» Acquisition

Prévenir des actes de cybercriminalité dans un contexte professionnel


actualités

Dans le but de se protéger contre les attaques externes et internes pénalement qualifiées, il s’agit de connaître les acteurs de la cybercriminalité, acteurs qui sont soumis à des règles très particulières de responsabilité (Section 1).

Cette connaissance permet d’adopter une réaction pertinente face à ces agissements, par le biais de signalements auprès d’organismes précis, signalement qui entraîneront, la plupart du temps, la mise en mouvement de l’action publique, la sanction pénale étant, pour la société, le moyen le plus sur de se protéger contre les attaques de cybercriminalité (Section 2).

Section 1. Les règles de responsabilité propres aux infractions de cybercriminalité

C’est la Directive du Parlement européen et du Conseil du 8 juin 2000 qui a fixé la responsabilité des différents acteurs d’internet. La France a opéré la transposition de cette Directive par la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Mais au regard de l’abondance de la jurisprudence intervenue en matière de responsabilité des intermédiaires techniques et des éditeurs de contenus, il apparaît que le texte n’est pas exempt de critiques. Il manque essentiellement de précisions et n’est pas parfaitement adapté à l’évolution du web 2.0. Il paraît donc particulièrement délicat d’opérer des classifications pertinentes dans ce domaine, mais il est possible d’opposer, sans risque, les intermédiaires techniques aux internautes.

§1. Les intermédiaires techniques

Les intermédiaires techniques visés par la loi pour la confiance dans l'économie numérique sont nombreux, et seront envisagés séparément. Il peut en être distingué cinq catégories.

A. Les opérateurs de télécommunication

L'opérateur défini par l'article L. 32 du Code des postes et des communications électroniques, désigne « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques » ; ainsi, France Télécom est un opérateur de télécommunication.

La loi pour la confiance dans l'économie numérique a posé le principe d'une exonération de responsabilité civile ou pénale à son égard, sauf s'il est « à l'origine de la demande de transmission litigieuse », s'il « sélectionne le destinataire de la transmission » ou s'il « sélectionne ou modifie les contenus faisant l'objet de la transmission », Art. L. 32-3-3 du Code des postes et des communications électroniques. Ce principe d'exonération constitue en fait une consécration législative de la position jurisprudentielle jusque-là adoptée (Voir en ce sens, TGI Paris, 9 mai 2003, ou TGI Paris, ord. Réf. 15 novembre 2004) et, est parfaitement conforme à ce que préconise la directive du 8 juin 2000.

Toutefois, les opérateurs opérant une activité de caching peuvent, dans une certaine mesure, voir leur responsabilité engagée. Certes, l’article L. 32-3-4 du Code des postes et communications électroniques pose le principe de son irresponsabilité civile et pénale à raison des contenus, mais sous certaines conditions.

Attention

Ainsi, cette responsabilité sera engagée si :

  • elle a modifié ces contenus,
  • elle ne s'est pas conformée à leur conditions d'accès et aux règles usuelles concernant leur mise à jour ou a entravé l'utilisation licite et usuelle de la technologie utilisée pour obtenir des données ;
  • ou encore si elle n'a pas agi avec promptitude pour retirer les contenus qu'elle a stockés ou pour en rendre l'accès impossible, dès qu'elle a effectivement eu connaissance,
    • soit du fait que les contenus transmis initialement ont été retirés du réseau, soit du fait que l'accès aux contenus transmis initialement a été rendu impossible,
    • soit du fait que les autorités judiciaires ont ordonné de retirer du réseau les contenus transmis initialement ou d'en rendre l'accès impossible.



B. Les fournisseurs d’accès à internet

Important


Les fournisseurs d'accès désignent, quant à eux, ceux « dont l'activité est d'offrir un accès à des services de communication au public » Art. 6.1.1 de la Loi du 21 juin 2004.


Ils offrent à leurs abonnés les moyens techniques d’accéder à internet.


Exemple

Serveurs proxy ; actuellement, le marché français est occupé par Orange, Free, SFR et Numéricable.



