Pour la première fois, la Cour d’appel de Paris vient d’apporter, dans un arrêt en date du 4 février 2005 (disponible depuis mars 2005 sur le site du FDI), une précision importante sur le statut et les obligations qui incombent aux entreprises fournissant un accès à l’internet à leurs propres membres.
A l’origine de cette affaire, un courriel annonçant la fermeture de la société World Press Online (WPO), envoyé depuis une adresse Yahoo et dont l’adresse IP renvoie à un poste installé dans les locaux de BNP Paribas.
Or, ce courriel est mensonger et entraîne des conséquences préjudiciables pour WPO, qui somme donc la banque de lui transmettre toute information de nature à permettre l’identification de l’expéditeur. Devant l’inertie de BNP Paribas, WPO se voit en conséquence contrainte de l’assigner en référé.
La Cour confirme pour partie l’ordonnance rendue en première instance et juge, sans ambiguïté, qu’une entreprise peut être considérée comme un prestataire technique, au sens de l’article 43-7 de la loi du 1er août 2000 repris dans la loi n° 2004-575 du 21 juin 2004 « pour la confiance dans l’économie numérique » (LCEN).
Partant, elle affirme que le rôle de fournisseur d’accès à l’internet peut être rempli par une personne qui, tout en n’offrant pas cet accès à titre commercial, fournit à ses collaborateurs un accès à l’internet dans le cadre de leur travail (voir, à ce sujet, Valérie Sédallian, La responsabilité de l’employeur en tant que fournisseur d’accès à internet, Légicom 2002/2 n° 27 p.47 ; Xavier Lemarteleur, "L’employeur : un fournisseur d’accès à l’internet comme les autres ?", Mémoire de DESS, Juriscom.net, septembre 2003).
Il faut en effet ici rappeler que la disposition en cause définit le FAI comme la personne physique ou morale dont l’activité est d’offrir un accès aux services de communication au public en ligne.
Cette qualification juridique entraîne des conséquences non négligeables pour les entreprises. Car, dit la Cour, un FAI est tenu, conformément à l’article 43-9 de la loi du 1er août 2000 (abrogé par l’article 5 de la LCEN, et remplacé par son article 6), de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont il est prestataire. En outre, il doit, sur réquisition des autorités judiciaires, communiquer ces données.
Mais cette exigence, transposée aux entreprises (dont le périmètre n’est pas encore clairement défini), leur impose de disposer de moyens suffisants pour conserver les données en cause. Ce qui ne va pas sans poser de difficultés à certaines d’entre elles, ce d’autant plus que la durée de conservation de ces données n’est pas encore déterminée.
En outre, il est loisible de se demander si, au-delà de leurs implications en termes de droit social, toutes les mesures applicables aux FAI commerciaux doivent l’être aux autres FAI.
Ainsi, qu’en est-il de l’obligation pesant sur le FAI de tenir informé ses abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposer au moins un de ces moyens ?
Faut-il par ailleurs considérer que l’entreprise n’a pas d’obligation générale de surveiller des informations qu’elle transmet ou stocke, alors pourtant qu’elle est responsable, au sens de l’article 1384 alinéa 5 du Code civil, des fautes commises par ses préposés pendant leur temps de travail ?
Autant de questions encore non résolues qui, au-delà de la lettre même des dispositions en cause, interpellent sur l’opportunité et les conditions pratiques de mise en œuvre d’une telle assimilation.
Iliana Boubekeur
Avocat aux barreaux de Paris et New-York
Cabinet Rojinsky