Update : 09/08/2012

Axel Beelen

Hbergeurs : quelles obligations de surveillance ?

Je m'tais attel l'autre jour lors de l'analyse de l'article de Ronan Hardouin vous dcrire les conditions de la mise en cause de la responsabilit des hbergeurs. Notre loi de 2003, transposition de la directive e-commerce, prvoit aussi que les hbergeurs ont l'obligation de collaborer avec les autorits comptentes pour lutter contre les changes illicites sur internet. Voici un petit billet pour mieux comprendre les conditions de cette obligation de collaboration. Textes lgaux I. Textes de la directive Section 4: Responsabilit des prestataires intermdiaires Article 14 Hbergement 1. Les tats membres veillent ce que, en cas de fourniture d'un service de la socit de l'information consistant stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockes la demande d'un destinataire du service condition que: a) le prestataire n'ait pas effectivement connaissance de l'activit ou de l'information illicites et, en ce qui concerne une demande en dommages et intrts, n'ait pas connaissance de faits ou de circonstances selon lesquels l'activit ou l'information illicite est apparente ou b) le prestataire, ds le moment o il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l'accs celles-ci impossible. 2. Le paragraphe 1 ne s'applique pas lorsque le destinataire du service agit sous l'autorit ou le contrle du prestataire. 3. Le prsent article n'affecte pas la possibilit, pour une juridiction ou une autorit administrative, conformment aux systmes juridiques des tats membres, d'exiger du prestataire qu'il mette un terme une violation ou qu'il prvienne une violation et n'affecte pas non plus la possibilit, pour les tats membres, d'instaurer des procdures rgissant le retrait de ces informations ou les actions pour en rendre l'accs impossible. Article 15 Absence d'obligation gnrale en matire de surveillance
1

Update : 09/08/2012

Axel Beelen

1. Les tats membres ne doivent pas imposer aux prestataires, pour la fourniture des services vise aux articles 12, 13 et 14, une obligation gnrale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation gnrale de rechercher activement des faits ou des circonstances rvlant des activits illicites. 2. Les tats membres peuvent instaurer, pour les prestataires de services de la socit de l'information, l'obligation d'informer promptement les autorits publiques comptentes d'activits illicites allgues qu'exerceraient les destinataires de leurs services ou d'informations illicites allgues que ces derniers fourniraient ou de communiquer aux autorits comptentes, leur demande, les informations permettant d'identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d'hbergement. Textes de la loi belge CHAPITRE VI. - Responsabilit des prestataires intermdiaires. Section 3. - Activit d'hbergement. Art. 20. 1er. En cas de fourniture d'un service de la socit de l'information consistant stocker des informations fournies par un destinataire du service, le prestataire n'est pas responsable des informations stockes la demande d'un destinataire du service condition : 1 qu'il n'ait pas une connaissance effective de l'activit ou de l'information illicite, ou, en ce qui concerne une action civile en rparation, qu'il n'ait pas connaissance de faits ou de circonstances laissant apparatre le caractre illicite de l'activit ou de l'information; ou 2 qu'il agisse promptement, ds le moment o il a de telles connaissances, pour retirer les informations ou rendre l'accs celles-ci impossible et pour autant qu'il agisse conformment la procdure prvue au 3. 2. Le 1er ne s'applique pas lorsque le destinataire du service agit sous l'autorit ou le contrle du prestataire. 3. Lorsque le prestataire a une connaissance effective d'une activit ou d'une information illicite, il les communique sur le champ au procureur du Roi qui prend les mesures utiles conformment l'article 39bis du Code d'instruction criminelle. Aussi longtemps que le procureur du Roi n'a pris aucune dcision concernant le copiage, l'inaccessibilit et le retrait des documents stocks dans un systme informatique, le prestataire peut uniquement prendre des mesures visant empcher l'accs aux informations. Section 4. - Obligations en matire de surveillance. Art. 21. 1er. Pour la fourniture des services viss aux articles 18, 19 et 20, les prestataires n'ont aucune obligation gnrale de surveiller les informations qu'ils transmettent ou stockent, ni aucune obligation gnrale de rechercher activement des faits ou des circonstances rvlant des activits illicites. Le principe nonc l'alina 1er ne vaut que pour les obligations caractre gnral. Il n'empche pas les autorits judiciaires comptentes d'imposer une obligation temporaire de surveillance dans un cas spcifique, lorsque cette possibilit est prvue par une loi. 2. (Les prestataires viss au 1er ont l'obligation d'informer sans dlai les autorits judiciaires ou administratives comptentes des activits illicites allgues qu'exerceraient les
2

