Prévenir des actes de cybercriminalité dans un contexte professionnel

Les fournisseurs d'accès à internet

Important

Les fournisseurs d'accès désignent, quant à eux, ceux «  dont l'activité est d'offrir un accès à des services de communication au public » Art. 6.1.1 de la Loi du 21 juin 2004.

Ils offrent à leurs abonnés les moyens techniques d'accéder à internet.

Exemple

Serveurs proxy ; actuellement, le marché français est occupé par Orange, Free, SFR et Numéricable.

Attention

Dans la mesure où ces fournisseurs d'accès ne détiennent qu'un rôle technique, qu'ils ne fournissent pas l'information contenue dans un message, qu'ils ne disposent pas des moyens pour assurer un contrôle a priori sur les messages, mais se contentent de la relayer, ils ne sauraient voir leur responsabilité engagée du fait du contenu de ces messages (Voir en ce sens P. DEPREZ, V. FAUCHOUX) et la Cour de cassation confirme que les fournisseurs d'accès à internet peuvent se voir contraints de bloquer l'accès à un site internet si la dimension internationale du réseau empêche que l'hébergeur ou l'éditeur puissent être contraints de le faire (Cass. 1re civ., 19 juin 2008[1]).

En savoir plus : Cass. 1re civ., 19 juin 2008

Cass. 1re civ., 19 juin 2008 : dans cette affaire, la cour d'appel de Paris (CA Paris, 14e ch., 27 nov. 2006) avait confirmé l'injonction faite à huit fournisseurs d'accès de bloquer l'accès à un site négationniste francophone (TGI Paris, ord. réf., 13 juin 2005). Les conseillers ont exposé que, contrairement à ce que prétendent les fournisseurs d'accès, cette mesure de blocage n'épuise pas les actions contre l'hébergeur, seul techniquement à pouvoir supprimer intégralement le site litigieux. La Haute Juridiction affirme que c'est dans le respect de l'article 6, I de la loi pour la confiance en économie numérique, que la cour d'appel a décidé d'astreindre les fournisseurs d'accès, à défaut de l'hébergeur, à ces mesures de blocage admettant toutefois « qu'une telle mesure, pour imparfaite qu'elle soit, a le mérite de réduire, autant que faire se peut en l'état actuel de la technique, l'accès des internautes à un site illicite ».

Il n'empêche que la jurisprudence estimant qu'ils ont la possibilité de faire cesser une information litigieuse, quand ils en ont connaissance, décide parfois de retenir leur responsabilité pénale lorsqu'ils n'ont pas agit en ce sens.

Voir par exemple :

Remarque

Par ailleurs, il faut remarquer que la jurisprudence adopte une conception large de la notion de fournisseur d'accès.

En savoir plus : Décision de la CA du 4 février 2005

La Cour d'appel de Paris, dans une décision du 4 février 2005, a qualifié la société BNP Paribas de fournisseur d'accès, en relevant qu'une banque qui dispose d'adresses électroniques et gère des « flux de navigation » doit être considérée comme prestataire de services Internet ; elle doit à ce titre conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu de services dont elle est prestataire et communiquer ces données sur réquisitions judiciaires.

Le législateur fait donc peser sur eux un certain nombre d'obligations qui, en cas de manquement, sont susceptibles d'engager leur responsabilité pénale.

Exemple

Informer leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens, Article 6-I-1 de la LEN.

L'article 6.I.7 de la LCEN précise que les fournisseurs d'accès à internet ne sont pas soumis «  à une obligation générale de surveiller les informations » qu'ils « transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».

Cependant, cette absence d'obligation générale de surveillance ne fait pas obstacle à une activité de surveillance ciblée et temporaire demandée par l'autorité judiciaire. Les alinéas 3 et 4 de l'article précité posent un cas particulier pour les contenus dits « sensibles » : la loi introduit, ainsi, une obligation spécifique de surveillance de certaines infractions, associée à une obligation de mettre en œuvre un mécanisme de notification.

