Trois ans et demi après que le législateur ait imposé aux prestataires techniques de l'internet, comprenez fournisseurs d'accès et fournisseurs d'hébergement, l'obligation de conserver ce que l'on désigne communément sous le vocable de "données de connexion", la détermination de ces dernières ainsi que la durée pendant laquelle elles doivent être conservées restent en suspens. En attendant que le décret prévu par les textes voit enfin le jour, le juge est donc contraint de jouer les funambules entre protection de la vie privée des internautes et lutte contre la cybercriminalité. La présente espèce n'en est qu'une nouvelle illustration, dans la ligne directe de l'affaire OVH jugé par le même tribunal quelques mois plus tôt.
On rappellera que l'obligation en question figure à l'article 43-9 de la loi du 30 septembre 1986 relative à la liberté de communication, instauré par une loi du 1er août 2000. D'après le 1er alinéa de cet article, les prestataires techniques sont tenus de "détenir et de conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont [ils] sont prestataires". Son 4ème alinéa précise qu'"un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation". Comme nous l'évoquions, point de décret et une obligation de conservation à laquelle le juge tente tant bien que mal d'attribuer quelques contours lorsqu'il lui est demandé de requérir du prestataire technique communication de ces fameuses données, communication qu'il est le seul au demeurant à pouvoir exiger, ainsi qu'il ressort du 3ème alinéa de l'article 43-9. Si l'on a pu s'émouvoir dans l'affaire OVH de ce que le prestataire dusse assumer (pour des raisons d'équité !) "la contrepartie d'une responsabilité limitée", correspondant à l'obligation (légale !) de s'adresser au juge pour obtenir communication d'une quelconque donnée identifiante, en prenant à charge ses frais irrépétibles, le prestataire qui souhaiterait éviter une telle charge en passant outre une décision judiciaire serait bien mal inspiré. On rappellera ici les dispositions des articles 226-17, 226-21 et 226-22 du Code pénal auxquelles renvoie l'article 43-9, et qui répriment essentiellement, sur le terrain pénal, la communication d'informations nominatives à des tiers non autorisés et leur détournement de finalité.
Dans le premier volet de cette affaire, la société Metrobus, régie publicitaire de la RATP, avait agi en référé à l'encontre de l'hébergeur Ouvaton pour obtenir communication des données lui permettant d'identifier le créateur d'un site hébergé chez ce dernier ayant appelé à la dégradation des affiches publicitaires situées dans le réseau métropolitain parisien. Conformément aux dispositions susvisées de l'article 43-9, le juge enjoignit à l'hébergeur de communiquer au demandeur des données strictement nécessaires à l'identification de l'éditeur du site et de toute personne ayant contribué à la création de son contenu. On se souviendra que dans l'affaire OVH le juge avait estimé qu'il résultait du défaut de décret "une sérieuse contestation quant à la portée de l'obligation invoquée par le demandeur". Formulation curieuse dont on a pu se demander si elle ne remettait pas en cause l'obligation de l'hébergeur de détenir et de conserver des données de connexion. Pirouette du juge qui, pour éviter le déni de justice, imposa la communication de toutes données permettant une identification à titre de mesure d'instruction préalable. Dans son ordonnance du 1er décembre 2003, le juge a non seulement quitté le champ de la "sérieuse contestation", mais il a également ouvert la voie à une délimitation du contour des données entrant dans le cadre de l'obligation de communication et de conservation de l'hébergeur. A ce stade, la question de la portée de l'obligation pesant sur celui-ci restait donc entière. Quid en effet si les données communiquées ne permettent pas l'identification, que l'hébergeur n'ait pas conservé les données nécessaires ou que ses données soient erronées.
Le second volet de l'affaire Ouvaton est venu compléter ce point. Peu enclin à multiplier les démarches, Metrobus, qui n'est pas parvenue à identifier les responsables du site à l'aide des éléments communiquées par Ouvaton suite à la première ordonnance, a ramené l'hébergeur devant le TGI de Paris en arguant de l'insuffisance de ces éléments pour procéder à l'identification. L'hébergeur invoquait pour sa défense le fait qu'il avait communiqué l'ensemble des éléments à sa disposition (noms, adresses IP, adresses mail et certains éléments relatifs à la transaction électronique). Dans sa seconde ordonnance, en date du 2 février 2004, le juge estime que "les divers renseignements communiqués, et notamment les adresses IP des ordinateurs à partir desquels la connexion pour l'ouverture de compte du site litigieux a été réalisée auprès du prestataire d'hébergement, doivent être considérés comme satisfaisant à l'injonction et de nature à permettre à la requérante d'obtenir les éléments d'identification des éditeurs du site". Peu importe le résultat de l'identification donc. En outre on relèvera que le juge n'a pas tenu rigueur à Ouvaton de ne pas avoir vérifié l'exactitude des éléments recueillis auprès de ses adhérents, ce dont, n'en doutons pas, la communauté des hébergeurs lui est gré. Il nous semble cependant qu'il soit possible de s'interroger sur cette solution au regard de la finalité du texte (l'article 43-9 n'impose à l'hébergeur aucune obligation de vérification). Quel pourrait être l'intérêt en effet d'une obligation légale de communication et de conservation de données erronées ?
Quoi qu'il en soit, il est acquis qu'il faudra s'armer de patience pour voir le décret adopté puisque le projet de loi pour la confiance dans l'économie numérique, dont les sénateurs devraient entamer la seconde lecture le mois prochain dans les conditions consensuels que l'on sait, prévoit de modifier l'actuel article 43-9 en laissant le soin au pouvoir réglementaire de venir préciser quelle est la nature des données devant être conservés ainsi que les modalités... De la patience il en faudra d'autant plus que le projet se dirige vers une autonomisation du droit de l'internet dont les conséquences n'ont, à notre connaissance, pas encore été sérieusement envisagées à ce jour.
Yann Tesar
Juriste NTIC
DESS Droit du multimédia et de l'informatique, Paris 2
y.tesar @ laposte.net
Le texte de l'article 43-9 de la loi du 30 septembre relative à la liberté de communication parle de "données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elles [les prestataires techniques] sont prestataires".
TGI Paris, réf., 26 mai 2003 : Lionel Thoumyre, "Affaire OVH : ''contestation sérieuse'' sur l'obligation faite au hébergeurs de détenir les données de connexion", Juriscom.net, 5 juin 2003 : http://www.juriscom.net/actu/visu.php?ID=233.
Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, JO 1er octobre 1986, p. 11755.
Loi n° 2000-719 du 1er août 2000, JO 2 août 2000, p. 11903.
TGI Paris, réf., 1er décembre 2003 : http://www.juriscom.net/jpt/visu.php?ID=387 ; Philippe Amblard, "La turpitude des sites hébergés à la charge de leurs hébergeurs : R@s acquitté, Ouvaton sanctionné", Juriscom.net, 4 décembre 2003 : http://www.juriscom.net/actu/visu.php?ID=395.
Cf. Lionel Thoumyre, op. cit. n. 2