Google bénéficie-t-il d’un droit de censure aux États-Unis ?

droit de censureLa Cour d’appel de San Francisco a-t-elle consacré le 26 février 2020 un droit de censure pour les géants technologiques ?

Selon Alain Bensoussan, interrogé par Frenchweb.fr, c’est plutôt une liberté éditoriale qu’a reconnue la juridiction californienne aux plateformes internet.

Relatant la décision de la Cour d’appel de San Francisco (Court of Appeals for the Ninth Circuit) rejetant le 26 février dernier la plainte d’un média conservateur, Prager University (1), qui accusait YouTube (racheté par Google en 2006) d’avoir enfreint le premier amendement de la Constitution qui régit notamment la liberté d’expression et de la presse, l’Agence France Presse a titré dans un communiqué largement repris par différents médias : « Google et autres réseaux privés ont bien le droit de censure aux États-Unis ».

A l’appui de sa décision, la Cour d’appel de San Francisco, rappelant que le Premier amendement de la Constitution américaine s’applique aux institutions gouvernementales et non aux entités privées, a estimé que « malgré ses deux milliards d’utilisateurs mensuels, YouTube, propriété de Google, reste un forum privé, pas un forum public soumis à l’examen de la justice en vertu du premier amendement » (2).

Décryptage des enjeux

Invité le 27 février 2020 par Laetitia Lienhart pour Frenchweb.fr à décrypter les enjeux de cette décision, Alain Bensoussan estime que plutôt qu’un droit de censure, c’est en réalité « la possibilité d’avoir une ligne éditoriale » que la juridiction californienne reconnaît par sa décision aux géants technologiques comme Google en leur permettant, sans enfreindre la Constitution américaine, de supprimer des contenus sur leurs plateformes internet.

Si YouTube s’est évidemment félicitée de la décision de la cour d’appel confirmant un jugement de première instance (United States District Court for the Northern District of California), de son côté, PragerU a déclaré ne pas vouloir en rester là : « Ce jugement est bien sûr une déception, mais nous n’allons pas abandonner la lutte et allons continuer à alerter le public sur la censure des idées conservatrices par les géants de la tech ».

Droit de censure v. liberté éditoriale

Peut-on pour autant réellement parler de censure, et surtout une telle solution pourrait-elle être envisagée en France à l’heure où d’aucuns veulent mettre les réseaux sociaux sous l’éteignoir ?

Alain Bensoussan voit plutôt dans cette décision une réelle avancée pour les plateformes : « Il ne s’agit pas de censure mais d’un choix éditorial, ce qui pose la question de leur responsabilité en tant qu’hébergeur de contenu »,

Et de rappeler qu’en France, « la règle c’est la liberté d’expression, et celle ci cesse lorsqu’elle porte atteinte à d’autres libertés (…). On ne hiérarchise pas la liberté d’expression avec la liberté il faut trouver des équilibres ».

A ses yeux, « les plateformes doivent respecter la liberté d’expression mais elles disposent également d’une possibilité de régulation lorsqu’elles considèrent que celle-ci porte atteinte à leurs règles ».

En réalité, selon Alain Bensoussan, plutôt que la liberté d’expression, c’est davantage la neutralité des plateformes qui est en jeu : « Aujourd’hui mises en accusation, les plateformes se doivent de réguler les informations qu’elles relayent ».

On s’éloigne alors de l’idée de neutralité des plateformes qui a jusqu’alors prévalu : « Si un contenu (une vidéo pour YouTube) porte atteinte à l’ordre public ou au bonnes mœurs, ou si elle favorise la discrimination ou l’appel à la haine, la plateforme doit pouvoir le retirer, soit spontanément, soit sur demande des personnes concernées ».

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

(1) US Court of Appeals, 9th Circuit 2020 No 18-15712, Prager University v. Google.
(2) « Despite YouTube’s ubiquity and its role as a public-facing platform, it remains a private forum, not a public forum subject to judicial scrutiny under the First Amendment » – Opinion du juge Margaret McKeown.




L’obligation de retrait de contenu illicite par l’hébergeur

retrait de contenu illicite

La portée de l’obligation de retrait de contenu illicite par l’hébergeur est recadrée par la Cour de justice de l’Union européenne (CJUE) .

