Au sens technique du terme, l’hébergeur est l’intermédiaire qui met à disposition des serveurs (des ordinateurs connectés à Internet 24h/24 en très haut débit et configurés pour comprendre des langages de programmation web et émettre sur le web) pour le stockage, et éventuellement la diffusion, de contenus. Les abonnés peuvent donc utiliser l’espace qui leur est alloué pour, par exemple, créer des sites web ou créer leur propre espace de stockage en “Cloud”. L’hébergeur propose ainsi un service qui implique la mise en ligne de contenus par des tiers, et ce service est rapidement devenu source de problèmes juridiques : qui est responsable lorsqu’un contenu illicite est mis en ligne ?
La réponse se trouve dans la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (“LCEN“), transposition de la directive européenne 2000/31. L’article 6-I. §2 de la LCEN tel qu’interprété par le Conseil constitutionnel dispose ainsi qu’un hébergeur ne peut voir sa responsabilité civile ou pénale engagée du fait d’un contenu mis en ligne par un tiers que si ce contenu était manifestement illicite, que la présence de ce contenu sur ses serveurs lui a été notifiée, et que l’hébergeur n’a pas réagi promptement pour retirer ledit contenu. Il s’agit ainsi d’un régime de responsabilité allégée, qui s’adosse sur une exemption d’obligation de surveillance généralisée (article 6-I. §7 de la LCEN) : les hébergeurs n’ont pas à s’assurer que leurs serveurs ne contiennent pas de contenus illicites.
Il s’agit donc d’un régime assez favorable et, logiquement, tout le monde souhaite en profiter.
Originellement conçu pour les hébergeurs au sens technique du terme, le régime a ainsi été appliqué, grosso modo, à tout site permettant à des tiers de mettre du contenu sans modération a priori – ce que certains auteurs nomment les “hébergeurs 2.0“, en référence au Web 2.0, le web collaboratif. La plupart des géants du web ont leurs propres serveurs, et donc YouTube est à la fois hébergeur au sens technique et au sens “2.0” du terme.
Mais quid, par exemple, d’Aeon par rapport aux commentaires que vous ne manquerez pas d’écrire à la suite de cet article ? Nous louons un espace chez OVH, qui est notre hébergeur technique. En même temps, c’est nous qui opérons le site, et nous préférerions ne pas voir notre responsabilité engagée au cas où vos commentaires seraient illicites (SVP un peu de tenue).
D’où la question : peut-on avoir deux hébergeurs pour un même contenu ?
Retour sur la définition de l’hébergeur
En bons juristes, revenons aux textes, et cherchons la définition de l’hébergeur : l’article 6-I. §2 de la LCEN nous parle de “personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services“.
On relève quatre points majeurs : il faut (i) assurer le stockage de contenus (ii) fournis par des utilisateurs de services et (iii) mis à disposition du public par ces services, (iv) services qui doivent être des services de communication au public en ligne.
On constate que la notion au cœur de cette définition semble être celle de “service de communication au public en ligne“, qui, évidemment sinon ce serait trop simple, n’est pas définie directement. Une définition de “communication au public en ligne” existe à l’article 1-IV. de la LCEN, celle-ci étant entendue comme “toute transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur“.
Le point prégnant de cette définition est que la communication au public en ligne est transmise à la demande d’un individu (par opposition à la communication audiovisuelle, qui est transmise simultanément – le JT de 20h est diffusé à tout le monde à 20h, tandis que vous pouvez regarder une vidéo de chaton sur YouTube selon votre envie) et qu’elle n’a pas le caractère de correspondance privée (ce qui, a priori, exclut les emails). Un service de communication au public en ligne est donc un service permettant une telle communication. Autrement dit, il s’agit d’à peu près tout site web ou application qui ne fait pas partie des deux exclusions ainsi décrites.
Il est à noter au passage que la notion de “service de communication au public en ligne” semble être la façon française de transposer la notion européenne de “service de l’information“, défini comme “tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services“. On retrouve dans la définition européenne l’exclusion des services de communication audiovisuelle (“à la demande individuelle”), mais pas l’exclusion des correspondances privées, qui est ainsi une spécificité française. Ce sujet serait à creuser davantage puisque la notion de service de l’information est plus large en droit européen que la notion de communication au public en ligne en droit français.
Le cas de l’hébergeur 2.0
L’autre condition pour l’application de la définition est donc que les contenus diffusés au public par les services de communication au public en ligne soient fournis par les utilisateurs du service et que l’hébergeur assure leur stockage.
Le fait que les contenus doivent être fournis par les utilisateurs du service ne pose pas particulièrement de problème, a priori : cela veut dire qu’un hébergeur ne peut pas bénéficier du régime de responsabilité limitée pour ses propres contenus, ce qui semble logique puisque l’essence même de ce régime est que l’hébergeur est présupposé ne pas avoir connaissance de la nature des contenus qu’il héberge. Si l’hébergeur est l’éditeur des contenus, il en a forcément connaissance, et donc sa responsabilité peut être engagée.
