Les juristes et les avocats qui conseillent les entreprises déployant tout ou partie de leur activité sur Internet savent l’importance que revêt la question de la définition juridique de l’hébergeur de contenus et du régime de responsabilité qui lui est associé, puisque au-delà de cet acteur, c’est sur tout l’écosystème du web, et en premier lieu les éditeurs de services et contenus, que rejaillit en filigrane cet effort de définition.

Il est utile de rappeler au lecteur néophyte la distinction fondamentale qu’opère notre droit entre les principaux acteurs du web.

Il y a en premier lieu ceux qui produisent et mettent à la disposition du public ce que l’on a coutume d’appeler aujourd’hui des « contenus », c’est-à-dire des textes, des images, musiques, sons, vidéos, programmes, applications, sites internet, etc. La seconde catégorie regroupe ceux qui en assurent le stockage nécessaire à leur diffusion, qu’il s’agisse de celui qui fournit le stockage physique (les serveurs) ou purement numérique (un espace virtuel).

Les premiers sont appelés éditeurs et sont en principe responsables de ce qu’ils prennent l’initiative de rendre public dans les conditions de droit commun (art. 1240 et 1241 C. civ. fondements de la responsabilité civile délictuelle, loi du 29 juillet 1881 sur la liberté de la presse, loi Informatique et liberté n° 78-17 du 1er janvier 1978, etc.) et les autres sont des hébergeurs, dont l’irresponsabilité de principe est motivée par la passivité de leur rôle ; passivité qui se traduit par leur méconnaissance et leur absence de contrôle de ces contenus auxquels ils ne font normalement subir que des manipulations techniques (enregistrement, sauvegarde, encodage, classification, formatage, organisation, tri, indexation, etc.) à l’exclusion de toute sélection.

En pratique, sont donc qualifiables d’hébergeurs les prestataires suivants : les hébergeurs de sites web (OVH, Hostinger, Ikoula, etc.), les plateformes de partage de contenus (Youtube, DailyMotion, Wikipedia, etc.), les réseaux sociaux (Facebook, Instagram, LinkedIn, Tweeter, etc.), mais également les prestataires de référencement, les sites d’annonces (LeBonCoin, eBay, etc.) et les forums de discussion, à condition pour ces deux derniers que l’administrateur n’opère pas de modération a priori, laquelle reviendrait à sélectionner les contenus postés par les utilisateurs.

Il y a bien une troisième catégorie d’acteurs constituée des fournisseurs d’accès à Internet (FAI), qui n’est cependant pas au cœur de cette problématique, dans la mesure où leur rôle technique est davantage figé, donc mieux défini, que celui des hébergeurs.

La distinction qui nous intéresse est en partie fixée par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, qui définit l’hébergeur comme celui qui fournit une prestation de « mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (Loi n° 2004-575, 21 juin 2004, art. 6-I, 2°). Quant aux éditeurs, ils sont laconiquement définis comme ceux qui « éditent un service de communication au public en ligne » (Loi n° 2004-575, 21 juin 2004, art. 6-III, 1°).

C’est essentiellement l’effort des juridictions qui a permis de définir de façon plus précise la notion d’hébergeur et par conséquent de dessiner en négatif celle d’éditeur. En effet, avant que la jurisprudence ne vienne l’affiner, la définition légale de l’hébergeur n’était pas complètement satisfaisante, car en pratique la frontière entre la notion d’hébergeur et celle d’éditeur était source de fréquents contentieux dans le cadre desquels des éditeurs tentaient d’échapper ou d’atténuer leur responsabilité en revendiquant la qualité d’hébergeur. Un tel flou faisait également peser sur les acteurs du web une insécurité procédant de l’incertitude sur le régime juridique qu’ils devaient considérer comme étant applicable à leur activité. Il arrive néanmoins que cette difficulté ressurgisse, notamment lorsque l’hébergeur propose des prestations annexes qui ne relèvent pas de son cœur de métier.

Quoi de neuf en la matière ?

L’hébergeur tel que défini par la LCEN et précisée par la jurisprudence, concerne tous les hébergeurs sans distinction entre des sous-catégories. Les trois évolutions récentes exposées ci-après semblent cependant annoncer dans un proche avenir la disparition de la conception unitaire du régime juridique de l’hébergeur.

L’arrêt Eva Glawischnig-Piesczek contre Facebook Ireland Limited, rendu par la Cour de Justice de l’Union Européenne le 3 octobre 2019 constitue la première nouveauté.
Une députée autrichienne se plaignait de voir un utilisateur de Facebook publier un commentaire rédigé dans des termes jugés illicites par le juge national autrichien. L’une des questions examinées par l’arrêt était celle de savoir si l’injonction de retirer le contenu litigieux devait se limiter au message et à ses reproductions ultérieures à l’identique ou si elle pouvait également s’étendre à des versions équivalentes de ce message.