Attention

Dans la mesure où ces fournisseurs d’accès ne détiennent qu’un rôle technique, qu’ils ne fournissent pas l’information contenue dans un message, qu’ils ne disposent pas des moyens pour assurer un contrôle a priori sur les messages, mais se contentent de la relayer, ils ne sauraient voir leur responsabilité engagée du fait du contenu de ces messages (Voir en ce sens P. DEPREZ, V. FAUCHOUX) et la Cour de cassation confirme que les fournisseurs d'accès à internet peuvent se voir contraints de bloquer l'accès à un site internet si la dimension internationale du réseau empêche que l'hébergeur ou l'éditeur puissent être contraints de le faire (Cass. 1re civ., 19 juin 2008).



Il n’empêche que la jurisprudence estimant qu’ils ont la possibilité de faire cesser une information litigieuse, quand ils en ont connaissance, décide parfois de retenir leur responsabilité pénale lorsqu’ils n’ont pas agit en ce sens.

Jurisprudence


Voir par exemple :
  • TGI Paris, ord. réf. 23 mai 1996 ;
  • TGI Paris, ord. réf. 22 mai 2000.

Remarque

Par ailleurs, il faut remarquer que la jurisprudence adopte une conception large de la notion de fournisseur d’accès.

Le législateur fait donc peser sur eux un certain nombre d'obligations qui, en cas de manquement, sont susceptibles d'engager leur responsabilité pénale.


Exemple

Informer leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens, Article 6-I-1 de la LEN.

L’article 6.I.7 de la LCEN précise que les fournisseurs d’accès à internet ne sont pas soumis « à une obligation générale de surveiller les informations » qu’ils « transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».

Cependant, cette absence d'obligation générale de surveillance ne fait pas obstacle à une activité de surveillance ciblée et temporaire demandée par l'autorité judiciaire. Les alinéas 3 et 4 de l’article précité posent un cas particulier pour les contenus dits « sensibles » : la loi introduit, ainsi, une obligation spécifique de surveillance de certaines infractions, associée à une obligation de mettre en œuvre un mécanisme de notification.

Dans le même sens, les fournisseurs d'accès ont obligation de déférer aux décisions de justice destinées à faire cesser ou à prévenir un dommage. Ainsi, l'article 6.I.8 de la loi de 2004 énonce que « l'autorité judiciaire peut prescrire en référé ou sur requête, aux fournisseurs d'hébergement ou, à défaut, aux fournisseurs d'accès, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».

Quant à la mise en œuvre de cette disposition, il convient de faire application du principe generalia specialibus derogant et donc de retenir les dispositions de l'article 6.I.8 de la loi pour la confiance en l’économie numérique « lorsqu'un dommage causé se produit au moyen et sur le réseau internet », sans tenir compte des dispositions de la loi du 29 juillet 1881.

Enfin, la loi instaure également une obligation de surveillance limitée à la charge des fournisseurs d'accès afin de les impliquer dans la lutte contre les infractions les plus graves pouvant être commises sur internet, à savoir l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, la pornographie enfantine, l'incitation à la violence, les atteintes à la dignité humaine, les infractions de l'article 24, alinéas 5 et 8 de la Loi de 1881 et les infractions prévues aux article 227-23 et article 227-24 du Code pénal. Signalons, également, que le projet de Loi dit LOPSI présenté le 27 mai 2009 en Conseil des ministres, met à la charge des fournisseurs d’accès à internet l’obligation d’empêcher l’accès à des utilisateurs aux contenus illicites, et ce pour mieux lutter contre la pédopornographie , une liste de sites interdits leur sera communiquée sous forme d’arrêté et un décret précisera les conditions de mises en œuvre de cette mesure.

Afin de permettre la mise en œuvre de cette surveillance limitée, la loi impose aux fournisseurs d'accès et d'hébergement de mettre en place un dispositif de signalement.