La notion “d’assurer le stockage” est plus subtile puisqu’elle ne fait pas référence stricto sensu à un hébergement au sens technique du terme. Il n’est en effet pas nécessaire de proposer soi-même un espace de stockage sur un serveur pour assurer le stockage : être l’intermédiaire entre un serveur et l’utilisateur du service, c’est également assurer le stockage du contenu. Concrètement, YouTube assure le stockage des vidéos que vous mettez en ligne, même si ce n’est pas un hébergeur au sens technique du terme, dans le sens où vous ne pouvez louer d’espace sur les serveurs de YouTube pour y créer un site web. De la même manière, la jurisprudence a très vite considéré qu’un forum de discussion sans modération a priori était un hébergeur au sens de la LCEN, puisqu’il s’agit d’un service de communication au public en ligne dont les contenus sont mis en ligne par les utilisateurs et mis à disposition du public.
On considère ainsi que l’exploitant du forum assure le stockage en ayant mis en ligne son forum et en faisant l’intermédiaire entre les utilisateurs et l’intermédiaire technique d’hébergement. C’est ainsi que YouTube et le forum de discussion nous permettent de retrouver la notion “d’hébergeur 2.0” (terme notamment utilisé par Ronan Hardouin dans sa thèse “La responsabilité limitée des prestataires techniques dans la loi pour la confiance dans l’économie numérique“).
Dans son arrêt Google AdWords du 23 mars 2010, la Cour de justice de l’Union européenne a d’ailleurs confirmé cette application du régime de responsabilité limitée aux sites web agissant comme intermédiaires “lorsque ce[s] prestataire[s] n’[ont] pas joué un rôle actif de nature à [leur] confier une connaissance ou un contrôle des données stockées“.
La duplicité d’hébergeurs
Le cas de l’hébergeur 2.0 est particulièrement intéressant puisque c’est lui qui permet de se poser la question de la multiplicité d’hébergeurs. Les géants du web qui proposent des services de type “hébergeur 2.0”, comme YouTube, disposent de leurs propres serveurs, et la question ne se pose donc jamais de savoir qui est l’hébergeur de leurs contenus, puisqu’ils assurent le stockage au sens 1.0 et 2.0 du terme.
Mais dans le cas d’un forum de discussion, qui, in fine, est l’hébergeur : l’exploitant du forum ou l’hébergeur technique ?
Concrètement,
- l’hébergeur technique du forum (i) assure le stockage du forum, et donc, de ses contenus (littéralement, ceux-ci sont sur ses serveurs) (ii) fournis par les utilisateurs du forum et (iii) mis à disposition du public par le forum, (iv) forum qui est un service de communication au public en ligne ;
- l’exploitant du forum (i) assure le stockage des contenus du forum (de manière non littérale, mais c’est lui qui le permet en ayant mis en ligne le forum) (ii) fournis par les utilisateurs du forum et (iii) mis à disposition du public par le forum, (iv) forum qui est un service de communication au public en ligne.
Surtout, aucun des deux n’a vraiment de rôle actif par rapport aux données stockées : ni l’hébergeur technique ni l’exploitant du forum n’est dans une démarche positive pour avoir connaissance des contenus soumis par les utilisateurs du forum. C’est d’ailleurs pourquoi la jurisprudence a fait la distinction entre forum avec modération a priori, et donc rôle actif, et forum avec modération a posteriori, et absence de rôle actif.
Ainsi, en appliquant strictement la lettre de la LCEN, on se retrouve avec deux hébergeurs pour un même contenu.
La notion peut paraître douteuse, elle n’a que peu de sens d’un point de vue technique : il n’y a bien qu’une seule personne qui possède les serveurs et les met à disposition. Cependant, les contenus n’existeraient pas sans l’intervention de l’exploitant du forum, qui permet la mise en ligne des contenus. Il y a bien intermédiation entre les utilisateurs du forum et l’hébergeur technique par l’exploitant du forum, qui répond aux critères de la LCEN de la même façon que l’hébergeur technique.
Une interprétation pourrait être que l’hébergeur technique est l’hébergeur du forum, tandis que l’exploitant est l’hébergeur de ses contenus. Cela reviendrait cependant à mettre en œuvre une distinction juridique qui n’a pas de réalité concrète : le forum n’est rien sans ses contenus, et la séparation notionnelle entre les fichiers de code bruts et l’ensemble constitué par le forum n’est tout simplement pas conforme à la réalité.
En définitive, un constat s’impose : il est possible d’avoir deux hébergeurs, au sens de la LCEN, d’un même contenu.