Dans le premier cas, la victime n’a pas d’autre choix que d’adresser une nouvelle requête au réseau social chaque fois que le message est partagé ou repris. Le second cas semble certes plus favorable à la victime des propos, mais il présente une difficulté : on se demande s’il n’impose pas alors une obligation de surveillance un peu trop lourde au réseau social.

La CJUE réaffirma cependant qu’il n’était pas question de faire peser sur ce dernier une obligation de surveillance générale. Elle estima néanmoins qu’un hébergeur peut se voir enjoindre de collaborer activement à l’identification et la suppression de contenus équivalents au contenu illicite initial à condition de lui donner les éléments nécessaires à cette analyse afin de ne pas l’obliger à procéder à une appréciation autonome et non automatisée des messages qu’il doit considérer comme étant une reprise de la substance illicite du message d’origine.

Au-delà de la nouvelle obligation de surveillance très spécifique qui se profile, on notera que la CJUE amorce de fait une distinction entre le régime juridique applicable aux réseaux sociaux et celui applicable aux autres hébergeurs, puisqu’elle explique très clairement que c’est la spécificité des services offerts aux utilisateurs par les réseaux sociaux qui motive sa décision. Elle constate en effet qu’un réseau social facilite la transmission rapide des informations stockées par la plateforme entre ses différents utilisateurs, de sorte qu’il est très probable qu’une information ayant été qualifiée d’illicite soit ultérieurement reproduite et partagée par d’autres utilisateurs de la même plateforme.

La seconde nouveauté réside dans la directive sur le droit d’auteur dans le marché unique numérique publiée au Journal Officiel de l’Union européenne du 17 mai 2019.
Ce nouveau texte permet aux créateurs de contenus et à leurs ayants droit – notamment les éditeurs au sens économique du terme, essentiellement les sociétés collectives de gestion des droits d’auteurs et les éditeurs de livres et de presse – de percevoir une plus grande partie des revenus générés par la diffusion de leurs œuvres sur Internet. Il permet notamment aux éditeurs de presse de négocier des accords au nom des journalistes pour tout article utilisé par les agrégateurs de nouvelles.

Or ce texte s’applique spécifiquement aux « fournisseurs de services de partage de contenus en ligne » pour les actes de communication au public que ces fournisseurs réalisent, autrement dit YouTube, DailyMotion, Wikipedia, Dropbox, eBay, Netflix, GoogleNews, etc.

Quant à la troisième illustration de cette évolution, il s’agit de la proposition de loi visant à lutter contre la haine sur Internet portée par la députée LREM Laetitia Avia, adoptée le 9 juillet dernier par l’Assemblée Nationale et actuellement examinée en commissions par le Sénat.

En matière de coopération pour lutter contre les contenus odieux à travers un dispositif de signalement, cette proposition de loi va un peu plus loin que la LCEN dans sa rédaction actuelle (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 2 et 3) en élargissant la liste des contenus haineux à l’incitation à la discrimination et à l’injure, mais également en imposant que les propos soient retirés, rendus inaccessibles ou déréférencés dans un délai de 24 heures.

On notera que cette proposition de loi participe également au mouvement d’élaboration d’un régime juridique différencié entre catégories d’hébergeurs, puisqu’elle vise clairement les réseaux sociaux, les encyclopédies en ligne comme Wikipedia et les moteurs de recherche.

Chronologie des étapes clés.

La responsabilité des acteurs d’Internet fut abordée par une directive n°2000/31CE du Parlement Européen du 12 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur. Le régime dérogatoire qu’elle pose vise à concilier la neutralité du net, la liberté d’expression et la lutte contre les contenus illicites sur Internet. La France procéda à sa transposition par la LCEN du 21 juin 2004, qui prévoit le principe de l’irresponsabilité civile et pénale de l’hébergeur concernant les contenus hébergés en sa qualité d’intermédiaire technique, ainsi qu’une responsabilité par exception dans un certain nombre de cas, notamment lorsqu’il est averti du contenu illicite d’un site et qu’il n’en suspend pas promptement l’accès.

Par la suite, deux décrets (Décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques et Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne) sont venus réglementer les obligations pesant sur l’hébergeur en matière de conservation des données permettant l’identification des éditeurs de contenus. Ces textes règlementaires furent en parallèle complétés par les apports de la loi n°2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et la régularisation des secteurs des jeux d’argent et de hasard en ligne, qui impose aux hébergeurs de collaborer à la poursuite des sites opérant sans l’agrément délivré par l’Autorité de régulation des jeux en ligne (ARJEL).