En vertu de l'article L. 32-3-3 du Code des postes et communications électroniques, « toute personne assurant une activité de transmission de contenus sur un réseau de communications électroniques ou de fourniture d'accès à un réseau de communications électroniques ne peut voir sa responsabilité civile ou pénale engagée à raison de ces contenus que dans les cas, où soit elle est à l'origine de la demande de transmission litigieuse, soit elle sélectionne le destinataire de la transmission, soit elle sélectionne ou modifie les contenus faisant l'objet de la transmission ». Ainsi, le fournisseur d'accès comme l'opérateur sont, en principe, exonérés de toute responsabilité.

Toutefois, la responsabilité du fournisseur d'accès est engagée d'abord, lorsqu'il ne respecte pas les obligations prévues par la loi telles que l'obligation de mettre à disposition un dispositif de filtrage.

Ensuite, lorsque le fournisseur d'accès n'a pas « accompli les diligences normales » pour faire cesser un contenu illicite, il peut être déclaré pénalement responsable.


Exemple

Il en est ainsi, par exemple, lorsque l'autorité judiciaire prescrit en référé ou sur requête, au fournisseur d'hébergement, ou, à défaut, au fournisseur d'accès, « des mesures propres à interrompre l'accès, à partir du territoire français », au contenu d'un site illicite.

Enfin, le fournisseur d'accès est pénalement responsable lorsqu'il « est à l'origine de la transmission litigieuse », qu'il « sélectionne le destinataire de la transmission » ou qu'il « sélectionne ou modifie les contenus faisant l'objet de la transmission ».

Le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'activité de fournisseur d'accès, de ne pas satisfaire aux obligations définies à l'article 6.I.7, alinéas 4 et 5 de la loi pour la confiance dans l’économie numérique, est puni d'un an d'emprisonnement et de 75 000 € d'amende.
Les personnes morales peuvent être déclarées pénalement responsables de ces infractions. Outre la peine principale, les personnes morales encourent les peines prévues par l'article 131-39 alinéas 2 et 9 du Code pénal.

C. Les fournisseurs d’hébergement

Important

Les fournisseurs d'hébergement sont « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par les destinataires de ces services » Art. 6.1.2 de la Loi du 21 juin 2004.



Le rôle de l’hébergeur est d’assurer le stockage direct et permanent des informations, à la différence du caching qui est un stockage automatique, intermédiaire et temporaire (Art. 13 Dir. 8 juin 2000)).


Remarque

Il faut, toutefois, noter que les fournisseurs d'accès relèvent du régime applicable aux fournisseurs d’hébergement pour la partie de leurs activités d'hébergement, telles que les pages personnelles.

Attention

Les fournisseurs d'hébergement sont aujourd'hui soumis à un régime de responsabilité autonome.

La loi pour la confiance dans l'économie numérique a mis à la charge des fournisseurs d'hébergement trois types d'obligations qui ont essentiellement pour objectif de lutter contre certaines infractions commises sur internet. Ces trois obligations sont :

  • une obligation de surveillance,
  • la mise en place d'un dispositif de signalement,
  • et la mise en place d'un dispositif de filtrage.



Le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'activité de fournisseur d'hébergement ou d'accès, de ne pas satisfaire aux obligations définies à l'article 6.I.7, alinéas 4 et 5 de la loi pour la confiance dans l’économie numérique, est puni d'un an d'emprisonnement et de 75 000 € d'amende.

Les personnes morales peuvent être déclarées pénalement responsables de ces infractions. Outre la peine principale, les personnes morales encourent les peines prévues par l'article 131-39 alinéas 2 et 9 du Code pénal.

1. Les obligations mises à la charge des fournisseurs d’hébergement

Une obligation de surveillance et une obligation de mise en place d’un dispositif de filtrage sont à la charge des fournisseurs d’hébergement.

a) L’obligation de surveillance

Les fournisseurs d'hébergement ont obligation de déférer aux décisions de justice destinées à faire cesser ou à prévenir un dommage. Ainsi, l'article 6.1.8 de la loi de 2004 énonce que « l'autorité judiciaire peut prescrire en référé ou sur requête, aux fournisseurs d'hébergement ou, à défaut, aux fournisseurs d'accès, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».

