou des syndicalistes en meeting (alinea 2), ou c'est ce qui empêche une municipalité de faire interdire les meetings du parti d'opposition (alinea 1). Pour que le délit soit caractérisé, il faut qu'il soit commis d'une manière concertée et à l'aide de menaces
ou d'une manière concertée et à l'aide de coups, violences, voies de fait, destructions ou dégradations
. Ces deux articles sont, par ailleurs, classés dans le chapitre Des atteintes à l'autorité de l'Etat.
. Ils sont à côté de ceux sur l'attroupement de factieux, les manifestations interdites, ou la reconstitution de ligues dissoutes. Très clairement, le fait pour un FAI de filtrer le contenu d'un site n'entre pas du tout dans ces définitions.
Le Paquet Télécom
Le Paquet Télécom[13] impose un tout petit garde-fou, en disant que l'opérateur peut bien filtrer ce qu'il a envie, du moment que le client est prévenu, et que ça ne nuit pas à la concurrence libre et non-faussée.
Donc, la Paquet Télécom nous indique que, quand toutes ces belles améliorations législatives seront entrées dans le droit français et seront appliquées, Orange pourra filtrer WikiLeaks tranquillement, du moment que les clients sont prévenus. Oui, c'est bien une avancée, là, maintenant, tout de suite, ils ne sont même pas obligés de prévenir...
Bien entendu, un jour, il faudra se poser la même question pour les moteurs de recherche, ou pour les équipements, ou même pour les logiciels. Mais là le problème est moins grand. Je ne peux pas changer de fournisseur d'accès en quelques minutes, et dans la majorité des endroits de la planète, on ne peut pas en changer du tout. Alors qu'on peut facilement passer d'un moteur de recherche à un autre, en un clic. Reste que des moteurs de recherche de grande envergure, il n'y en a que deux, tous les deux aux États-Unis, tous les deux à visées commerciales, donc avec toute l'éthique qu'on peut en attendre.
Le rapport avec la décision du tribunal de Lille ?
Voilà, simplement, retranscrit ce que j'ai réussi à lire de l'écriture du juge:
Il n'appartient pas au président du tribunal, saisi sur requête, hors toute instance liée entre des parties, de dire si la situation décrite est ou non constitutive d'un trouble manifestement illicite.
Jusque-là, tout va bien. Le juge fait remarquer que pour faire un procès, il faut être deux, et que puisqu'OVH n'attaque personne, le juge ne peut pas répondre.
Il appartient en revanche à la société requérante, si elle estime que sa responsabilité peut être engagée, d'elle même suspendre l'hébergement des sites WIKILEAKS, sans nécessite d'une autorisation judiciaire pour ce faire.
Donc, ce n'est pas moi qui fait une lecture paranoïaque de la loi, c'est le juge. Il dit et il confirme que les coupures et filtrages prévus par la loi comme étant des sanctions possibles, peuvent être appliquées, sans autorisation spéciale, par les prestataires techniques, s'ils estiment, y compris à tort donc, que leur responsabilité pourrait être engagée.
Conclusion
Mesdames[14] les députées, le cas d'école d'un filtrage pour opinion politique que je citais, à savoir le filtrage par un opérateur du site web de l'UMP, n'est donc pas juridiquement fictionnel. Il est juridiquement parfaitement fondé. Orange peut filtrer WikiLeaks, ou l'UMP[15], demain, sans être en rien inquiété, et sans la moindre once d'une décision de justice.
Persiste et signe: il faut que le FAI (et l'hébergeur, probablement) soient contraints par la loi de respecter la liberté d'expression et d'accès à l'information des citoyens. Il faut que chaque abonné d'un FAI puisse l'emmener devant les tribunaux pour avoir porté atteinte à sa liberté d'accès à l'information, et il faut que la peine encourue relève du pénal, engageant la responsabilité des dirigeants du FAI.
Notes
[1] Dans l'ensemble du papier, je mélange les références à l'hébergeur, dont le régime de responsabilité est assez facile à comprendre, et les références aux opérateurs et aux FAIs, dont les régimes applicables sont subtilement différents, mais pour amener aux mêmes obligations, une fois transposées d'une activité à l'autre.
[2] Voire un programme électoral, ajouteraient les plus pessimistes.
[3] Loi sur la Confiance en l'Économie Numérique, transposition d'une directive cadre européenne, dite directive e-commerce.
[4] Mea culpa, comme indiqué en préambule, ma mémorisation de l'article 6 était mauvaise, et cette différence est d'importance.
[5] À noter que pour tous les autres contenus, la procédure de signalement est sensiblement plus complexe, il faut des papiers, une explication juridique, etc. Mais un simple signalement suffit, et c'est alors à l'hébergeur de juger, puisque la saisine de la justice n'est en rien obligatoire.
[6] Forcément, je vais me faire gronder par tous les copains que je ne cite pas, et il y en a des tas.
[7] Les lecteurs du blog de FDN sont en majorité français, et donc en majorité abonnés chez Orange, même si les statistiques du site donnent un classement très légèrement différent du classement national.
[8] Le port qui permet d'héberger chez soi un serveur de messagerie, et qui est utilisé par tous les virus pour envoyer du spam massivement sur le réseau. Pour protéger le réseau des millions de Windows vérolés, Orange filtre le port 25, empêchant les clients qui le souhaitent d'héberger un serveur de messagerie. Et donc, le réseau qu'il vous vend est déjà amputé.
[9] Enfin non, publicitairement, maintenant, c'est vendu sous le nom Internet par Orange
, mais passons.
[10] C'est un autre bout de la LCEN, celui sur les FAI, mais c'est bien dedans.
[11] Le cas n'est pas imaginaire. Pensez au filtrage, par les trois opérateurs mobiles, du trafic de Skype sur leur réseau. C'est quoi si c'est pas de l'entrave à la concurrence?
[12] Je n'utilise pas le nous de majesté, nous étions trois lors de cette audition, moi en tant que président de FDN, et deux personnes de La Quadrature.
[13] Un ensemble de 5 directives européennes qui fixe le cadre à venir de la législation pour l'ensemble du secteur des télécoms.
[14] Les deux députés qui nous ont reçu en audition, et à qui j'ai exposé ce point, étaient des députées.
[15] On laissera en exercice le soin au lecteur de choisir le plus probable des deux.