Arrêtons-nous un instant sur la question de la qualification d’hébergeur soulevée par l’arrêt de la CJUE du 23 mars 2010 concernant l’affaire Google c/ LVMH, Viaticum, Luteciel et a. qui vient d’être commenté par Me Vincent Pollard.
Cette question est bien entendue essentielle pour tous les acteurs du web 2.0. car, dès qu’un prestataire reçoit la qualification d’hébergeur, il relève du régime de responsabilité afférant définit à l’article 14 de la Directive 2000/31. Cet article n’envisage d’engager la responsabilité de celui qui pratique l’activité d’hébergement que dans l’hypothèse où : 1) il a effectivement connaissance de l’activité ou de l’information illicite et, en ce qui concerne une demande en dommages et intérêts, a connaissance de faits ou de circonstances selon lesquels l'activité ou l'information illicite, et 2) il n’agit pas promptement pour retirer les informations ou rendre l'accès à celles-ci impossible.
Ce régime assure ainsi une relative sécurité juridique à ces acteurs de l’économie numérique face aux velléités de leur imputer la responsabilité d’infractions, de fautes ou de négligences commises par les utilisateurs de leurs services.
Or, les différents termes employés par la cour suprême européenne nous permettent de tirer trois enseignements sur le régime de responsabilité des prestataires d’hébergement. Le premier est tout théorique, mais il a son importance sémantique : l’usage du qualificatif « irresponsabilité » pour définir le régime des hébergeurs nous semble être inapproprié (I). Le second enseignement est que le rôle passif du prestataire constitue dorénavant un critère essentiel de la qualification d’hébergeur (II). Il découle cependant de ce critère, et cela constitue le troisième enseignement, la nécessité de prévoir une exonération de responsabilité pour ceux des prestataires qui mettent en œuvre des moyens destinés à lutter contre les contenus préjudiciables et illicites (III).
I. Pourquoi ne doit-on pas parler d’ « irresponsabilité » des hébergeurs ?
Le régime de responsabilité des hébergeurs n’est pas, comme certains le soutiennent encore, un régime d’irresponsabilité. Le terme d’« irresponsabilité » véhicule une connotation particulière qui fait davantage référence à une absence de moralité ou d’éthique (on parlera par exemple de l’irresponsabilité d’une entreprise qui rejette ses déchets dans l’environnement) ou, en droit français, à des situations bien particulières.
Son emploi n’est, en effet, envisagé que de manière exceptionnelle dans certains domaines juridiques. En droit administratif, par exemple, il a été question d’irresponsabilité des tribunaux judiciaires (jusqu’à la loi du 5 juillet 1972), d’irresponsabilité des tribunaux administratifs (jusqu’à un arrêt du Conseil d’Etat en 1978) ou encore d’irresponsabilité de principe de la puissance publique pour des dommages causés par les travaux publiques (irresponsabilité diminuée par l’interprétation extensive de la loi du 28 pluviose an VIII).
En matière pénale, on rencontre plusieurs causes subjectives d'irresponsabilité. Mais celles-ci ne sont liées qu’à une seule et même situation : l'absence ou la perte du libre arbitre de l’individu, à savoir la capacité de comprendre ou de vouloir ses actes. Ainsi, incapable de discernement, le très jeune enfant bénéficie d'une présomption irréfragable d'irresponsabilité pénale (arrêt Laboube Cassation 1956). Aussi, l'article 122-2 du Code pénal dispose que « n'est pas pénalement responsable la personne qui a agi sous l'empire d'une force ou d'une contrainte à laquelle elle n'a pu résister » (voir les causes d’irresponsabilité en droit pénal).
La personne publique ou les personnes physiques sont donc déclarées « irresponsables » pour des actes qu’ils ont eux-mêmes commis. On en conclut que le terme d’irresponsabilité juridique s’attache à définir une situation dans laquelle ne peut être déclarée responsable une personne ayant commis des actes positifs, qui lui sont incontestablement imputables, ayant directement engendrés un dommage pour autrui ou matérialisés l’infraction. En d’autres termes, les régimes d’irresponsabilité absolvent une personne dans les cas où le lien de causalité entre ses agissements et le dommage réalisé est incontestable ou dans le cas où elle est directement l’auteur d’une infraction.
Le régime de responsabilité qui s’applique aux hébergeurs s’éloigne conséquemment de ces hypothèses administratives et pénales. En effet, les hébergeurs ne bénéficient pas d’une exonération de responsabilité pour les fautes et infractions qu’ils ont eux-mêmes commises : si un hébergeur créé et publie un contenu causant un dommage ou réalisant une infraction, il en sera responsable sur le plan civil ou pénal. En outre, comme nous le verrons plus loin, il sera également responsable des infractions commises par des tiers lorsqu’il exerce un contrôle sur les données stockées (ce qui ne va d’ailleurs pas sans poser problème).