Update : 09/08/2012

Axel Beelen

destinataires de leurs services, ou des informations illicites allgues que ces derniers fourniraient. Sans prjudice d'autres dispositions lgales ou rglementaires, les mmes prestataires sont tenus de communiquer aux autorits judiciaires ou administratives comptentes, leur demande, toutes les informations dont ils disposent et utiles la recherche et la constatation des infractions commises par leur intermdiaire.) <L 2005-07-20/41, art. 59, 003; En vigueur : 08-08-2005> Interprtation Paralllement donc leur rgime de responsabilit, les hbergeurs ont aussi une obligation de collaboration avec les autorits judiciaires. Toutefois, cette contrainte nquivaut nullement leur imposer une obligation gnrale et absolue de surveillance. Dans ses arrts Sabam contre Tiscali et Sabam contre Netlog, la CJEU a dfini lobligation gnrale de surveillance comme tant, par exemple, un systme de filtrage qui vise: des informations stockes sur les serveurs de lhbergeur par les utilisateurs de ses services ou qui transitent par les services du fournisseur daccs internet; qui sapplique indistinctement lgard de lensemble des utilisateurs; titre prventif; ses frais exclusifs, et sans limitation dans le temps, capable didentifier des fichiers lectroniques contenant des uvres musicales, cinmatographiques ou audiovisuelles sur lesquelles le demandeur prtend dtenir des droits de proprit intellectuelle, en vue de bloquer la mise disposition du public desdites uvres qui porte atteinte au droit dauteur. La surveillance a priori Conformment la directive europenne (et son art. 15), la lgislation belge ne prvoit aucune obligation gnrale de surveillance des informations transmises ou stockes. Elle nimpose pas davantage lhbergeur dobligation de recherche active des faits et des circonstances rvlant des activits illicites. Toutefois, rien nempche un hbergeur deffectuer de manire volontaire des contrles sur les sites quil hberge. Cette intervention peut lui permettre dasseoir sa crdibilit et son image de marque. Cest dailleurs un souhait du lgislateur communautaire travers le considrant 40 de la directive e-commerce. La collaboration a posteriori La loi belge prvoit quatre cas o lhbergeur est susceptible de devoir intervenir a postriori :

Update : 09/08/2012

Axel Beelen

1. lart. 20, 3 ; 2. lart. 21, 2, al. 1 ; 3. lart. 21, 2, al. 2 ; 4. 4. lart. 21, 1er , al. 2. 1. lart. 20, 3. Si le prestataire dhbergement na pas dobligation gnrale de surveillance, le lgislateur a ici prvu une certaine obligation dinformation sa charge puisque le 3 de larticle 20 de la loi (transposition de lart. 15.2 de la directive) prvoit que lorsque le prestataire a une connaissance effective dune activit ou dune information illicite, il les communique sur le champ au procureur du Roi qui prend les mesures utiles conformment larticle 39 bis du Code dinstruction criminel (relatif la saisie de donnes immatrielles). Toutefois, Aussi longtemps que le procureur du Roi n'a pris aucune dcision concernant le copiage, l'inaccessibilit et le retrait des documents stocks dans un systme informatique, le prestataire peut uniquement prendre des mesures visant empcher l'accs aux informations. . Lhbergeur pour tre exonr de responsabilit ne doit donc pas se contenter de retirer le contenu illicite quil pourrait constater sur son rseau mais doit en informer sur le champ le procureur du Roi. Le problme de linterprtation de lillicit de linformation diffuse est dautant plus dlicat que les modalits de notification du contenu illicite par les tiers nont pas t prcises par la loi, de sorte quil nexiste pas de rgle rgissant la manire dinformer lhbergeur. Lhbergeur pourrait donc avoir parfois du mal juger du caractre illicite de linformation diffuse sur le site hberg par lui. Cette disposition de la loi belge vite ainsi ce problme puisque ds que lhbergeur a connaissance dune activit ou dune information illicite, il lui suffit de les communiquer au Procureur du Roi. Si ce nest que, comme je lai dj mentionn dans un billet prcdent, le lgislateur a ici prcis que ce nest que lorsque lhbergeur a une connaissance effective dune activit ou dune information illicite quil devra prvenir le Procureur du Roi. Et que cet adjectif effective renvoi au 1 de lart. 20, 1er qui prcise les conditions pour que lhbergeur puisse voir sa responsabilit engage et notamment quil ne doit pas avoir une connaissance effective de lactivit ou de linformation illicite. Ladjectif effective (comme lavait rappel Ronan Hardouin) renvoyant au cas o lhbergeur est prvenu par une autorit judiciaire. Et je me demandais sil y avait des cas/procdures o le juge prviendrait lhbergeur et o le Procureur du Roi ne serait pas au courant. Si la rponse est ngative, lutilisation par le lgislateur de cet adjectif lart. 20, 3 est malencontreux et inadquat. Si la rponse est positive alors oui. Mais cela nenlve pas le fait que les cas o lhbergeur doit prvenir le Procureur du Roi sont restreints de par lutilisation de cet adjectif effective au 3 de lart. 20.