Quant à la mise en œuvre de cette disposition, il convient de faire application du principe generalia specialibus derogant et donc de retenir les dispositions de l'article 6.1.8 de la loi pour la confiance en l’économie numérique « lorsqu'un dommage causé se produit au moyen et sur le réseau internet », sans tenir compte des dispositions de la loi du 29 juillet 1881.

La loi instaure également une obligation de surveillance limitée à la charge des fournisseurs d'hébergement afin de les impliquer dans la lutte contre les infractions les plus graves pouvant être commises sur internet, à savoir l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, la pornographie enfantine, l'incitation à la violence, les atteintes à la dignité humaine, les infractions de l'article 24, alinéas 5 et 8 de la Loi de 1881 et les infractions prévues aux articles 227-23 et 227-24 du code pénal.

Afin de permettre la mise en œuvre de cette surveillance limitée, la loi impose aux fournisseurs d'hébergement de mettre en place un dispositif de signalement.

b) La mise en place d’un dispositif de signalement

La loi impose aux fournisseurs d'hébergement de « mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données ». Une charte des prestataires de services d'hébergement en ligne et d'accès à internet en matière de lutte contre certains contenus spécifiques, dite « charte contre les contenus odieux », a été élaborée à l'initiative de l'Association des fournisseurs d'accès afin de mettre en œuvre les obligations posées par la loi. En 1997, l'Association des fournisseurs d'accès a créé un point de contact permettant à toute personne de signaler des contenus et activités illicites sur internet et expliquant toutes les procédures à suivre afin de signaler ces contenus aux autorités publiques compétentes (www.pointdecontact.net). Ils doivent également informer les autorités publiques - police ou le parquet - de l'existence de ces sites et rendre publics les moyens qu'ils consacrent à la lutte contre ces activités illicites, Art. 6.1.7, al. 4 de la LCEN. La loi exige donc des fournisseurs d'hébergement qu'ils consacrent des moyens à la lutte contre ces sites, sachant que ces moyens ne peuvent consister en une obligation générale de surveillance du réseau ou en la recherche d'activités illicites, puisque ces dernières sont expressément exclues par l'article 6.I.7, alinéa 1er de la loi de 2004. Les fournisseurs d'hébergement doivent, lorsque le contenu est manifestement illicite au sens de l'article 6.I.7 de la LCEN, procéder au retrait immédiat du contenu, sans attendre une décision de justice. Mais, lorsque ce n’est pas le cas, ils doivent simplement apprécier le caractère manifestement illicite des contenus, en se fondant sur les éléments avancés par les personnes qui se prétendent victime, ainsi, en matière de contrefaçon, Voir en ce sens, TGI Paris, 15 avril 2008.

La loi du 5 mars 2007 relative à la prévention de la délinquance impose, dans le cadre de la répression des activités illégales de jeux d'argent, aux fournisseurs d'accès et d'hébergement de mettre en place un dispositif facilement accessible et visible permettant de signaler à leurs abonnés les services de communication au public en ligne tenus pour répréhensibles par les autorités publiques compétentes en la matière. Ils informent également leurs abonnés des risques encourus par eux du fait d'actes de jeux réalisés en violation de la loi, Art. 6.1.7, al. 5 de la LCEN.

2. Le régime de responsabilité des fournisseurs d’hébergement

Avant la loi du 21 juin 2004, les fournisseurs d'hébergement, tels que définis par l'article 6.I.2 de cette loi, n'avaient pas de responsabilité relativement au contenu. C’est pourquoi, la Cour de cassation (Crim. 17 novembre 1992) et plusieurs juridictions du fond (Par exemple, CA Versailles, 8 juin 2000) ont écarté la responsabilité de l'hébergeur sur le contenu.

Mais, à la suite d’un arrêt de la Cour d’appel de Paris du 10 février 1999, de nombreuses décisions ont mis l'accent sur l'obligation générale de prudence et de diligence qui doit guider l'hébergeur.

