Blog d'Axel Beelen, spécialiste en propriété intellectuelle

Des billets pour vous présenter la matière des droits d'auteur (et plus…)

Hébergeurs (hosting) sur internet: quelles sont leurs obligations de surveillance?

Je m’étais attelé l’autre jour lors de l’analyse de l’article de Ronan Hardouin à vous décrire les conditions de la mise en cause de la responsabilité des hébergeurs.

Notre loi de 2003, transposition de la directive e-commerce, prévoit aussi que les hébergeurs ont l’obligation de collaborer avec les autorités compétentes pour lutter contre les échanges illicites sur internet.

Voici un petit billet pour mieux comprendre les conditions de cette obligation de collaboration.

Textes légaux

I.

Textes de la directive

« Section 4: Responsabilité des prestataires intermédiaires

Article 14

Hébergement

1. Les États membres veillent à ce que, en cas de fourniture d’un service de la société de l’information consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées à la demande d’un destinataire du service à condition que:

a) le prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicites et, en ce qui concerne une demande en dommages et intérêts, n’ait pas connaissance de faits ou de circonstances selon lesquels l’activité ou l’information illicite est apparente

ou

b) le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible.

2. Le paragraphe 1 ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle du prestataire.

3. Le présent article n’affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d’exiger du prestataire qu’il mette un terme à une violation ou qu’il prévienne une violation et n’affecte pas non plus la possibilité, pour les États membres, d’instaurer des procédures régissant le retrait de ces informations ou les actions pour en rendre l’accès impossible.

Article 15

Absence d’obligation générale en matière de surveillance

1. Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.

2. Les États membres peuvent instaurer, pour les prestataires de services de la société de l’information, l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement.

Textes de la loi belge

 CHAPITRE VI. – Responsabilité des prestataires intermédiaires.

 Section 3. – Activité d’hébergement.

Art. 20. § 1er. En cas de fourniture d’un service de la société de l’information consistant à stocker des informations fournies par un destinataire du service, le prestataire n’est pas responsable des informations stockées à la demande d’un destinataire du service à condition :
1° qu’il n’ait pas une connaissance effective de l’activité ou de l’information illicite, ou, en ce qui concerne une action civile en réparation, qu’il n’ait pas connaissance de faits ou de circonstances laissant apparaître le caractère illicite de l’activité ou de l’information; ou
2° qu’il agisse promptement, dès le moment où il a de telles connaissances, pour retirer les informations ou rendre l’accès à celles-ci impossible et pour autant qu’il agisse conformément à la procédure prévue au § 3.

§ 2. Le § 1er ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle du prestataire.

§ 3. Lorsque le prestataire a une connaissance effective d’une activité ou d’une information illicite, il les communique sur le champ au procureur du Roi qui prend les mesures utiles conformément à l’article 39bis du Code d’instruction criminelle.
Aussi longtemps que le procureur du Roi n’a pris aucune décision concernant le copiage, l’inaccessibilité et le retrait des documents stockés dans un système informatique, le prestataire peut uniquement prendre des mesures visant à empêcher l’accès aux informations
.

 Section 4. – Obligations en matière de surveillance.

Art. 21. § 1er. Pour la fourniture des services visés aux articles 18, 19 et 20, les prestataires n’ont aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent, ni aucune obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.
Le principe énoncé à l’alinéa 1er ne vaut que pour les obligations à caractère général. Il n’empêche pas les autorités judiciaires compétentes d’imposer une obligation temporaire de surveillance dans un cas spécifique, lorsque cette possibilité est prévue par une loi.

§ 2. (Les prestataires visés au § 1er ont l’obligation d’informer sans délai les autorités judiciaires ou administratives compétentes des activités illicites alléguées qu’exerceraient les destinataires de leurs services, ou des informations illicites alléguées que ces derniers fourniraient.
Sans préjudice d’autres dispositions légales ou réglementaires, les mêmes prestataires sont tenus de communiquer aux autorités judiciaires ou administratives compétentes, à leur demande, toutes les informations dont ils disposent et utiles à la recherche et à la constatation des infractions commises par leur intermédiaire.)
<L 2005-07-20/41, art. 59, 003; En vigueur : 08-08-2005>

Interprétation

Parallèlement donc à leur régime de responsabilité, les hébergeurs ont aussi une obligation de collaboration avec les autorités judiciaires. Toutefois, cette contrainte n’équivaut nullement à leur imposer une obligation générale et absolue de surveillance.