Update : 09/08/2012

Axel Beelen

En effet, lhbergeur ne devra prvenir le Procureur du Roi que lorsquil a une connaissance effective que des informations illicites sont stocks sur ses serveurs. Il ne devra pas le prvenir lorsquil a simplement connaissance que des informations apparemment illicites sont stockes chez lui (la deuxime partie de lart. 20, 1er, 1). Mme si un utilisateur notifie lhbergeur que des informations que lutilisateur pense tre illicite sont stockes chez lhbergeur et que lhbergeur arrive la mme conclusion, est-ce que cela fait passer les informations apparemment illicites effectivement illicites ? Si nous considrons comme Ronan Hardouin que leffectif renvoi lintervention pralable dun juge, un hbergeur ntant pas un juge, mme si une information a t considre comme illicite par un hbergeur, elle en reste apparemment illicite tant quun juge ne la pas dcid autrement. Ds lors, dans ce cas, lhbergeur na pas lobligation de prvenir le Procureur du Roi. 2. lart. 21, 2, al. 1. Pour pallier au manque que je viens de dcrire, lart. 21, 2 de la loi belge de 2003 prvoit galement une situation a posteriori dans laquelle lhbergeur qui aurait connaissance dactivits illicites allgues exerces par les destinataires de ses services ou dinformations illicites allgues qui seraient fournies par ces derniers doit prvenir sans dlai les autorits judiciaires ou administratives comptentes. Cette situation on vient de le lire concerne le cas o lhbergeur a connaissance dinformations ou dactivits illicites allgues. Autrement dit, il sagit du cas o aprs avoir t prvenu/notifi par un utilisateur que des informations illicites sont stockes sur ses serveurs, lhbergeur, aprs tre parvenu la mme considration que lutilisateur (faisant ds lors passer linformation illicite notifie au stade dinformation illicite allgue = information illicite aussi pour moi hbergeur), doit prvenir sans dlai les autorits judiciaires ou administratives comptentes (la loi ne disant pas lesquelles). On pourrait toutefois, la stricte lecture de lart. 21, 2, al.1 considrer quil ne sapplique pas un hbergeur. En effet, il parle dactivits illicites allgues exerces et dinformations illicites fournies (conformment au texte de la directive). Mais nullement dinformations ou dactivits illicites stockes ou hberges. Si on considre donc que lart. 21, 2, al. 1 ne sapplique pas aux hbergeurs, il y a clairement un manque dans la loi belge puisque rien nest prvu pour les informations illicites allgues stockes sur les serveurs dun hbergeur mais uniquement le cas o un juge prvient lhbergeur du stockage chez lui dinformations illicites. Le refus de collaboration des hbergeurs est sanctionn pnalement (art. 26, 5, 3). 3. lart. 21, 2, al. 2. Lhbergeur devra galement communiquer aux autorits administratives ou judiciaires, la demande de celles-ci, les informations qui peuvent permettre didentifier les destinataires de leurs services avec qui un accord dhbergement a t conclu. Parmi ces renseignements, citons notamment le nom, ladresse IP, ladresse de courrier lectronique et le numro de carte bancaire. Cette liste peut tre complte par dautres dispositions lgales ou rglementaires. Toutefois, la loi (au contraire de la loi franaise) na pas ajout le fait que les hbergeurs devaient conserver toutes les donnes utiles lidentification de quelquun.