L'article 6.1.3 de la loi du 21 juin 2004 précise que « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, de stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services, ne peuvent pas voir leur responsabilité pénale engagée à raison des informations stockées à la demande d'un destinataire de ces services si elles n'avaient effectivement pas connaissance de l'activité ou de l'information illicites ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l'accès impossible ». Par là, la loi de 2004 pose un principe d'irresponsabilité pénale de l'hébergeur quant au contenu. Toutefois, cette irresponsabilité s'efface lorsqu'il a connaissance de l'activité ou de l'information illicite et qu'il n'agit pas pour retirer ces informations ou en rendre l'accès impossible.

Tout d'abord, la loi pose une présomption de connaissance des faits litigieux par l'hébergeur lorsqu'il reçoit notification de différents éléments énumérés par la loi (Art. 6.1.5 de la LCEN), c'est-à-dire :

  • la date de la notification,
  • l'identité du notifiant, personne physique ou morale,
  • les noms ou dénomination et domicile ou siège social du destinataire,
  • la description des faits litigieux et leur localisation précise,
  • les motifs pour lesquels le contenu doit être retiré comprenant la mention des dispositions légales et des justifications de faits,
  • la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

Cette notification a un caractère facultatif, et elle est soumise à des appréciations variables par les juges du fond.

On constate, toutefois, une tendance à la déresponsabilisation des plateformes d'échanges vidéo qui avait déjà été annoncée par plusieurs décisions qui ont systématiquement écarté la qualité d'éditeur au profit de celle d’hébergeur.

Jurisprudence


On peut citer :

Il faut, néanmoins, relever que la jurisprudence utilise parfois une définition de l'hébergeur qui ne correspond pas à celle donnée dans la loi puisqu'il y est précisé que sont hébergeurs les personnes qui « mettent à la disposition du public ... » et non celles qui « pour mise à disposition du public ... » (TGI Paris, 15 avril 2008). Cela conduit à faire des hébergeurs des personnes qui mettent à disposition du public le stockage de données de toute nature, ce qui ne correspond plus du tout à la définition de la loi de 2004... Parfois d'ailleurs, le tribunal de grande instance de Paris semble carrément aller au-delà de la loi de 2004 en créant ce qu'il semble convenu d'appeler « une dispense de notification » (B. MAY).

Par ailleurs, lorsque le fournisseur d'hébergement a eu connaissance de l'activité ou de l'information illicite, il commet une faute si, d'une part, il persiste à la diffuser, et d'autre part, s'il n'agit pas promptement.

Quant à la faute en raison de la diffusion du contenu notifié comme illicite, le Conseil constitutionnel a précisé que les dispositions de l'article 6.I. 2 et 3 de la LCEN « ne sauraient avoir pour effet d'engager la responsabilité d'un hébergeur qui n'a pas retiré une information dénoncée comme illicite par un tiers si celle-ci ne présente pas manifestement un tel caractère ou si son retrait n'a pas été ordonné par un juge » Conseil constitutionnel, 10 juin 2004. Mais il faut alors s’interroger sur la notion de contenus « manifestement illicites », car le Conseil constitutionnel n'a pas précisé ce qu'il entendait par « manifestement illicite ». Dans l'application faite de ces dispositions, les juridictions ont eu tendance à retenir comme manifestement illicites les contenus dits odieux visés à l'article 6.I.7 de la LCEN, à savoir l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, la pornographie enfantine, l'incitation à la violence, les infractions prévues à l'article 24 alinéas 5 et 8, de la loi sur la presse, et les infractions prévues par les articles 227-23 et 227-24 du Code pénal.

Cette connaissance effective découle de la notification qui lui est faite par un tiers. Mais rien n'oblige le juge à se cantonner à ces contenus odieux.

Mais, le juge est amené à apprécier au cas par cas le caractère manifestement illicite d'une activité ou d'un contenu et le comportement de l'hébergeur à son égard, afin de se prononcer sur l'éventuelle responsabilité de ce dernier.

Or, la notification n'est qu'un moyen pour dénoncer le caractère illicite d'un contenu, étant précisé que l'hébergeur se doit d'agir dès lors qu'il en a connaissance, même en l'absence d'une quelconque notification.