Puis ce fut au tour de la jurisprudence d’affiner la définition de l’hébergeur ainsi que le régime juridique qui lui est applicable.

Parmi les arrêts significatifs, il y eut d’abord l’arrêt Tiscali (Civ. 1ère, 14 janvier 2010, n°06-18855) qui affirma une conception très restrictive du rôle de l’hébergeur, qui d’après la Cour de cassation ne pouvait prétendre à ce statut relativement au service de création de pages personnelles qu’il offrait à l’internaute et de fourniture aux annonceurs d’espaces publicitaires payants dont il assurait la gestion. Puis, la CJUE, estima que « la qualification d’hébergeur ne doit reposer que sur la vérification de l’absence de connaissance ou de contrôle des données qu’il stocke » (CJUE, 23 octobre 2010, Google France et Google Inc c/ Louis Vuitton Malletier, Viaticum, Luteciel et CNRRH, n°C-236/08).

A la suite de ce dernier arrêt, la Cour de cassation a donc abandonné sa jurisprudence Tiscali à travers deux arrêts, les décisions « DailyMotion » et « Fuzz » (Civ. 1ère, 17 février 2011, n°09-67896 et Civ. 1ère, 17 février 2011, n°09-13202), qui précisent que le propre de l’hébergeur est de s’en tenir à un rôle passif dans la connaissance et le contrôle des données qu’ils stockent, ce qui suppose qu’il ne doit pas participer à la sélection de celles qui sont mise à la disposition des utilisateurs, et qu’il n’encoure la perte de ce statut ni lorsqu’il exploite lesdites données à des fins lucratives ni lorsqu’il effectue des prestations purement techniques notamment d’encodage, de rationalisation, de structuration, de classification, de formatage ou d’organisation de la présentation.

Par la suite, de nombreuses décisions des juridictions françaises et de l’Union Européenne énumérées par le présent article ont progressivement affiné les contours de ce régime.

Synthèse du régime juridique actuel.

Il ressort de l’évolution précédemment décrite un régime juridique des hébergeurs permettant de déterminer quand l’hébergeur devient responsable et, le cas échéant, les obligations qui découlent de cette responsabilité.

Comme nous l’avons dit, le principe est celui de l’irresponsabilité civile et pénale de l’hébergeur concernant les données et contenus qu’il stocke en sa qualité d’intermédiaire technique. Il résulte de ce principe qu’il n’est soumis à aucune obligation générale de surveillance, de filtrage a priori ou de recherche des faits ou des circonstances révélant des activités illicites relativement aux données et contenus qu’il héberge (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 1).

 L’hébergeur devient cependant responsable d’un contenu lorsqu’il se trouve dans l’une des situations suivantes :

1. Il peut être prouvé qu’il a eu inévitablement connaissance par lui-même de ce qu’il hébergeait un contenu illicite, à condition qu’il s’agisse d’un contenu « manifestement illicite », qualification permettant de limiter sa responsabilité en matière d’appréciation et qui recouvre les propos racistes, négationnistes et la pornographie infantile, voire dans certains car les atteintes à la vie privée (Loi n° 2004-575, 21 juin 2004, art. 6-I, 3°, interprété par la décision Cons. const., 10 juin 2004, n° 2004-496 DC).

2. Il reçoit de la part d’un internaute une notification valide signalant l’illicéité d’un contenu qu’il héberge (Loi n° 2004-575, 21 juin 2004, art. 6-I, 3° et 5°).

3. Un contenu identique, dont il a connaissance de l’illicéité, est de nouveau rendu public par le biais du service qu’il offre aux internautes.
Le juge estime en effet que le simple retrait de publications successives du contenu litigieux n’est pas suffisant et qu’il faut empêcher purement et simplement que le contenu soit à nouveau rendu public (CA Paris, pôle 5, 1re ch., 9 mai 2012, n° 10/12711, TGI Paris, ch. 3, sect. 2, 19 octobre 2007, n° 06-11874 et CJUE, 12 juillet 2011, L’Oréal c/ eBay, n° C-324-09), à condition cependant que l’identification des nouvelles publications ne rende pas nécessaire un contrôle généralisé des contenus nouvellement publiés (Cass. 1re civ., 12 juillet 2012, n° 11-13666), ce qui pourrait présenter une difficulté pour les images et les vidéos dont il est encore difficile d’analyser le contenu de manière automatisée, autrement dit sans visionnage systématique par un être humain.
En revanche, lorsque le contenu n’est pas identique mais seulement équivalent au contenu illicite initial, pour pouvoir exiger de l’hébergeur pareil proactivité, il faut alors lui donner les éléments nécessaires à l’identification des résurgences du contenu illicite afin de ne pas l’obliger à procéder à une appréciation autonome et non automatisée des contenus considérés comme des reprises de la substance illicite du contenu d’origine (voir notre commentaire de l’arrêt Eva Glawischnig-Piesczek contre Facebook Ireland Limited, rendu par la CJUE le 3 octobre 2019).