Update : 09/08/2012

Axel Beelen

Lart. 21, 2 a t modifi en 2005. Dornavant, lobligation de collaboration de lart. 21, 2 pse sur tous les prestataires intermdiaires exerant une ou plusieurs des activits vises par la loi et plus seulement sur ceux qui exercent une activit dhbergement uniquement et les informations dues en vertu de cet article, aux autorits administratives et judiciaires, ne se limitent pas seulement aux donnes didentification des destinataires des services et des prestataires concerns (souvent insuffisantes pour rechercher et constater une infraction) mais peuvent aussi viser dautres donnes permettant de dcouvrir lidentit prcise dune personne. Le refus de collaboration des hbergeurs est sanctionn pnalement (art. 26, 5, 3). Cette obligation de collaboration-ci sajoute celles auxquelles les hbergeurs sont galement soumis par ailleurs. En effet, lart. 21, 2, al. 2 sapplique sans prjudice dautres dispositions lgales ou rglementaires. Il sagit notamment des rgles visant lutter contre la criminalit informatique (loi du 28 novembre 2000 relative la criminalit informatique). On peut ainsi citer lart. 46bis du code dinstruction criminelle qui permet au Procureur du Roi de requrir dun oprateur de rseau de communication lectronique ou dun fournisseur de service de communication lectronique quil lui communique les donnes didentification des utilisateurs de leurs services. 4. lart. 21, 1er , al. 2. Conformment la directive europenne (art. 15 + considrant 47), la lgislation belge ne prvoit aucune obligation gnrale de surveillance des informations transmises ou stockes. Elle nimpose pas davantage lhbergeur dobligation de recherche active des faits et des circonstances rvlant des activits illicites. Ce principe gnrale est tempr par le fait que cette absence de surveillance ne vaut que pour les obligations caractre gnral . Ds lors, les autorits judiciaires comptentes pourraient dcider dimposer, dans un cas spcifique, une obligation temporaire de surveillance. Mais uniquement donc sous deux conditions : 1. il faut que cette obligation soit temporaire, ncessaire et cible sur certaines activits bien identifies ET 2. il faut au pralable une autorisation des autorits judiciaires comptentes. Cela pourrait concerner par exemple la sauvegarde de la sret de lEtat, la dfense et la scurit. Le refus de collaboration des hbergeurs est sanctionn pnalement (art. 26, 5, 3). Les difficults pratiques dun tel systme Plusieurs questions demeurent : 1. Quid de la manire dont lhbergeur aura connaissance de lillicit dune activit ou dune information (rappelons que la notification diffre selon quon se situe sur le plan pnal ou civil) ? ; 2. La loi ne prcise pas comment la notification doit tre ralise ; 3. Comment lhbergeur devra-t-il communiquer au procureur du Roi les informations illicites dont il aurait eu effectivement connaissance ?
6

Update : 09/08/2012

Axel Beelen

4. Quid en cas dinertie du procureur du Roi ? 5. Sur quelle base, en matire civile, lhbergeur pourra-t-il apprcier si linformation est licite ou pas (car dans ce cas, il doit agir promptement pour rendre laccs linformation inoprant) ? car il engagera sa responsabilit si finalement linformation se rvle licite. Il serait plus sage quun magistrat intervienne ici aussi ; 6. Il faudrait instaurer au plus vite, tant sur le plan pnal que civil, des procdures de notice and take down. Les hbergeurs verraient leur rle et leurs actions plus transparents. De plus, les consommateurs seraient mieux informs sur la manire de porter la connaissance dun hbergeur une information quils estiment exister en fraude de leurs droits ; 7. Quid du respect de la vie prive lorsque, conformment lart. 21, 2 les informations sont demandes et par aprs transmises des autorits administratives ? 8. Lart. 87, 1 de la LDA permet-il aux autorits judiciaires comptentes dordonner des mesures de surveillance temporaires dans un cas spcifique de violation de la LDA (art. 21, 1, al. 2) ? (= art. 87, 1 est-il compris dans le lorsque cette possibilit est prvue par une loi de lart. 21, 1er, al. 2 qui permet alors au juge dordonner lhbergeur des mesures de surveillance temporaire dans un cas spcifique ?) ? La rponse cette question est assurment positive (voy. lart. 14.3 de la directive ecommerce et le paragraphe 30 de larrt Sabam de la CJUE du 24 novembre 2011). Les actions en cessation En droit interne Les consommateurs peuvent diligenter une action en justice sils estiment que leurs droits sont viols. Cette action, instaure par lart. 18 de la directive e-commerce, a t transpose par lart. 3 de la seconde loi du 11 mars 2003 dite loi article 77 . Cette action permet au consommateur de faire valoir ses droits en temps utile contre toute infraction aux dispositions de la loi du 11 mars 2003. Caractristiques Il sagit dune procdure comme en rfr qui dbouche sur une dcision au fond revtue de lautorit de la chose juge et pour laquelle aucune exigence durgence nest requise. Laction peut tre intente par les titulaires vises lart. 98, 1er de la LPCC (Test-Achats). Lorsque le prsident (soit du tribunal de premire instance ou du tribunal de commerce) constate lexistence dune infraction la loi du 11 mars 2003, il peut en ordonner la cessation. Il peut accorder au contrevenant un dlai pour arrter linfraction ou cesser lactivit. Niveau communautaire La loi du 26 mai 2002 a introduit dans notre droit national le mcanisme de laction en cessation intracommunautaire transposant la directive 98/27/CE qui ne visent que les infractions lintrt collectif.

Update : 09/08/2012

Axel Beelen

Laction ne peut tre diligente que par les entits qualifies comme Test-Achats. Laction doit tre introduite auprs du prsident du tribunal de commerce de Bruxelles. Elle est forme et instruite selon les formes du rfr. Le prsident constate linfraction et en ordonne la cessation.