• Données personnelles

    par brm_admin

    Données de connexion et Hébergeur, l’identité des internautes en sursis ? – 25/06/2003

    Les 18 et 30 avril derniers, les associations « J’Accuse » et « UEJF » ont assigné en référé la société OVH (hébergeur) puis l’association « eDaama.org » titulaire du site « alfutuhat.edaama.org » pour avoir permis « la publique exposition sur le territoire de la République d’appels à la haine et à la violence (…) contraires à la dignité humaine » et « pour provocation à la discrimination, la haine et la violence à l’égard d’un groupe de personnes à raison de leur origine ou leur appartenance à une ethnie, nation, race ou religion déterminée1 ».

    L’acte d’huissier versé au débat par les demanderesses a révélé que l’association « eDaama.org », dont le site est hébergé par la société OVH, ne participait pas à la rédaction des messages incriminés publiés sur son site.

    Le rôle de l’association consistait à mettre gracieusement à la disposition des internautes son espace disque pour leurs publications.

    Les demanderesses, après avoir obtenu la suspension du site litigieux ainsi que l’identité de son titulaire auprès de l’hébergeur, ont donc maintenu à son encontre leur demande de communication du journal de connexions afin d’identifier les auteurs des propos incriminés sur le fondement de l’article 43-9 de la loi du 30 septembre 1986 (modifié par la loi du 1er août 2000).

    Aux termes de cet article, les hébergeurs sont en effet tenus de « détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elles sont prestataires.».

    Le Président du Tribunal de Grande Instance de Paris, après avoir constaté que l’hébergeur n’était pas en possession des login et mot de passe permettant l’accès au contenu du site et que l’association administrait elle-même le serveur loué, a estimé qu’il ne pouvait exiger de l’hébergeur qu’il détienne « non seulement [les données de connexion] permettant d’identifier tous ceux ayant éventuellement contribué à la création d’un contenu illicite, mais aussi les adresses réseau de l’ordinateur à partir duquel l’internaute se connecte à l’internet avant de consulter le contenu du site qui l’intéresse. ».

    Le juge de l’évidence a motivé son refus en raison de l’existence d’« une sérieuse contestation quant à la portée de [cette] obligation » générale ; contestation qui aurait du être levée par la publication d’un décret en Conseil d’Etat pris après avis de la CNIL précisant la nature des données d’identification ainsi que les modalités de leur conservation.

    En effet, même si l’on peut légitimement inclure les adresses IP au sein des données exigibles2 , il demeure un sérieux doute quant à l’obligation des hébergeurs de détenir et de conserver des données permettant d’identifier les internautes ayant simplement visité le site de l’un de ses abonnés.

    Une telle obligation serait certainement jugée contraire à la directive « commerce électronique » qui instaure à la charge des hébergeurs une obligation de « communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement3 », en l’espèce les internautes n’ont bien évidement conclu aucun contrat d’hébergement auprès d’OVH.

    Rappelons également que le projet de loi sur l’Economie numérique, actuellement en discussion au Sénat, pose le principe selon lequel les fournisseurs d’accès et les hébergeurs ne sont pas soumis à une obligation générale de surveiller les informations transmises ou stockées (nouvel article 43-11).

    En revanche, le Président du Tribunal de Grande Instante a retenu l’existence d’un motif légitime permettant d’ordonner à l’association et à son représentant légal de communiquer aux demanderesses les informations « permettant l’identification de toutes personnes ayant contribué à leur création y compris sous forme d’extraits des journaux de connexions qui y sont relatifs sous astreinte provisoire de 3000 € par infraction et jour de retard ».

    Cette solution a le mérite de respecter la chaîne des responsabilités en matière de publication et de prendre en compte les réalités techniques de l’espèce.

    1Tribunal de Grande Instance de Paris, Ord. Ref., 26 mai 2003, J’Accuse et UEJF c/ eDaama.org Association Internationale et M. N. M., disponible sur Juriscom.net
    2Délibération n° 01-018 du 3 mai 2001 portant avis de la CNIL sur le projet de loi sur la société de l’information.
    3Article 15 de la Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), JOCE, n° L 178, 17/07/2000, p. 0001 – 0016.