À la recherche de la qualification juridique de Gmail


Vous vous levez un matin, attrapez votre smartphone, déroulez vos notifications, et ouvrez votre boite mail… pour y découvrir un mail d’un de vos proches qui vous alerte : quelqu’un usurpe votre identité ! Non-seulement la personne se fait passer pour vous en utilisant une adresse “nom.prenom@gmail.com” (alors que vous êtes l’heureux propriétaire de “prenom.nom@gmail.com”), mais en plus elle tente d’escroquer tous vos amis en prétendant que vous êtes dans le besoin et qu’il faut donc vous envoyer des bitcoins (en précisant évidemment une adresse Bitcoin qui n’a rien à voir avec la vôtre).

Toute votre réputation en jeu – c’est peut-être le moment de paniquer

Logiquement, vous appelez votre avocat, qui vous rassure d’un “pas de panique ! je gère”. Afin de faire cesser ces actes le plus rapidement possible, votre avocat va probablement utiliser les outils de Gmail pour faire fermer le compte en vertu de la politique d’utilisation de Gmail, mais ensuite ? Il s’agirait quand même de pouvoir agir contre l’usurpateur, afin d’engager sa responsabilité civile – vous pouvez évidemment porter plainte en vous constituant partie civile, mais les chances que votre plainte donne lieu à une enquête approfondie sont minces, et on n’est jamais si bien servi que par soi-même.

Il faut donc trouver un moyen d’obtenir les données d’identification auprès de Gmail, ce qui implique de déterminer si Gmail est soumis à une obligation de conservation de ces données (puisque, bien entendu, si ce n’était pas le cas, Gmail ne conserverait pas ces données personnelles au-delà de la durée nécessaire à la réalisation de la finalité de leur traitement, en responsable de traitement diligent 😉). Idéalement, vous souhaiteriez également que Gmail supprime les emails litigieux, ce qui implique de déterminer si Gmail est soumis à des obligations relatives aux contenus traités.

En bref, il s’agit de déterminer les règles applicables à Gmail, et donc sa qualification juridique. Ce qui semble être une simple affaire de lancer Google et de taper “qualification juridique Gmail” est en fait une véritable aventure.

Partons à la recherche de la qualification juridique de Gmail !

L’impasse de la loi pour la confiance dans l’économie numérique (LCEN)

Instinctivement, on pourrait se dire que Gmail étant un service en ligne très utilisé, sa qualification juridique sera celle d’un hébergeur, comme tous ces services du “web 2.0” collaboratif – après tout, quoi de plus collaboratif que l’email ? Or, il se trouve que non seulement les hébergeurs sont soumis à des obligations de retrait des contenus manifestement illicites sur notification, mais en sus ils sont également tenus de conserver certaines données d’identification pour une durée d’un an.

Reprenons donc la fameuse définition de l’hébergeur afin de déterminer si elle s’applique à Gmail : un hébergeur est défini comme une “personne physique ou morale qui assure, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services” (article 6.I.-2 de la LCEN).

Au moins deux problèmes se posent à la lecture de cette définition : il faut justifier d’un service de communication au public en ligne et de la mise à disposition du public de contenus fournis par les destinataires des services. L’article 1er de la LCEN définit la communication au public en ligne comme étant “toute transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur“.

Il y a donc une opposition entre la correspondance privée et la communication au public en ligne (ce qui a du sens, public et privé étant antonymes). Or, la correspondance privée est définie traditionnellement par la jurisprudence, les autorités de contrôle telles que la CNIL ou encore une circulaire du 17 février 1988, comme une communication “destinée exclusivement à une ou plusieurs personnes physiques ou morales, déterminées et individualisées“. L’email, qui consiste à échanger un message entre plusieurs personnes déterminées, est sans aucun doute une correspondance privée, ce que les tribunaux ont très rapidement confirmé. Les spams, dont l’intention est d’être diffusés le plus largement possible, n’échappent pas à cette définition, puisque malgré leur large portée, ils ne peuvent être adressés à une audience universelle et restent eux aussi destinés à des personnes physiques déterminées et individualisées.

