Article réalisé pour le cours de Me Cyril Rojinsky et Lionel Thoumyre sur la responsabilité des acteurs de l'Internet (DESS Droit des Nouvelles Technologies de l'Information et de la Communication) - année 2003-2004
La Loi espagnole 34/2000 sur les Services de la Société de l’Information (LSSI) du 12 octobre 2002 a pour objet la transposition dans l’ordre juridique espagnol de la Directive 2000/31/CE du Parlement européen du 8 juin 2000 relative à certains aspects des services de la société de l’information et notamment du commerce électronique dans le marché intérieur (ci-après, la directive). Elle inclut les activités d’intermédiaire de ces prestataires dans la vaste conception des « services de la société de l'information », entendue comme toute activité économique, fournie à distance par voie électronique, exercée par toute personne physique ou morale, dans un but commercial. Elle recouvre donc non seulement les intermédiaires techniques, mais aussi tout prestataire de services qui exerce une activité économique liée aux réseaux de télécommunications, notamment Internet. Ainsi, elle ne délimite pas le domaine d'activité ni les catégories de services.
Selon la LSSI tout prestataire de services de la société de l’information est soumis au droit commun, civil, pénal ou administratif (selon la nature des normes violées), et elle précise que l’application du droit commun n’est que subsidiaire aux règles spéciales de la présente loi. La loi espagnole va plus loin que la directive en prévoyant des limitations de responsabilité pour les fournisseurs de liens hypertextes et de moteurs de recherche.
A l’instar de la Directive, la LSSI précise les limitations de responsabilité de chaque catégorie de prestataire en distinguant entre les opérateurs de réseaux, les fournisseurs d’accès (article 14 de la LSSI), les opérateurs de stockage (article 15 de la LSSI) et les hébergeurs (article 16 de la LSSI). Au contraire, le projet de Loi français pour la Confiance dans l’Economie Numérique (LCEN) a réuni sous le vocable « intermédiaires techniques » l’ensemble de ces acteurs dans un chapitre II.
Responsabilité des opérateurs de réseaux et des fournisseurs d’accès
Concernant les opérateurs de réseaux et les fournisseurs d’accès, l’article 14 de la LSSI (article 12 de la directive) énonce un principe d’exonération de responsabilité pour l’information transmise assorti de trois exceptions. Ainsi, le prestataire ne sera pas responsable sauf « s’il est lui-même à l’origine de la transmission, s’il a modifié les données ou s’il a sélectionné les données ou les destinataires de ces données ». Le fournisseur d’accès ne sera donc responsable que de ses propres contenus mais pas de ceux auxquels il donne accès. L’intérêt d’établir un régime spécifique à chaque type de prestataire est de niveler la responsabilité en fonction de leur capacité à contrôler les contenus. Ces prestataires n’étant que des intermédiaires techniques, il semble normal que leur responsabilité pour l’information transmise soit strictement encadrée.
L’article 14.2 de la LSSI (article 12 al.2 de la directive) reprend l’exception du stockage pour une courte période (« automatique et transitoire ») qui équivaut à une transmission et, est donc exclusif de responsabilité. La raison de cette dernière exclusion est, à notre sens, simplement technique, ces stockages provisoires étant souvent nécessaires pour ne pas surcharger le réseau.
La LSSI délimite ensuite la responsabilité des prestataires intermédiaires qui sont directement liés au trafic d'informations, comme les fournisseurs qui effectuent des copies temporaires de données, les fournisseurs d’hébergement ou de stockage de données, et ceux qui fournissent des liens vers des contenus ou des services de moteurs de recherche.
Responsabilité des opérateurs de stockage
Contrairement à l’article 9 de la Loi française pour la confiance dans l’économie numérique (LCEN), la LSSI transpose à l’identique l’article 13 de la directive qui établit des dispositions spéciales aux opérateurs de stockage.
L’article 15 de la LSSI énonce les conditions qui doivent être réunies pour que le prestataire qui exerce l’activité de caching ne soit pas responsable au titre du stockage automatique, provisoire et temporaire de l’information fournie par un destinataire du service.