En réalité, le régime juridique applicable aux hébergeurs définit leur responsabilité pour les cas d’utilisation de leurs services par des tiers et les rend responsables toutes les fois qu’ils ont une connaissance positive des fautes ou infractions évidentes commises par ces tiers et ne font rien pour y mettre fin. L’article 14 de la directive européenne organise donc bien la responsabilité des hébergeurs et non pas leur irresponsabilité.
Il pourra nous être opposé que ce régime met tout de même les hébergeurs à l’abri d’une responsabilité pour faute ou négligence autre que celle consistant à ne pas retirer un contenu illicite après en avoir eu effectivement connaissance. En effet, avant l’adoption de la directive 2000/31 et de la LCEN en France, le jeu des articles 1382 et suivants du Code civil aurait permis de leur reprocher – sans injonction préalable d’un juge – un certain nombre de fautes, ou plutôt de négligences, consistant, par exemple, à ne pas avoir délivré d’informations relatives à l’utilisation licite de leurs services, ou d’avoir omis de mettre en œuvre des systèmes de surveillance ou de filtrage afin d’empêcher la commission d’infractions par des utilisateurs de leurs services ou, simplement, à ne pas avoir été suffisamment vigilant (voir L. Thoumyre, « Responsabilité des hébergeurs : détours et contours de l’obligation de vigilance », Juriscom.net, 05/08/2000). Sur ce point, nous savons que tant la directive 2000/31 que la LCEN ont souhaité écarter ces éventuelles causes de responsabilité afin d’assurer la sécurité juridique et financière de ces acteurs et, également, d’éviter d’en faire des censeurs de la liberté d’expression. Ce « détail », qui a certes son importance, ne permet cependant pas de dire que ces acteurs jouissent d’une « irresponsabilité », puisqu’ils demeurent responsables à d’autres titres dans le cadre de leurs activités.
Nous préférons donc parler ici de limitation de responsabilité, comme le suggère la CJUE en relevant que : « La section 4 de la directive 2000/31 comprenant les articles 12 à 15 et portant l’intitulé « Responsabilité des prestataires intermédiaires » vise à restreindre les cas de figure dans lesquels, conformément au droit national applicable en la matière, la responsabilité des prestataires de services intermédiaires peut être engagée. C’est donc dans le cadre de ce droit national que les conditions pour constater une telle responsabilité doivent être recherchées, étant toutefois entendu que, en vertu de la section 4 de cette directive, certains cas de figure ne sauraient donner lieu à une responsabilité des prestataires de services intermédiaires. Depuis l’expiration du délai de transposition de ladite directive, les règles de droit national concernant la responsabilité de tels prestataires doivent comporter les limitations énoncées auxdits articles » (point 107 de l’arrêt de la CJUE).
II. Du rôle passif de l’hébergeur vis-à -vis des données stockées
Dans l’affaire qui nous intéresse, Vuitton, Viaticum et CNRRH soutenaient que le service de référencement « AdWords » n’est pas un service de la société de l’information tel que défini par la directive 2000/31, de sorte que le prestataire d’un tel service ne saurait en aucun cas bénéficier desdites limitations de responsabilité. Google soutenait naturellement l’inverse. Pour trancher ce débat, la juridiction de renvoi a donc demandé si l’article 14 de la directive 2000/31, qui définit le régime de responsabilité des prestataires d’hébergement, permet de qualifier un service de référencement sur Internet de service de la société de l’information consistant à stocker des informations fournies par l’annonceur de sorte que ces données fassent l’objet d’un « hébergement » au sens de cet article et que, partant, la responsabilité du prestataire du service de référencement ne peut être recherchée avant qu’il n’ait été informé du comportement illicite dudit annonceur.
La CJUE constate tout d’abord, au regard des caractéristiques (résumées au point 23 de l’arrêt) du service « Adwords », que celui-ci réunit l’ensemble des éléments de la définition du « service de la société de l’information », laquelle englobe « les services qui sont prestés à distance au moyen d’équipements électroniques de traitement et de stockage de données, à la demande individuelle d’un destinataire de services et, normalement, contre rémunération ».