4. L’hébergeur est lui-même à l’origine du contenu illicite (Cass. crim., 25 septembre 2012, n° 11-84224) ou plus généralement lorsque la personne qui a édité le contenu illicite s’avère avoir agi sous le contrôle et l’autorité de l’hébergeur (Loi n° 2004-575, 21 juin 2004, art. 6-I, 2°, al. 2).

5. Les contenus sont de nature pédopornographique ou constitutifs de provocations au terrorisme ou en font l’apologie et l’hébergeur reçoit une demande de l’autorité administrative (Loi n° 2004-575, 21 juin 2004, art. 6-1).

 Lorsqu’il devient responsable de données et contenus qu’il stocke, l’hébergeur doit se conformer à tout ou parties des obligations suivantes :
1. Il doit de lui-même et promptement les retirer ou en rendre l’accès impossible au public (Loi n° 2004-575, 21 juin 2004, art. 6-I, 2° et 3°).

2. Il peut se voir imposer par l’autorité judiciaire une obligation de surveillance temporaire de contenus ciblés dont il a déjà connaissance et qu’il a préalablement retirés, afin notamment d’empêcher leur réapparition (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 2).

3. Lorsqu’il s’agit de contenus odieux qui lui ont été préalablement signalés, il doit les notifier aux autorités publiques compétentes (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 3 et 5).
Les contenus odieux sont les suivants : l’apologie des délits d’atteintes volontaires à la vie, d’atteintes volontaires à l’intégrité de la personne, d’agressions sexuelles, d’extorsions, de destructions, de dégradations et de détériorations volontaires dangereuses pour les personnes, l’apologie du terrorisme, des crimes de guerre, des crimes contre l’humanité, des crimes de réduction en esclavage ou d’exploitation d’une personne réduite en esclavage ou des crimes et délits de collaboration avec l’ennemi, la provocation à la discrimination, à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée, la provocation à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap, la diffusion d’images pédopornographiques, les propos constitutifs de harcèlement sexuel, les messages violents, incitant au terrorisme, pornographiques ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger et ceux révélant une activité de traite d’êtres humains ou de proxénétisme (Loi du 29 juillet 1881 sur la liberté de la presse, art. 24, et art. 222-33, 225-4-1, 225-5, 225-6, 227-23 et 227-24 et 421-2-5 C. pén.).
Il doit par ailleurs rendre publics les moyens qu’il consacre à la lutte contre ces activités illicites.

 Par ailleurs, indépendamment de son éventuelle responsabilité à l’égard de contenus qu’il héberge, l’hébergeur doit mettre en œuvre un certain nombre de mesures préventives ou permettant de faciliter la lutte contre les contenus illicites :

1. Il doit mettre en place un dispositif de signalement facilement accessible et visible permettant à toute personne de l’informer de la présence de contenus odieux, tels que précédemment définis. Le manquement à cette obligation est puni de peines d’emprisonnement, d’amende et d’interdiction d’exercice d’activité (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 4).

2. L’autorité judiciaire ou administrative peut requérir sa coopération afin de rendre effective des décisions d’arrêt de service de communication au public en ligne, telles que le blocage d’un site ou d’une page dans les domaines de la lutte contre l’apologie et la provocation au terrorisme, contre la pornographie infantile ou les atteintes au droit d’auteur et de manière générale contre tout trouble manifestement illicite (Loi n° 2004-575, 21 juin 2004, art. 6-I, 8° et 6-1, 706-23 C. proc. pén. et art. L. 336-2 CPI).

3. Il doit par ailleurs sensibiliser les internautes sur le fait que le piratage nuit à la création artistique, lorsqu’il offre de télécharger des fichiers dont il n’est pas le fournisseur (Loi n° 2004-575, 21 juin 2004, art. 7), il doit signaler à ses abonnés les sites et applications tenus pour répréhensibles par les autorités publiques en matière de jeux et paris en ligne et les sensibiliser aux risques encourus par eux du fait d’actes de jeux et de ventes à distance de produits du tabac réalisés en violation de la loi (Loi n° 2004-575, 21 juin 2004, art. 6-I, 7°, al. 6 et 7).

4. Il doit conserver les données de connexion pendant une durée d’un an avant de les anonymiser et il doit les communiquer à l’autorité judiciaire sur demande de cette dernière (art. L. 34-1, III CPCE).