L'hébergeur engage ensuite sa responsabilité quand il n'agit pas « promptement ». Là encore, le législateur n'a pas défini ce terme « promptement » ; il fait donc l'objet d'interprétations variables.

Il s'agit à chaque fois d'une appréciation in concreto du caractère prompt de l'intervention de l'hébergeur. Un jugement de première instance a précisé que le terme « promptement » devait être entendu comme signifiant « immédiatement », ce qui implique que dès la notification, le fournisseur d'hébergement doit procéder au retrait sans attendre une décision de justice (TGI Toulouse, ordonnance de référé, 13 mars 2008).

En conclusion, même si l'hébergeur n'a pas d'obligation de surveillance générale, « il est tenu à une obligation de surveillance, en quelque sorte particulière, à partir du moment où il a eu connaissance du caractère illicite du contenu » (T. com. Paris, 20 février 2008).

Malgré cette tendance prise par la jurisprudence, certains souhaiteraient pouvoir s'abriter derrière la qualité d'hébergeur.

-

D. Les fournisseurs de contenus

Important

Le fournisseur de contenu, appelé aussi éditeur, est défini par la jurisprudence comme « la personne qui détermine les contenus qui doivent être mis à la disposition du public sur le service qu'il a créé ou dont il a la charge » (TGI Paris, 3 juin 2008).



Le statut d'éditeur de contenu sur l'internet n'a rien de comparable avec celui d'éditeur en matière de presse dont le statut est défini par d'autres textes spéciaux, la loi du 29 juillet 1881 pour la presse écrite et celle du 29 juillet 1982, à laquelle s'est substituée la loi du 30 septembre 1986 sur la communication audiovisuelle, lois qui imposent d'autres règles que celles fixées par la loi de 2004.

Attention


L'article 6-III.1 de la loi de 2004 vise le cas de personnes éditeurs à titre professionnel et non-professionnel. De manière générale, la loi prévoit pour tout éditeur d'un service de communication au public par voie électronique, l'obligation de mettre à la disposition du public, dans un standard ouvert, des informations permettant de l'identifier.


La notion d’éditeurs professionnels n’est pas définie par la loi. Toutefois, celle-ci impose qu'ils s'identifient à l'égard des tiers. Sont visés tous les sites marchands, mais aussi les sites « à vocation professionnelle » (C. FERAL-SCHUHL). Ces éditeurs professionnels doivent mentionner sur leur site « leurs nom, prénom et domicile » s'il s'agit de personnes physiques, « leur dénomination ou raison sociale » s'il s'agit de personnes morales, le « nom du directeur de la publication » et, le cas échéant, celui du responsable de la rédaction ainsi que « le nom, la dénomination ou la raison sociale et l'adresse » du fournisseur d'hébergement. Ces mentions sont prescrites par la loi et sont sanctionnées, en cas de manquement, par un an d'emprisonnement et 75 000 € d'amende pour une personne physique ou pour le dirigeant de fait ou de droit d'une personne morale concernée Art. 6.VI, 2 de la LCEN. Les personnes morales sont également pénalement responsables et encourent, outre l'amende portée au quintuple, les peines mentionnées aux 2 et 9 de l'article 6.VI. 2 de la loi.

Quant aux éditeurs non-professionnels, il s'agit de particuliers qui créent un site internet en dehors de tout cadre professionnel. L'article 6.III, 2 de la loi de 2004 prévoit que « les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse » du fournisseur d'hébergement « sous réserve de lui avoir communiqué les éléments d'identification personnelle prévus au 1er ». En effet, la loi de 2004 impose aux fournisseurs d'hébergement de détenir et de conserver les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont ils sont prestataires. Cette obligation ne vaut que pour les fournisseurs d'hébergement français. Pour les autres, la loi impose aux fournisseurs d'accès de mettre à la disposition de leurs internautes, un moyen de restreindre l'accès à des services ou de les sélectionner.