Si l’on en croit d’ailleurs cette décision de la Cour d’appel de Paris du 11 décembre 2009, il est même possible d’avoir TROIS hébergeurs d’un même contenu : l’hébergeur technique, le locataire d’un serveur dédié auprès de cet hébergeur technique, et l’exploitant du site. Merci à Cédric M. pour cette trouvaille.
Les conséquences de la qualification multiple
En y réfléchissant, cela est même souhaitable : pourquoi un hébergeur technique ou un exploitant de forum devrait-il voir sa responsabilité engagée sans bénéficier du régime de la LCEN, alors qu’aucun des deux, a priori, n’a de raison de connaitre les contenus mis en ligne par les utilisateurs ?
La question se renverse cependant assez aisément : qui, de l’hébergeur technique ou de l’exploitant de forum, devrait être tenu pour responsable en cas de contenu illicite ? Après tout, le régime de responsabilité allégée de la LCEN n’est bien que cela, un allègement de responsabilité, mais pas un régime d’irresponsabilité. L’hébergeur, lorsqu’il a été notifié de la présence d’un contenu manifestement illicite, est tenu de réagir promptement, sans quoi sa responsabilité pourra être engagée.
En appliquant ce régime de manière stricte, on déduit que la question de la répartition de responsabilité ne se pose que lorsque les deux hébergeurs ont été notifiés de la présence d’un contenu manifestement illicite et qu’ils n’ont pas réagi promptement. En effet, si seul un des deux hébergeurs est notifié, seule sa propre responsabilité peut être engagée, l’autre hébergeur bénéficiant toujours de la responsabilité allégée. Dans le cas où les deux hébergeurs sont notifiés et que le contenu est promptement retiré, l’obligation est exécutée et l’on ne peut décemment envisager de sanctionner le plus lent à agir.
Reste donc à déterminer la répartition de la responsabilité en cas de défaillance des deux hébergeurs. Ici, plusieurs options sont possibles. L’équité voudrait que les deux puissent être condamnés in solidum et que leur responsabilité soit de 50/50. On peut également arguer que l’hébergeur 2.0 étant le plus “proche” du contenu, en tant qu’exploitant direct de son site support, la responsabilité devrait être sienne. En l’absence de précisions textuelles, il est probable que ce genre de débats sera en fait réglé par le contrat d’hébergement du site liant l’hébergeur 2.0 à son hébergeur technique.
Outre les débats sur la responsabilité, la qualification multiple porte d’autres questions, car la LCEN elle-même traite d’autres sujets que de la responsabilité. Elle met en effet à la charge des hébergeurs certaines obligations, dont certaines sont personnelles et devront être accomplies par les deux hébergeurs (comme par exemple le concours à la lutte contre le terrorisme et la pédophilie, article 6-I. §7), tandis que d’autres sont relatives aux contenus eux-mêmes. Ainsi, l’article 6-II. dispose que les hébergeurs doivent conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“. La liste de ces données d’identification a été précisée par décret et comprend les informations suivantes :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
De la même manière, les hébergeurs doivent conserver certaines données “fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte“, comme “les pseudonymes utilisés” ou les données relatives aux mots de passe.
Force est de constater que certaines de ces informations ne peuvent tout simplement pas être conservées par l’hébergeur technique directement, celui-ci n’ayant pas la main sur le code permettant leur enregistrement. L’hébergeur technique n’a accès avec certitude qu’aux données comprises dans la requête HTTP qui demande l’affichage du contenu au serveur. Ainsi, “l’identifiant utilisé par l’auteur de l’opération” ou, de manière plus générale, toutes les données relatives à l’utilisation du site en lui-même doivent forcément être conservées par l’hébergeur 2.0.
La conservation de ces données a notamment pour but de permettre l’identification de l’auteur d’un contenu illicite aux fins de rechercher sa responsabilité : la LCEN dispose ainsi que “l’autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux [hébergeurs] des données“. Grâce au cumul de qualifications, la victime d’un contenu illicite pourra ainsi demander l’identification de l’auteur du contenu aux deux hébergeurs, s’assurant ainsi une plus grande chance d’obtenir les données.
La loi n’effectue pas ce genre de distinctions, mais une interprétation des textes favorable à une coexistence des hébergeurs pourrait aboutir à dire qu’à eux deux, les deux hébergeurs doivent être en mesure de fournir l’ensemble des données requises par la loi. A défaut, il s’agit à nouveau de prévoir des contrats entre ces deux hébergeurs pour régir le partage des obligations de collecte et de conservation de ces données, qui, soit dit en passant, constituent des données à caractère personnel, faisant potentiellement des deux hébergeurs des responsables conjoints de traitement.
Cohébergeurs, coresponsables de traitement – la notion d’hébergeur 2.0 est donc véritablement collaborative !