Dans ses arrêts Sabam contre Tiscali et Sabam contre Netlog, la CJEU a défini l’obligation générale de surveillance comme étant, par exemple, un système de filtrage qui vise:

– des informations stockées sur les serveurs de l’hébergeur par les utilisateurs de ses services ou qui transitent par les services du fournisseur d’accès à internet;

– qui s’applique indistinctement à l’égard de l’ensemble des utilisateurs;

– à titre préventif;

– à ses frais exclusifs, et

– sans limitation dans le temps,

capable d’identifier des fichiers électroniques contenant des œuvres musicales, cinématographiques ou audiovisuelles sur lesquelles le demandeur prétend détenir des droits de propriété intellectuelle, en vue de bloquer la mise à disposition du public desdites œuvres qui porte atteinte au droit d’auteur.

 La surveillance a priori

Conformément à la directive européenne (et à son art. 15), la législation belge ne prévoit aucune obligation générale de surveillance des informations transmises ou stockées. Elle n’impose pas davantage à l’hébergeur d’obligation de recherche active des faits et des circonstances révélant des activités illicites.

Toutefois, rien n’empêche un hébergeur d’effectuer de manière volontaire des contrôles sur les sites qu’il héberge. Cette intervention peut lui permettre d’asseoir sa crédibilité et son image de marque. C’est d’ailleurs un souhait du législateur communautaire à travers le considérant 40 de la directive e-commerce.

La collaboration a posteriori

La loi belge prévoit quatre cas où l’hébergeur est susceptible de devoir intervenir a postériori :

1. l’art. 20, §3 ;

2. l’art. 21, §2, al. 1 ;

3. l’art. 21, §2, al. 2 ;

4. 4. l’art. 21, §1er , al. 2.

1. l’art. 20, §3.
Si le prestataire d’hébergement n’a pas d’obligation générale de surveillance, le législateur a ici prévu une certaine obligation d’information à sa charge puisque le §3 de l’article 20 de la loi (transposition de l’art. 15.2 de la directive) prévoit que « lorsque le prestataire a une connaissance effective d’une activité ou d’une information illicite, il les communique sur le champ au procureur du Roi qui prend les mesures utiles conformément à l’article 39 bis du Code d’instruction criminel » (relatif à la saisie de données immatérielles). Toutefois, « Aussi longtemps que le procureur du Roi n’a pris aucune décision concernant le copiage, l’inaccessibilité et le retrait des documents stockés dans un système informatique, le prestataire peut uniquement prendre des mesures visant à empêcher l’accès aux informations. ».

L’hébergeur pour être exonéré de responsabilité ne doit donc pas se contenter de retirer le contenu illicite qu’il pourrait constater sur son réseau mais doit en informer « sur le champ » le procureur du Roi. Le problème de l’interprétation de l’illicéité de l’information diffusée est d’autant plus délicat que les modalités de notification du contenu illicite par les tiers n’ont pas été précisées par la loi, de sorte qu’il n’existe pas de règle régissant la manière d’informer l’hébergeur.

L’hébergeur pourrait donc avoir parfois du mal à juger du caractère illicite de l’information diffusée sur le site hébergé par lui.

Cette disposition de la loi belge évite ainsi ce problème puisque dès que l’hébergeur a connaissance d’une activité ou d’une information illicite, il lui suffit de les communiquer au Procureur du Roi.

Si ce n’est que, comme je l’ai déjà mentionné dans un billet précédent, le législateur a ici précisé que ce n’est que lorsque l’hébergeur a une connaissance effective d’une activité ou d’une information illicite qu’il devra prévenir le Procureur du Roi. Et que cet adjectif « effective » renvoi au 1° de l’art. 20, §1er qui précise les conditions pour que l’hébergeur puisse voir sa responsabilité engagée et notamment qu’il ne doit pas avoir une connaissance effective de l’activité ou de l’information illicite. L’adjectif « effective » (comme l’avait rappelé Ronan Hardouin) renvoyant au cas où l’hébergeur est prévenu par une autorité judiciaire. Et je me demandais s’il y avait des cas/procédures où le juge préviendrait l’hébergeur et où le Procureur du Roi ne serait pas au courant. Si la réponse est négative, l’utilisation par le législateur de cet adjectif à l’art. 20, §3 est malencontreux et inadéquat. Si la réponse est positive alors oui.

Mais cela n’enlève pas le fait que les cas où l’hébergeur doit prévenir le Procureur du Roi sont restreints de par l’utilisation de cet adjectif « effective » au §3 de l’art. 20.

En effet, l’hébergeur ne devra prévenir le Procureur du Roi que lorsqu’il a une connaissance effective que des informations illicites sont stockés sur ses serveurs. Il ne devra pas le prévenir lorsqu’il a simplement connaissance que des informations apparemment illicites sont stockées chez lui (la deuxième partie de l’art. 20, §1er, 1°).