E. Les forums de discussion

Important

Selon la définition donnée par la Commission générale de terminologie et de néologie, un forum de discussion est « un service permettant l'échange et la discussion sur un thème donné : chaque utilisateur peut lire à tout moment les interventions de tous les autres et apporter sa propre contribution sous forme d'articles ».



Attention


Dans l'application jurisprudentielle, on distingue les forums modérés a priori et les forums modérés a posteriori, afin de déterminer le régime de responsabilité applicable au gestionnaire du forum. Les forums modérés a priori visent les forums dans lesquels le gestionnaire de forum fait appel à un modérateur chargé de surveiller les échanges, de rappeler les règles à certains internautes, voire de supprimer certains messages illicites avant leur publication.


Dans cette première hypothèse, le modérateur intervient sur les contenus et devient, de ce fait, éditeur ou producteur des contenus en ligne (CA Paris, 10 mars 2005). Dans la mesure où le gestionnaire de forum de discussion exploite le contenu des messages postés par internet, il est tenu, comme tout fournisseur de contenu, de s'identifier à l'égard des tiers, Art. 6.III de la LCEN.

Attention

En revanche, dans la seconde hypothèse - le forum modéré a posteriori - les internautes sont libres de mettre en ligne les contenus qu'ils désirent. Le modérateur n'intervient ici que pour supprimer les contenus illicites ou litigieux qui pourraient lui être signalés. Dans ce cas, la jurisprudence retient majoritairement la qualification d'hébergeur puisqu'il ne fait que stocker le contenu fourni par les internautes et n'intervient qu’a posteriori.



Dans ces conditions, c’est cette qualification d'hébergeur au profit du gestionnaire de forum qui semble être privilégiée par la jurisprudence. Elle implique que le gestionnaire de forum, en sa qualité d'hébergeur, détienne et conserve les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu ou de l'un des contenus des services dont il est prestataire (Art. 6.II de la LCEN).


Remarque

Remarquons qu’il est parfois difficile de déterminer la qualité de la personne mise en cause et de lui appliquer le régime de responsabilité adéquat.



F. Les fournisseurs de moteur de recherche et de lien hypertexte

La Directive sur le commerce électronique ignore totalement les fournisseurs d'outils de recherche et d'hyperliens, en ne les définissant pas, tout comme la loi française qui n'en donne, elle non plus, aucune définition. Il faut alors se référer à des définitions données par la doctrine ou la jurisprudence.

Concernant le lien hypertexte, le Forum des droits de l'internet le définit comme « une connexion reliant des ressources accessibles par des réseaux de communication composée notamment des éléments suivants, visibles ou non pour l'utilisateur : élément actif ou activable, adresse de destination, conditions de présentation de la ressource liée ».

Important

Quant au moteur de recherche, la jurisprudence a précisé qu'il « ne crée pas de contenu et ne fait que donner aux internautes les réponses à la question posée par le biais du mot clé choisi par l'internaute lui-même et les adresses utiles pour arriver jusqu'à l'information désirée » (Affaire Lafesse précitée).



Attention

La question de la responsabilité pénale des outils de recherche (lien hypertexte et moteur de recherche) du fait du contenu illicite ou préjudiciable des sites référencés commence à se poser. Or, ni la Directive sur le commerce électronique, ni la loi pour la confiance dans l'économie numérique n'ont envisagé la question de la responsabilité pénale de ces fournisseurs de contenu. La jurisprudence a eu cependant à déterminer si le moteur de recherche pouvait se voir reprocher d'avoir indexé des sites illégaux et s'il devait vérifier le contenu de ces sites avant de les proposer en lien hypertexte ?



Quelques affaires permettent déjà de prendre la mesure de l'ampleur du contentieux potentiel. En fait, la jurisprudence transpose aux fournisseurs d'outils de recherche la solution applicable aux hébergeurs quant à la connaissance effective du caractère illicite ou préjudiciable des sites hébergés. Si l'illicéité du site ne peut pas être déterminée par le seul responsable du moteur de recherche, il ne peut, au nom de la liberté d'expression, supprimer le site ou le suspendre ; il doit le faire uniquement lorsqu'il est requis de le faire par les autorités judiciaires compétentes.