Dans le même sens, les fournisseurs d'accès ont obligation de déférer aux décisions de justice destinées à faire cesser ou à prévenir un dommage. Ainsi, l'article 6.I.8 de la loi de 2004 énonce que « l'autorité judiciaire peut prescrire en référé ou sur requête, aux fournisseurs d'hébergement ou, à défaut, aux fournisseurs d'accès, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».

Quant à la mise en œuvre de cette disposition, il convient de faire application du principe generalia specialibus derogant et donc de retenir les dispositions de l'article 6.I.8 de la loi pour la confiance en l'économie numérique « lorsqu'un dommage causé se produit au moyen et sur le réseau internet », sans tenir compte des dispositions de la loi du 29 juillet 1881[3].

Enfin, la loi instaure également une obligation de surveillance limitée à la charge des fournisseurs d'accès afin de les impliquer dans la lutte contre les infractions les plus graves pouvant être commises sur internet, à savoir l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, la pornographie enfantine, l'incitation à la violence, les atteintes à la dignité humaine, les infractions de l'article 24, alinéas 5 et 8 de la Loi de 1881 et les infractions prévues aux article 227-23 et article 227-24 du Code pénal. Signalons, également, que le projet de Loi dit LOPSI présenté le 27 mai 2009 en Conseil des ministres, met à la charge des fournisseurs d'accès à internet l'obligation d'empêcher l'accès à des utilisateurs aux contenus illicites, et ce pour mieux lutter contre la pédopornographie , une liste de sites interdits leur sera communiquée sous forme d'arrêté et un décret précisera les conditions de mises en œuvre de cette mesure.

Afin de permettre la mise en œuvre de cette surveillance limitée, la loi impose aux fournisseurs d'accès et d'hébergement de mettre en place un dispositif de signalement.

En vertu de l'article L. 32-3-3 du Code des postes et communications électroniques, « toute personne assurant une activité de transmission de contenus sur un réseau de communications électroniques ou de fourniture d'accès à un réseau de communications électroniques ne peut voir sa responsabilité civile ou pénale engagée à raison de ces contenus que dans les cas, où soit elle est à l'origine de la demande de transmission litigieuse, soit elle sélectionne le destinataire de la transmission, soit elle sélectionne ou modifie les contenus faisant l'objet de la transmission ». Ainsi, le fournisseur d'accès comme l'opérateur sont, en principe, exonérés de toute responsabilité.

Toutefois, la responsabilité du fournisseur d'accès est engagée d'abord, lorsqu'il ne respecte pas les obligations prévues par la loi telles que l'obligation de mettre à disposition un dispositif de filtrage.

Ensuite, lorsque le fournisseur d'accès n'a pas « accompli les diligences normales » pour faire cesser un contenu illicite, il peut être déclaré pénalement responsable.

Exemple

Il en est ainsi, par exemple, lorsque l'autorité judiciaire prescrit en référé ou sur requête, au fournisseur d'hébergement, ou, à défaut, au fournisseur d'accès, « des mesures propres à interrompre l'accès, à partir du territoire français », au contenu d'un site illicite.

En savoir plus : Contenu d'un site illicite

Le site de l'Association des anciens amateurs de récits de guerre et d'holocauste (Aaargh) diffusait sur le réseau internet, aux adresses « www.aaargh-international.org » et « www.vho.org/aaargh », une compilation d'écrits et de propos antisémites et révisionnistes qui pouvaient être téléchargés. Ce site, dont le contenu était constitutif d'infractions pénales, était manifestement illicite. La cour d'appel de Paris confirma l'ordonnance rendue dans cette affaire en soulignant que « les conditions d'application de ce principe de subsidiarité se trouvent remplies en l'espèce dès lors qu'il est démontré que les associations ont accompli les diligences nécessaires pour mettre en cause, par priorité, les sociétés prestataires d'hébergement et que toute possibilité d'agir efficacement à l'encontre de celles-ci s'avère objectivement vaine et en tout cas incompatible avec les exigences d'une procédure conçue pour la prise rapide de mesures dictées par l'intérêt général » (CA Paris, 24 novembre 2006).