Même si un utilisateur notifie à l’hébergeur que des informations que l’utilisateur pense être illicite sont stockées chez l’hébergeur et que l’hébergeur arrive à la même conclusion, est-ce que cela fait passer les informations apparemment illicites à effectivement illicites ?

Si nous considérons comme Ronan Hardouin que l’effectif renvoi à l’intervention préalable d’un juge, un hébergeur n’étant pas un juge, même si une information a été considérée comme illicite par un hébergeur, elle en reste apparemment illicite tant qu’un juge ne l’a pas décidé autrement. Dès lors, dans ce cas, l’hébergeur n’a pas l’obligation de prévenir le Procureur du Roi.

2. l’art. 21, §2, al. 1.
Pour pallier au manque que je viens de décrire, l’art. 21, §2 de la loi belge de 2003 prévoit également une situation a posteriori dans laquelle l’hébergeur qui aurait connaissance d’activités illicites alléguées exercées par les destinataires de ses services ou d’informations illicites alléguées qui seraient fournies par ces derniers doit prévenir sans délai les autorités judiciaires ou administratives compétentes.

Cette situation on vient de le lire concerne le cas où l’hébergeur a connaissance d’informations ou d’activités illicites alléguées. Autrement dit, il s’agit du cas où après avoir été prévenu/notifié par un utilisateur que des informations illicites sont stockées sur ses serveurs, l’hébergeur, après être parvenu à la même considération que l’utilisateur (faisant dès lors passer l’information illicite notifiée au stade d’information illicite alléguée = information illicite aussi pour moi hébergeur), doit prévenir sans délai les autorités judiciaires ou administratives compétentes (la loi ne disant pas lesquelles).

On pourrait toutefois, à la stricte lecture de l’art. 21, §2, al.1 considérer qu’il ne s’applique pas à un hébergeur. En effet, il parle d’activités illicites alléguées exercées et d’informations illicites fournies (conformément au texte de la directive). Mais nullement d’informations ou d’activités illicites stockées ou hébergées. Si on considère donc que l’art. 21, §2, al. 1 ne s’applique pas aux hébergeurs, il y a clairement un manque dans la loi belge puisque rien n’est prévu pour les informations illicites alléguées stockées sur les serveurs d’un hébergeur mais uniquement le cas où un juge prévient l’hébergeur du stockage chez lui d’informations illicites.

Le refus de collaboration des hébergeurs est sanctionné pénalement (art. 26, §5, 3°).

3. l’art. 21, §2, al. 2.
L’hébergeur devra également communiquer aux autorités administratives ou judiciaires, à la demande de celles-ci, les informations qui peuvent permettre d’identifier les destinataires de leurs services avec qui un accord d’hébergement a été conclu. Parmi ces renseignements, citons notamment le nom, l’adresse IP, l’adresse de courrier électronique et le numéro de carte bancaire. Cette liste peut être complétée par d’autres dispositions légales ou réglementaires. Toutefois, la loi (au contraire de la loi française) n’a pas ajouté le fait que les hébergeurs devaient conserver toutes les données utiles à l’identification de quelqu’un.

L’art. 21, §2 a été modifié en 2005. Dorénavant, l’obligation de collaboration de l’art. 21, §2 pèse sur tous les prestataires intermédiaires exerçant une ou plusieurs des activités visées par la loi et plus seulement sur ceux qui exercent une activité d’hébergement uniquement et les informations dues en vertu de cet article, aux autorités administratives et judiciaires, ne se limitent pas seulement aux données d’identification des destinataires des services et des prestataires concernés (souvent insuffisantes pour rechercher et constater une infraction) mais peuvent aussi viser d’autres données permettant de découvrir l’identité précise d’une personne.

Le refus de collaboration des hébergeurs est sanctionné pénalement (art. 26, §5, 3°).

Cette obligation de collaboration-ci s’ajoute à celles auxquelles les hébergeurs sont également soumis par ailleurs. En effet, l’art. 21, §2, al. 2 s’applique « sans préjudice d’autres dispositions légales ou réglementaires« . Il s’agit notamment des règles visant à lutter contre la criminalité informatique (loi du 28 novembre 2000 relative à la criminalité informatique). On peut ainsi citer l’art. 46bis du code d’instruction criminelle qui permet au Procureur du Roi de requérir d’un opérateur de réseau de communication électronique ou d’un fournisseur de service de communication électronique qu’il lui communique les données d’identification des utilisateurs de leurs services.

4. l’art. 21, §1er , al. 2.
Conformément à la directive européenne (art. 15 + considérant 47), la législation belge ne prévoit aucune obligation générale de surveillance des informations transmises ou stockées. Elle n’impose pas davantage à l’hébergeur d’obligation de recherche active des faits et des circonstances révélant des activités illicites.