Puisque les emails constituent une correspondance privée, un service d’emails tel que Gmail ne peut être considéré comme un service de communication au public en ligne, et donc son opérateur ne peut être considéré comme un hébergeur. De la même manière, le fait que l’hébergeur doit mettre des contenus à disposition du public pose problème : les emails ne sont pas mis à disposition du public, mais bien à la seule disposition de leurs destinataires (ce qui rejoint la notion de correspondance privée). Il ne fait ainsi aucun doute que Gmail n’est pas un service d’hébergement. Pour les mêmes raisons, Gmail ne peut être considéré comme un fournisseur d’accès, puisque ceux-ci fournissent un accès à des services de communication au public en ligne. Exit, donc, l’article 6 de la LCEN et ses décrets d’application.

La piste de la LCEN qui s’arrête brusquement

La porte entrouverte du Code des postes et des communications électroniques

Puisque la LCEN ne peut s’appliquer, il faut aller chercher notre qualification juridique autre part. Le Code des postes et des communications électroniques semble à ce titre être une bonne option.

L’article L.32 de ce Code dresse ainsi une liste de définitions, parmi lesquelles les “services de communications électroniques” sont définis comme “les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique“. Les communications électroniques, notion centrale de cette définition, sont elle-même définies comme “les émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par voie électromagnétique“. L’email, en tant que transmission et réception de contenus par voie électromagnétique, est donc susceptible de constituer une communication électronique. Partant, Gmail serait un opérateur de service de communications électroniques, puisque ces opérateurs soit “exploitent un réseau de communications électroniques ouvert au public“, soit “fournissent au public un service de communications électroniques“.

Or, il se trouve que la qualification nous serait bien utile : en effet, les opérateurs de communication électroniques sont eux aussi tenus à la conservation de certaines données d’identification pendant un an, notamment aux fins de la recherche des infractions pénales, et sont eux aussi soumis à un régime de responsabilité allégée par rapport aux contenus qu’ils font transiter. Si Gmail était un opérateur de communication électronique, il serait ainsi possible d’obtenir les données permettant d’identifier le fraudeur. Mais l’article L.33-1 dispose que les opérateurs de communications électroniques doivent se déclarer auprès de l’Autorité de Régulation des Communications Electroniques et des Postes (ARCEP), et Google ne figure pas sur la liste des opérateurs déclarés : oubli de la part du géant du net ou bien la qualification ne serait pas non plus la bonne ?

Malheureusement, il semble bien que nous nous trouvons dans le second cas. Dans un avis donné à propos d’un décret de mise en œuvre du recommandé électronique (PDF), l’ARCEP considère en effet que :

“les fournisseurs de messagerie électronique, qui relèvent de la correspondance privée au sens de l’article 1er la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ou les entreprises qui commercialisent des services en ligne qui relèvent de la communication au public en ligne au sens de ce même article, ne sont ni exploitants de réseaux de communications électroniques, ni fournisseurs de services de communications électroniques et ne sont par conséquent pas déclarés au titre de ces activités auprès de l’ARCEP.”

Cet avis confirme ainsi le caractère de correspondance privée de l’email (même si nous n’en doutions pas), tout en disposant très clairement que les fournisseurs de messagerie électronique tels que Gmail ne sont pas considérés comme des opérateurs de communications électroniques. Exit, donc, la piste de l’opérateur de communications électroniques.

Une fois de plus, le chemin emprunté ne mène qu’à l’échec

La voie du secret des correspondances privées

Si l’option du Code des postes n’a finalement pas été concluante, elle nous a cependant donné une nouvelle piste : celle du secret des correspondances privées.

Le secret des correspondances privées est un principe constitutionnel dérivé des articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen de 1789, comme l’a rappelé le Conseil constitutionnel à l’occasion d’une décision du 24 juillet 2015. En application de ce principe constitutionnel, le Code des postes a de longue date (dès sa création en 1990) prévu que les opérateurs de communications électroniques étaient tenus de respecter le secret des correspondances (article L.32-3), et une loi de 1991, désormais abrogée, prévoyait également un principe général de secret des correspondances émise par “la voie des communications électroniques“.

La loi pour une République numérique de 2016 est venue bousculer quelque peu le champ de cette obligation. Comme vu ci-dessus, les opérateurs de messagerie électronique ne sont pas considérés comme des opérateurs de communications électroniques, et cette disposition ne leur était donc pas applicable.