Mais, pour le qualifier d’hébergeur, la CJUE relève très justement que le comportement de ce prestataire doit se limiter à celui d’un « prestataire intermédiaire » au sens voulu par le législateur dans le cadre de la section 4 de cette directive. Son rôle doit donc, au regard du 42ème considérant de la directive, être « purement technique, automatique et passif », ce qui implique que ledit prestataire « n’a pas la connaissance ni le contrôle des informations transmises ou stockées ». Il s’ensuit, selon la cour de justice, que l’article 14 de la directive 2000/31 « doit être interprété en ce sens que la règle y énoncée s’applique au prestataire d’un service de référencement sur Internet lorsque ce prestataire n’a pas joué un rôle actif de nature à lui confier une connaissance ou un contrôle des données stockées » (point 120 de l’arrêt).
Cette passivité a toujours constitué, selon nous, le critère essentiel de l’activité d’hébergement. Replacé dans les nombreux débats franco-français relatifs aux affaires impliquant divers services du web 2.0., il permet justement de distinguer l’activité de l’hébergeur de celle de l’éditeur de contenus. Nous avions déjà souligné que l'hébergeur et l'éditeur partagent, certes, une identité génétique commune dès lors qu’ils sont tous deux acteurs de la publication, mais que leurs rôles diffèrent vis-à -vis de l'action qu'ils sont amenés à exercer tant sur la publication des contenus que sur la qualité de ceux-ci. Un rôle actif pour l'éditeur : réunir des contenus, les évaluer, voire les modifier, et procéder volontairement à leur publication (mise en ligne). Un rôle passif pour l'hébergeur : fournir un service, essentiellement technique, permettant à des tiers de mettre des contenus en ligne (L. Thoumyre, « La responsabilité pénale et extra-contractuelle des acteurs de l'Internet », Lamy droit des médias et de la communication, étude 464-19, nov. 2009 et « Les notions d’éditeurs et d'hébergeurs dans l’économie numérique », Lettre Omidroit, 03/03/2010, p. 2 et s. Proche de cette réflexion, un auteur parle de « neutralité » : R. Hardouin., « Le web 2.0. », Lamy droit des médias et de la communication, 476-17 in fine, nov. 2009). On ne peut donc que saluer la mise en exergue opérée par la CJUE du critère relatif au rôle passif du prestataire.
Pour ce qui est de déterminer le rôle joué par Google dans la rédaction du message commercial accompagnant le lien promotionnel ou dans l’établissement ou la sélection des mots clés, la CJUE s’en remet naturellement à la juridiction nationale (point 119 de l’arrêt).
La CJUE relève néanmoins, en amont, que « la seule circonstance que le service de référencement soit payant, que Google fixe les modalités de rémunération, ou encore qu’elle donne des renseignements d’ordre général à ses clients, ne saurait avoir pour effet de priver Google des dérogations en matière de responsabilité prévues par la directive 2000/31 » (point 116 de l’arrêt). Ainsi, le fait de percevoir une rémunération pour un service de la société de l’information, ou même de fixer des modalités de paiement, ne permet pas en soi d’écarter l’application du régime de responsabilité des hébergeurs.
Cet attendu devrait ainsi mettre fin au débat français initié par l’affaire Tiscali sur le fait de savoir si, oui ou non, le critère de l’exploitation commerciale est un cas d’exclusion du bénéfice de l’exonération de responsabilité des hébergeurs. Ce débat concernait l’ensemble des services du web 2.0. qui perçoivent une rémunération sur les publicités qu’ils font diffuser sur les pages personnelles des destinataires de leurs services (sur ce débat, voir L. Thoumyre, « Les notions d’hébergeurs et d’éditeurs dans l’économie numérique », Lettre Omidroit, 03/03/2010, p. 2 et « Cass civ 1, 14 janvier 2010 : l’hébergement 2.0. cassé ? pas encore ! », Juriscom.net, 17/01/2010. voir aussi l'analyse de Me Sarah Jacquier sur le critère financier : S. Jacquier, « On ne peut pas obliger les hébergeurs comme YouTube à contrôler tous leurs contenus », LesEchos.net, 18/02/2010).
On ne saurait cependant ignorer que la CJUE laisse grande ouverte la possibilité de contester le caractère passif du rôle de Google dans la gestion de son service « Adwords ». Au point 115, l’arrêt constate que « s’agissant du service de référencement en cause (…) il ressort (…) que Google procède, à l’aide des logiciels qu’elle a développés, à un traitement des données introduites par des annonceurs et qu’il en résulte un affichage des annonces sous des conditions dont Google a la maîtrise. Ainsi, Google détermine l’ordre d’affichage en fonction, notamment, de la rémunération payée par les annonceurs ». La cour relève ainsi que la société Google ne se contente pas d'être rémunérée pour les services offerts, mais qu’elle fixe sa rémunération en fonction de variables déterminées par elle-même et par la popularité des mots clés. Son rôle pourra-t-il encore être considéré comme passif dans ce cas ?