Cette affaire posait donc le problème de la conciliation des dispositions relatives à la responsabilité des intermédiaires techniques et de la protection de la liberté d'expression. Le pourvoi en cassation formé à l'encontre de l'arrêt d'appel se fondait, entre autres, sur la violation de l'article 10 de la Convention Européenne des Droits de l'Homme dans la mesure où le critère de proportionnalité n'est pas respecté : peut-on, au nom de la lutte contre le racisme et la xénophobie, imposer au fournisseur d'accès ou d'hébergement d'empêcher l'accès à un contenu illicite ?

La Cour de cassation rejette le pourvoi et confirme, qu'en application de l'article 6.I.8 de la loi pour la confiance en l'économie numérique du 21 juin 2004, les fournisseurs d'accès à internet doivent être prêts à mettre en place des mesures de filtrage constitutives d'une obligation de moyen (Civ. 1er, 19 juin 2008) : « Si l'article 6, I, 2, de la loi n° 2004-575 du 21 juin 2004, conformément à la directive européenne n° 2000-31 du 8 juin 2000 qu'elle transpose, fait peser sur les seuls prestataires d'hébergement une éventuelle responsabilité civile du fait des activités ou informations stockées qu'ils mettent à la disposition du public en ligne, l'article 6, I, 8, prévoit que l'autorité judiciaire peut prescrire en référé ou sur requête à toute personne mentionnée au 2 (art. 6, I, 2 : les prestataires d'hébergement) ou à défaut à toute personne mentionnée au 1 (art. 6, I, 1 : les fournisseurs d'accès), toutes mesures propres à prévenir ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne. »

« La prescription de ces mesures n'est pas subordonnée à la mise en cause préalable des prestataires d'hébergement ».

Enfin, le fournisseur d'accès est pénalement responsable lorsqu'il « est à l'origine de la transmission litigieuse », qu'il « sélectionne le destinataire de la transmission » ou qu'il « sélectionne ou modifie les contenus faisant l'objet de la transmission ».

Le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'activité de fournisseur d'accès, de ne pas satisfaire aux obligations définies à l'article 6.I.7, alinéas 4 et 5 de la loi pour la confiance dans l'économie numérique, est puni d'un an d'emprisonnement et de 75 000 € d'amende.

Les personnes morales peuvent être déclarées pénalement responsables de ces infractions. Outre la peine principale, les personnes morales encourent les peines prévues par l'article 131-39 alinéas 2 et 9 du Code pénal.

  1. Date19/06/2008
    JuridictionCour de cassation chambre civile 1
    Pourvoi07-12244
    TypeNationale
    Résumé

    La prescription des mesures de l'article 6 I 8 de la loi du 21 juin 2004 n'est pas subordonnée à la mise en cause préalable des prestataires d'hébergement.

    Dès lors, une cour d'appel peut prescrire en référé ou sur requête à toute personne mentionnée au paragraphe 2 de ce texte (les hébergeurs) ou à défaut à toute personne mentionnées au paragraphe 1 (les fournisseurs d'accès), toutes mesures propres à prévenir ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne.

    Précédents jurisprudentiels : A rapprocher : 1re Civ., 13 mars 2007, pourvoi n° 06-10.983, Bull. 2007, I, n° 117 (cassation)

    Mots clésREFERE, Mesures conservatoires ou de remise en état, Trouble manifestement illicite, Applications diverses, Contenu illicite d'un service de communication au public en ligne, Procédure, Personne mise en cause, Définition, Prestataire d'hébergement ou fournisseur d'accès
    PublicationBulletin 2008, I, N° 178
    Numéro d'affaire07-12244
    Textes Appliqués

    article 6 I 8 de la loi n° 2004-575 du 21 juin 2004

    Consultez le texte
  2. Date22/05/2000
    JuridictionTribunal de Grande Instance de Paris
    TypeNationale
    Consultez le texte
  3. Descriptif simple

    Loi du 29 juillet 1881 sur la liberté de la presse

    Type de texteLoi
    Date29/07/1881
    Consultez le texte
PrécédentPrécédentSuivantSuivant
AccueilAccueilImprimerImprimer Martine Exposito - UNJF