C’est dans ces conditions que la loi pour une République numérique a apporté plusieurs modifications au régime du secret des correspondances spécifiques aux opérateurs de messagerie électronique. Elle a tout d’abord introduit un nouvel alinéa qui dispose que “les fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances, ainsi que les membres de leur personnel, respectent le secret de celles-ci. Le secret couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance“.

Notons tout d’abord l’utilisation de la notion de “fournisseur de services de communication au public en ligne“, défini comme “toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne“. Il est étonnant que, pour inclure les services de messagerie électronique dans le champ d’application du secret des correspondances, le législateur ait choisi une formulation qui exclut par définition la correspondance privée, alors même que la loi de 1991 donnait un exemple de formulation.

Cette contradiction est d’ailleurs relevée dans les débats parlementaires et par l’ARCEP dans son avis sur le projet de loi, au sein desquels il est précisé que la définition “qui sert avant tout à désigner des personnes et non l’activité à laquelle s’applique le secret des correspondances, permet de prendre acte du caractère mixte de nombreux services en ligne, qui traitent à la fois de communications au public et de correspondances privées“. Ainsi, si l’activité de messagerie électronique de Gmail ne relève pas de la communication au public en ligne, le service Gmail en lui-même, en ce qu’il est accessible par tous, serait un service de communication au public en ligne et donc Google un fournisseur de tel service.

Il ressort de cette analyse que la notion de “service de communication au public en ligne” est utilisée pour désigner à peu près tout service en ligne, quelle que soit sa fonction, ce qui se rapproche de la notion de “service de la société de l’information” en droit européen. Il serait ainsi opportun de clarifier les définitions afin d’éviter toute potentielle contradiction telle que celle identifiée ici.

Le secret ainsi consacré ne fait cependant pas obstacle à la mise en place de systèmes automatisés de lutte contre le spam, ou, bien entendu, au traitement nécessaire pour l’affichage de ces correspondances : on ne peut interdire à Gmail d’utiliser le contenu de vos emails pour les afficher… La loi pour une République numérique prévoit enfin une interdiction de principe du traitement du contenu des correspondances à des fins publicitaires, statistiques ou d’amélioration du service, sauf si l’utilisateur consent à ce traitement tous les ans, de manière informée, spécifique et libre. La mise en oeuvre de ce consentement a semblé tellement ennuyeuse à Gmail que Google a simplement annoncé la suppression de toute analyse automatisée du contenu des emails à des fins publicitaires, et ce pour toute la Terre.

En pratique donc, on constate un principe de secret des correspondances et un régime applicable aux opérateurs de messagerie électronique pour certains traitements des métadonnées de ces correspondances. Ce secret connait des exceptions, notamment dans les cas prévus par le Code de la sécurité intérieure ou par le Code de procédure pénale, mais en l’absence de plus de précisions, certains auteurs considèrent ainsi que le secret est le seul régime applicable aux opérateurs de messagerie électronique, ce qui complique quelque peu notre tâche d’obtenir les données d’identification de notre usurpateur d’identité.

A gauche, nous. A droite, le secret des correspondances privées.

C’est pourquoi les demandes d’identification adressées à Gmail ou tout opérateur de messagerie électronique sont généralement effectuées au visa de l’article 145 du Code de procédure civile, qui prévoit que “s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé“. En se fondant sur ce texte, sur l’illicéité des actes commis par l’usurpateur, et sur les conditions générales de Gmail qui prévoient la conservation des informations d’identification du titulaire du compte pendant un certain temps, il est ainsi possible d’obtenir du juge une décision enjoignant à Google de communiquer les données permettant d’identifier l’usurpateur. Une piste qui marche, mais qui reste générale : n’y a-t-il donc pas de régime dédié ?

La réouverture de la porte de l’opérateur de communications électroniques

La porte entrouverte du Code des postes semble à cet égard pouvoir être rouverte, en grand cette fois, du fait des inflexions du droit européen. Dès l’étude du texte de la loi pour une République numérique, l’ARCEP s’avançait avec précaution à dire que les “services de courrier électronique, au regard notamment du cadre communautaire, semblent pouvoir être considérés comme des services de communications électroniques“.