Ces conditions sont au nombre de cinq et semblent être cumulatives puisque, à l’instar de la directive, la LSSI utilise la conjonction « et ». Le prestataire qui stocke les informations dans ce cadre ne doit pas « avoir modifié l’information », il doit se conformer aux conditions d’accès à l’information et « aux normes généralement acceptées et utilisées ». Il ne doit pas entraver l’utilisation licite de la technologie généralement acceptée et utilisée dans le secteur, afin d’obtenir des données sur l’utilisation de l’information. Enfin, il doit retirer l’information qu’il a stockée ou en rendre l’accès impossible lorsqu’il a la connaissance effective qu’elle a été retirée du lieu du réseau où elle se trouvait à l’origine; ou que son accès en a été rendu impossible; ou qu’un tribunal ou un organe administratif compétent a ordonné son retrait ou l’empêchement d’y accéder.
Cependant, la LSSI ne précise pas ici à partir de quel moment l’opérateur de stockage aura effectivement connaissance de l’une de ces trois situations, alors qu’elle le fait pour d’autres prestataires, comme les hébergeurs (cf. ci-après).
Responsabilité des prestataires de services d’hébergement
L’article 16 de la LSSI fixe les conditions de mise en œuvre de la responsabilité des prestataires d’hébergement, transposant l’article 14 de la directive. Ces derniers n’engagent pas leur responsabilité, à la condition « qu’ils n’ont pas une connaissance effective que l’activité ou l’information hébergée est illicite ou qu’elle porte préjudice à des biens ou droits d’un tiers susceptibles d’indemnisation », et, « agissent avec diligence afin de retirer les données ou en rendre l’accès impossible ».
On constate, d’une part, que cette disposition retranscrit l’exigence de la directive sur la « demande en dommages et intérêts », détail qui n’est pas fidèlement retranscrit par l’article 6.I.2. de la LCEN. D’autre part, et surtout, la LSSI définit expressément la notion de « connaissance effective », comme « le fait pour un organe compétent d’avoir déclaré illicite les données, ordonné leur retrait ou empêché leur accès, ou déclaré la lésion et d’avoir eu connaissance de la résolution », ce que ne fait ni la directive, ni notre projet de loi de transposition. Ainsi, la LSSI ne délègue pas la détermination de cette « connaissance effective » au seul prestataire, au contraire il revient à cet organe compétent d’apprécier préalablement le caractère illicite des données litigieuses et d’« ordonner leur retrait ou empêcher leur accès, ou déclarer la lésion » ou l’existence d’un dommage. Et, ce n’est qu’après cette décision que l’hébergeur doit agir « avec diligence afin de retirer les données ou en rendre l’accès impossible » pour être exonéré de toute responsabilité. Notre législateur aurait pu, au risque d’une remontrance de la Commission européenne, prendre exemple sur cette disposition, plus respectueuse des libertés individuelles et notamment de la liberté d’expression.
Cependant, la LSSI soumet à cette définition une réserve qui peut paraître contradictoire avec ce qui vient d’être énoncé : « sous réserve des procédés de détection et retrait de contenus que les prestataires appliquent en vertu des accords volontaires et autres moyens de connaissance effective qu’ils pourraient établir ». Cette réserve semble pervertir l’encadrement mis en place précédemment. D’une part, parce que les logiciels de blocage et de filtrage – qui semblent être notamment visés par cette disposition – ne sont pas, à l’heure actuelle, infaillibles. D’autre part, l’ouverture à laquelle procède cette réserve par « et autres moyens de connaissance effective qu’ils pourraient établir », faisant place à une liberté des moyens propres de l’hébergeur de détecter des contenus illicites, laisse présager des difficultés d’interprétation qu’il reviendra au juge de déterminer. Or, le législateur espagnol n’a pas prévu, à l’instar de la LCEN française, de sanction au titre d’une « notification » abusive d’un retrait de contenus litigieux par une personne ; il semble ainsi s’en remettre à l’initiative privée.
Enfin, et conformément à la directive, « l’exonération de responsabilité (…) ne s’applique pas dans l’hypothèse ou le destinataire du service agit sous la direction, l’autorité ou le contrôle » du fournisseur d’hébergement.