La CJUE poursuit en considérant qu’est également pertinent, dans l’analyse du rôle joué par Google, « la rédaction du message commercial accompagnant le lien promotionnel ou dans l’établissement ou la sélection des mots clés ». Autant d’embûches posées sur le passage de Google devant les juridictions nationales.
Conclusion : l’application de l’article 14 de la directive n’est pas incompatible avec le fonctionnement du service « Adwords », ce qui est une bonne nouvelle pour l'ensemble des services d’intermédiation du web 2.0., pourvu que son exploitant demeure passif vis-à -vis des données qui sont stockées, ce qui nous semble couler de source ... sous réserve que l'on s'entende sur la notion de "passivité".
III. Plaidoyer pour une clause du bon samaritain
Si nous accueillons favorablement les attendus de la CJUE sur l’ensemble de ces questions, nous ne pouvons résister à l’envie de relever, une nouvelle fois, un paradoxe persistant qui préoccupe certains esprits : qu’advient-il de la qualification du prestataire qui met spontanément en œuvre des moyens de contrôle, de surveillance ou de filtrage des informations fournies par des destinataires de ses services afin de prévenir la survenance de contenus illicites ou dommageables ? Celui-ci pourra-t-il toujours bénéficier du régime de responsabilité des hébergeurs alors que son rôle aura changé de nature ?
En effet, est-il encore possible, dans cette hypothèse, d’affirmer que le prestataire joue « un rôle actif de nature à lui confier une connaissance ou un contrôle des données stockées », pour reprendre la formulation de la CJUE.
Les moyens de contrôle de type Audiblemagic ou Signature de l’INA qui sont aujourd’hui mis en place par les prestataires du web 2.0., tels que Youtube, Dailymotion ou MySpace, pour empêcher l’upload de contenus contrefaisants « fingerprintés » ne permettent certes pas à ces prestataires d’avoir une connaissance directe des contenus filtrés, puisque le processus de blocage à l’upload est automatique et sans intervention humaine. L’utilisation de ces moyens n’entache donc pas, ou très peu, le caractère passif du prestataire.
En revanche, le prestataire peut-être amené, dans plusieurs cas de figure, à exercer un contrôle sur les données déjà stockées et, par conséquent, à devenir « actif ». Premier exemple : sur l’insistance d’ayants droit, les prestataires sont occasionnellement amenés à utiliser ces mêmes technologies pour éliminer des contenus contrefaisants - sur lesquels une empreinte numérique vient fraîchement d’être effectuée - stockés sur leurs services et mis en ligne depuis longue date. Cette technique leur permet ainsi d’effacer l’existant et, donc, d'avoir un contrôle sur les données déjà stockées. Deuxième exemple : tout le monde sait que des moyens humains – ou des « modérateurs » – sont utilisés par plusieurs prestataires pour éliminer des contenus déjà stockés, avant ou après mise en ligne, ici pour effacer des images choquantes, là pour supprimer des propos racistes.
Le contrôle sur le contenu déjà stocké ne fait aucun doute. Pour autant, il apparaît des plus légitimes et on ne peut que difficilement reprocher de telles actions devant les tribunaux. D’ailleurs, les juges français se refusent généralement à faire de la modération a posteriori de contenus, pratiquée par les gestionnaires de forum, un motif de suppression du bénéfice du régime des hébergeurs.
La CJUE a-t-elle donc bien fait de préciser que, pour bénéficier des dispositions de l’article 14, le prestataire ne doit pas jouer de rôle actif destiner à lui donner le "contrôle sur les données stockées" ? La réponse n'est pas si évidente. Cette pratique de « contrôle » sur les contenus déjà stockées a, selon nous, complètement échappé au législateur communautaire qui ne souhaiterait sans doute pas, si on lui posait la question, empêcher les exploitants de services web 2.0. de mettre certains moyens en oeuvre pour éviter que des contenus illicites ne prolifèrent sur leurs services.
Dès lors, dans un souci de cohérence juridique, nous pensons que le législateur devrait prévoir, d’une manière ou d’une autre, une disposition qui permette aux prestataires de « faire le ménage » sur leurs serveurs, sans que ne plane au-dessus de leurs têtes le risque de perdre le bénéfice de leur limitation de responsabilité. Une sorte de clause du bon samaritain en somme, telle qu’il en existe une aux Etats-Unis, serait la bienvenue :
(2) No provider or user of an interactive computer service shall be held liable on account of –
(A) Any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected (…) [Communication Decency Act - Section 230].
Lionel Thoumyre
Consultant en Responsabilité dans l’Economie Numérique
Chargé de cours au Master II DCEEN à l’Université de Paris I - Sorbonne
Fondateur de Juriscom.net
View Lionel Thoumyre's profile