Plus récemment, la Cour de justice de l’Union européenne a reçu une question préjudicielle provenant de l’Allemagne et portant précisément sur la qualification d’opérateur de communications électroniques de notre ami Gmail. L’ARCEP allemande soutient en effet que Gmail relève de sa juridiction, en tant justement qu’opérateur de communications électroniques, et la question est montée jusqu’aux plus hautes cours allemandes, qui ont choisi de saisir la CJUE pour trancher.

Or, le débat risque d’être tranché beaucoup plus rapidement que prévu et par voie législative, mais bien au niveau européen. En effet, le projet de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (dit “ePrivacy”) s’est saisi du sujet.

Le projet de Règlement ePrivacy définit les “services de communications électroniques” par renvoi à un autre projet de texte, celui de la Directive établissant le code des communications électroniques européen. Ces services y sont définis très largement comme comprenant notamment les services d’accès à Internet et les “service de communications interpersonnelles“, eux-mêmes définis comme étant des services qui permettent “l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, dans lesquels les personnes qui amorcent la communication ou y participent en déterminent le(s) destinataire(s)“. On comprend aisément à la lecture de cette définition que les services de messagerie électronique sont bien visés cette fois.

Ce projet ePrivacy, en cours de négociation sur de nombreux points “bloquants” relatifs à l’économie numérique, comme notamment les cookies, s’inscrit dans la lignée de la loi pour une République numérique en ce qui concerne le sujet qui nous intéresse ici. En effet, le principe de confidentialité des correspondances privées y est réaffirmé, avec notamment un principe d’anonymisation ou de suppression des métadonnées et des correspondances privées dès lors que celles-ci ont bien été transmises et reçues par le destinataire (sauf, bien sûr, si le destinataire souhaite les conserver).

L’article 11, par renvoi à l’article 23 du RGPD, prévoit toutefois la possibilité pour les Etats membres de prendre des mesures législatives pour préciser des limitations à ces principes, et notamment pour ouvrir l’accès aux données ainsi collectées aux fins de permettre “la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales” ou encore “l’exécution des demandes de droit civil“.

Ainsi, non seulement le projet de règlement ePrivacy vient-il combler le vide juridique jusqu’alors identifié en effectuant une synthèse entre les régimes que nous avons étudié, mais en plus il permet à chaque Etat, en fonction de ses spécificités locales, de prendre des mesures législatives visant notamment à régler notre cas d’usurpation d’identité. Ce projet de règlement n’est pas encore adopté, et lorsqu’il le sera, il faudra alors attendre en plus l’adaptation législative, mais nous voyons (enfin) poindre l’arrivée d’une qualification juridique pour Gmail, et d’un régime associé. Notre quête arrive donc à son terme.

Vous et nous à la fin de cet article

Aparté : que faire en cas d’usurpation d’identité par email ?


Au-delà de la question juridique de la qualification de Gmail, voici des pistes que vous pouvez suivre si jamais vous deviez être victime d’une usurpation d’identité telle que celle qui nous a servi d’exemple. Attention, il ne s’agit que de conseils généraux et aucunement d’une liste complète et exhaustive.

  1. Changez immédiatement tous vos mots de passe.  La plupart des usurpations d’identité ont lieu à la suite d’une opération de phishing réussie, et donc il faut rapidement sécuriser l’accès à vos comptes en ligne. Pensez peut-être à utiliser un gestionnaire de mots de passe.
  2. Obtenez la fermeture du compte Gmail litigieux. Il existe plusieurs formulaires en ligne, n’hésitez pas à en user et en abuser : ils envoient les notifications directement à Google, qui a des équipes dédiées. Voici le formulaire de signalement d’abus ; celui de signalement d’un email en particulier.
  3. Réunissez des preuves et portez plainte dans un commissariat.
  4. Choisissez un avocat et demandez conseil. Aucun cas n’est identique à un autre et nous ne voulons pas préjuger de ce qui vous sera conseillé. Il est courant de procéder par ordonnance sur requête fondée sur l’article 145 du Code de procédure civile pour obtenir les données d’identification ex parte, mais ce n’est pas forcément la meilleure option.

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs sont obligatoires.