Ce principe générale est tempéré par le fait que cette absence de surveillance ne vaut que pour les « obligations à caractère général ». Dès lors, les autorités judiciaires compétentes pourraient décider d’imposer, dans un cas spécifique, une obligation temporaire de surveillance. Mais uniquement  donc sous deux conditions :

  1. il faut que cette obligation soit temporaire, nécessaire et ciblée sur certaines activités bien identifiées ET
  2. il faut au préalable une autorisation des autorités judiciaires compétentes.

Cela pourrait concerner par exemple la sauvegarde de la sûreté de l’Etat, la défense et la sécurité.

Le refus de collaboration des hébergeurs est sanctionné pénalement (art. 26, §5, 3°).

Les difficultés pratiques d’un tel système

Plusieurs questions demeurent :

  1. Quid de la manière dont l’hébergeur aura connaissance de l’illicéité d’une activité ou d’une information (rappelons que la notification diffère selon qu’on se situe sur le plan pénal ou civil) ? ;
  2. La loi ne précise pas comment la notification doit être réalisée ;
  3. Comment l’hébergeur devra-t-il communiquer au procureur du Roi les informations illicites dont il aurait eu effectivement connaissance ?
  4. Quid en cas d’inertie du procureur du Roi ?
  5. Sur quelle base, en matière civile, l’hébergeur pourra-t-il apprécier si l’information est licite ou pas (car dans ce cas, il doit agir promptement pour rendre l’accès à l’information inopérant) ? car il engagera sa responsabilité si finalement l’information se révèle licite. Il serait plus sage qu’un magistrat intervienne ici aussi ;
  6. Il faudrait instaurer au plus vite, tant sur le plan pénal que civil, des procédures de notice and take down. Les hébergeurs verraient leur rôle et leurs actions plus transparents. De plus, les consommateurs seraient mieux informés sur la manière de porter à la connaissance d’un hébergeur une information qu’ils estiment exister en fraude de leurs droits ;
  7. Quid du respect de la vie privée lorsque, conformément à l’art. 21, § 2 les informations sont demandées et par après transmises à des autorités administratives ?
  8. L’art. 87, §1 de la LDA permet-il aux autorités judiciaires compétentes d’ordonner des mesures de surveillance temporaires dans un cas spécifique de violation de la LDA (art. 21, §1, al. 2) ? (= art. 87, §1 est-il compris dans le « lorsque cette possibilité est prévue par une loi » de l’art. 21, §1er, al. 2 qui permet alors au juge d’ordonner à l’hébergeur des mesures de surveillance temporaire dans un cas spécifique ?) ? La réponse à cette question est assurément positive (voy. l’art. 14.3 de la directive e-commerce et le paragraphe 30 de l’arrêt Sabam de la CJUE du 24 novembre 2011).

Les actions en cessation

En droit interne

Les consommateurs peuvent diligenter une action en justice s’ils estiment que leurs droits sont violés.

Cette action, instaurée par l’art. 18 de la directive e-commerce, a été transposée par l’art. 3 de la seconde loi du 11 mars 2003 dite loi article 77 ».

Cette action permet au consommateur de faire valoir ses droits en temps utile contre toute infraction aux dispositions de la loi du 11 mars 2003.

 Caractéristiques

Il s’agit d’une procédure comme en référé qui débouche sur une décision au fond revêtue de l’autorité de la chose jugée et pour laquelle aucune exigence d’urgence n’est requise.

L’action peut être intentée par les titulaires visées à l’art. 98, §1er de la LPCC (Test-Achats).

Lorsque le président (soit du tribunal de première instance ou du tribunal de commerce) constate l’existence d’une infraction à la loi du 11 mars 2003, il peut en ordonner la cessation. Il peut accorder au contrevenant un délai pour arrêter l’infraction ou cesser l’activité.

Niveau communautaire

La loi du 26 mai 2002 a introduit dans notre droit national le mécanisme de l’action en cessation intracommunautaire transposant la directive 98/27/CE qui ne visent que les infractions à l’intérêt collectif.

L’action ne peut être diligentée que par les entités qualifiées comme Test-Achats.

L’action doit être introduite auprès du président du tribunal de commerce de Bruxelles. Elle est formée et instruite selon les formes du référé.

Le président constate l’infraction et en ordonne la cessation.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Calendrier

août 2012
L M M J V S D
« Juil   Sep »
 12345
6789101112
13141516171819
20212223242526
2728293031  

Entrez votre adresse mail pour suivre ce blog et recevoir des notifications de nouveaux articles par mail.

Rejoignez 175 autres abonnés

Catégories

Archives

%d blogueurs aiment cette page :