Le fournisseur de liens hypertextes pourrait également être poursuivi sur le terrain de la complicité, dès lorsque les éléments constitutifs sont réunis. Il semble cependant difficile d'établir l'élément intentionnel de la complicité. La jurisprudence, encore rare sur cette question, a donné quelques précisions et notamment que « l'envoi à un tiers majeur d'un message ne contenant que l'adresse d'un site et le lien permettant d'y accéder ne suffit pas à caractériser le délit prévu par l'article 227-24 du Code pénal » (Crim. 3 février 2004). On peut aussi considérer que le lien facilite l'accès à un site illicite mais qu'il ne contribue pas nécessairement à la réalisation de l'infraction.

§2. Les internautes : les blogueurs

Important

Le blog est défini par la commission générale de terminologie et de néologie comme un bloc-notes. Il s’agit d’un outil de communication au public en ligne par lequel l'internaute exprime ses avis et opinions, promeut des produits et services, ou encore réagit dans le cadre de sa vie personnelle ou professionnelle. Il est le symbole de la liberté d'expression par voie électronique.



D'ailleurs, face au « développement de l'utilisation par les particuliers, à titre privé, de sites web comme moyen de communication » (CNIL, Délibération du 22 novembre 2005), notamment les blogs, la CNIL a décidé en 2005 de les dispenser de déclaration.

Attention


Dans l'hypothèse de la mise en cause de sa responsabilité, comme pour le gestionnaire de forum, il est possible de raisonner de deux manières et de qualifier le blogueur, soit d'éditeur, soit d'hébergeur.


Tout d'abord, il peut être considéré comme l'éditeur d'un service de communication au public par voie électronique, puisqu’il est l'auteur du contenu de son blog.

Il doit alors se conformer à l'obligation d'identification prévue par l'article 6.III de la LCEN, même si le blogueur non-professionnel peut ne communiquer au public que son pseudonyme. L'hébergeur, lui, est tenu au secret professionnel et ne communique les éléments d'identification des éditeurs non-professionnels que si l'autorité judiciaire le requiert, Art. 6.III, 2 in fine de la LCEN. Dans la mesure où il est responsable du contenu qu'il édite sur son blog, le blogueur doit respecter toutes les règles issues de la loi sur la presse (comme la diffamation, l’injure, la provocation, etc.), les lois relatives à la propriété intellectuelle, ou encore celles relatives au respect de la vie privée d'une personne. En sa qualité d'éditeur, le régime de responsabilité applicable est celui d'un directeur de publication, lequel peut être poursuivi en qualité d'auteur principal lorsque le message fait l'objet d'une fixation préalable à sa communication au public. A défaut, dans le système de responsabilité en cascade, ce sera le producteur qui engagera sa responsabilité.

Comme pour le gestionnaire de forum, il est possible d'appréhender le blogueur comme un hébergeur puisqu'il « met à la disposition du public, par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services », Art. 6.I, 2 de la LCEN. Dans ce cas, il ne peut engager sa responsabilité pénale en raison des informations stockées s'il n'a effectivement pas connaissance de l'activité ou de l'information illicite, ou si, dès qu'il en a eu connaissance, il a agi promptement pour retirer ce contenu ou le rendre inaccessible. Toutefois, le statut d'hébergeur ne peut être totalement transposé au blogueur puisque ce dernier pourrait engager sa responsabilité en qualité de complice au sens de l'article 121-7 du Code pénal, lorsque le message n'a pas fait l'objet d'une fixation préalable. En d’autres termes, le blogueur pourrait être tenu d'une obligation générale de surveillance des contenus de son blog qui le différencierait du statut classique de responsabilité de l'hébergeur. Remarquons que le blogueur peut être mineur et il engagera alors éventuellement sa responsabilité pénale sur le fondement de l'article 122-8 du Code pénal.

Une fois dégagées les règles de responsabilités dérogatoires au droit commun régissant les infractions de cybercriminalité, doivent être exposées les règles de procédures elles aussi dérogatoires au droit commun.