Singularité de la LSSI : responsabilité des fournisseurs d’hyperliens et de moteurs de recherche
Contre toute attente, l’Espagne a choisi de légiférer sur la question de la responsabilité des fournisseurs d’hyperliens et des services de moteurs de recherche, en vertu de l’article 17 de la LSSI. En effet, la directive n’en traite pas, mais elle l’évoque pour l’avenir aux termes de l’article 21.2, prévoyant la nécessité d’élaborer un rapport, paru le 21 novembre 2003. Ce rapport n’apporte pas de mesures concrètes à ce sujet mais ne nie pas son existence. Au contraire, la Commission suit les différents travaux entrepris par les Etats membres relatifs à la responsabilité et cite, notamment, les recommandations sur les hyperliens du Forum des droits sur l’Internet, l’organisme français de corégulation de l’internet.
Les conditions de mise en œuvre de leur responsabilité sont calquées sur le modèle de l’article 14 de la directive, c’est-à -dire sur celui des prestataires d’hébergement. L’article 17 de la LSSI ne fait donc que reprendre les termes de l’article 16 de la LSSI.
A titre liminaire, on remarque que les notions de fournisseurs d’hyperliens et de services de moteurs de recherche ne sont nullement définies ; il est vrai que la directive ne le demande pas et pour cause ! Néanmoins, et ce en suivant la distinction faite par le Forum des droits sur l’Internet, leur définition aurait pu mettre en lumière leurs différences techniques, lien manuel et lien automatique, appelant, tout au moins, un régime différencié.
Ensuite, comme les fournisseurs d’hébergement, ils sont exonérés de toute responsabilité à la condition, « qu’ils n’ont pas une connaissance effective que l’activité ou l’information vers laquelle ils renvoient ou recommandent est illicite ou qu’elle porte préjudice à des biens ou droits d’un tiers susceptible d’indemnisation » et, « agissent avec diligence pour supprimer ou rendre inutilisable le lien en question ». La notion de la « connaissance effective » est définie à l’identique de celle de l’article 16 de la LSSI. De surcroît, les remarques faites précédemment sur les ambiguïtés relatives à cette définition sont transposables aux fournisseurs d’hyperliens ou de moteurs de recherche. Cependant, on peut craindre, et ce précisément pour les moteurs de recherche, une délocalisation de leurs activités dans des Etats où le régime de responsabilité de ces derniers est moins contraignant. Ainsi, certains Etats membres, qui ont profité de la transposition de la directive pour légiférer sur ces questions, ont choisi d’assimiler le régime de responsabilité des moteurs de recherche à celui des fournisseurs d’accès de l’article 12 de la directive, moins contraignant que l’article 14.
Ces discordances de régime au sein de l’Union démontrent qu’il est nécessaire que les institutions européennes adoptent des mesures adéquates sur la responsabilité de ces acteurs de l’Internet, dont le rôle fondamental, au sein même de la Toile, n’est plus à démontrer.
En Annexe, la LSSI définit notamment les termes suivants :
« Services de la société de l’information » ou « services » : tout service fourni normalement à titre onéreux, à distance, par voie électronique et sur demande individuelle du destinataire.
Le concept de services de la société de l’information comprend aussi les services non rémunérés par leurs destinataires, dans la mesure où ils constituent une activité économique pour le prestataire de services.
« Services d’intermédiaires » : services de la société de l’information par lequel est fournit une prestation ou l’utilisation d’autres services de la société de l’information ou l’accès à l’information.
Sont considérés comme tels la fourniture de services d’accès à Internet, la transmission de données par réseau de télécommunication, la réalisation de copies temporaires des pages Internet sollicitées par les utilisateurs, l’hébergement sur les propres serveurs de données, applications ou services fournis par d’autres et la fourniture de moteurs de recherche, accès et compilation de données ou de liens vers d’autres services d’Internet.
« Prestataire de services » : personne physique ou morale qui fournit un service de la société de l’information.
« Destinataire du service » ou « destinataire » : personne physique ou morale qui utilise, à titre professionnel ou non, un service de la société de l’information.
« Cadre normatif coordonné » : toutes les formalités applicables aux prestataires de la société de l’information, celles exigées par la présente loi mais aussi toutes les autres règles applicables à l’exercice d’activités économiques par voie électronique ou les lois générales qui leur sont applicables (« domaine coordonné » transposition de l’article 2 point h de la directive).
Isabelle Mesnil, Maelle Bescond & Jaime Godoy-Téllez
DESS Droit des Nouvelles Technologies de l'Information et de la Communication
Université de Versailles Saint-Quentin