En l’espèce, un utilisateur de Facebook a publié des propos insultants à l’égard d’une personnalité politique autrichienne. Ces faits ont été condamnés par les juridictions nationales autrichiennes. La Cour suprême autrichienne a posé plusieurs questions préjudicielles à la CJUE. Elle désire notamment savoir si, outre la suppression des contenus identiques à celui jugé illicite, l’hébergeur doit procéder à la suppression de contenus équivalents. En outre, la juridiction suprême souhaite savoir si cette obligation peut avoir une portée mondiale.

La décision de la CJUE revêt donc une importance capitale compte tenu du rôle joué par les réseaux sociaux dans la propagation des contenus illicites, et de l’atteinte à la liberté d’expression que peuvent engendrer de telles suppressions.

Dès lors, il convient de revenir sur les points clés de cet arrêt du 3 octobre 2019 de la CJUE (1).

Cas d’un contenu « identique » à un contenu déjà jugé illicite

La responsabilité des hébergeurs tels que Facebook est encadrée par la directive de 2000 sur le commerce électronique (2). Son article 15 interdit la surveillance généralisée et son article 14 ne permet de mettre en cause l’hébergeur que si celui-ci est informé de la présence d’un contenu déclaré comme illicite mais n’agit pas ou ne le supprime pas rapidement.

Afin d’échapper à la prohibition de la surveillance généralisée, la CJUE se fonde sur l’article 47 de cette même directive, en vertu de laquelle l’article 15 ne s’applique pas « à un cas spécifique ». Tel est précisément le cas pour un contenu précis jugé illicite par une juridiction nationale.

Dès lors, puisque le contenu est identique à celui qui a été jugé illicite, alors seul un contenu est visé, et la surveillance n’est donc pas généralisée.

Cas d’un contenu « équivalent » à un contenu déjà jugé illicite

La CJUE définit brièvement un contenu équivalent à un contenu illicite comme le contenu qui « reste, en substance, inchangé, et dès lors, diverge très peu de celui ayant donné lieu au constat d’illicéité ».

Selon la Cour, l’obligation de retrait vise donc à empêcher la réapparition d’un contenu illicite qui véhiculerait, en substance, un message de même portée mais formulé en des termes légèrement différents.

La CJUE énonce que pour répondre à ce critère d’équivalence, ce nouveau contenu doit présenter « des éléments spécifiques dûment identifiés par l’auteur de l’injonction, tels que le nom de la personne concernée par la violation constatée précédemment, les circonstances dans lesquelles cette violation a été constatée ainsi qu’un contenu équivalent à celui qui a été déclaré illicite ».

Sur ce point, la CJUE prend le soin de préciser que l’hébergeur ne sera pas laissé seul pour apprécier de l’équivalence ou non du nouveau contenu. En effet, la Cour précise que l’injonction devra mentionner les contenus dits équivalents, notamment afin que l’hébergeur puisse avoir recours « à des techniques et à des moyens de recherche automatisés », à l’instar d’une recherche par mots-clés.

Obligation de retrait d’un contenu illicite, une obligation de portée mondiale

La directive de 2000 n’interdisant pas de conférer une portée mondiale à l’obligation de retrait par l’hébergeur des contenus illicites, la CJUE a saisi l’occasion pour le formuler expressément.

Si cette solution apparaît logique au regard du déploiement mondial de réseaux sociaux tels que Facebook, il faudra toutefois veiller au respect des règles du droit international.

Néanmoins, cette décision laisse en suspens plusieurs interrogations, dont notamment le fait de savoir si l’hébergeur est tenu à une obligation de moyens ou de résultat ?

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) Arrêt de la CJUE du 03-10-2019, Facebook Ireland Limited c/ E. G.-P., aff. C-18/18.
(2) Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur dite «directive sur le commerce électronique» (JOUE L 178 du 17-07-2000).




LCEN : régime dérogatoire de responsabilité de l’hébergeur

responsabilité de l’hébergeurUn avocat a constaté que certains sites internet reprenaient ses nom et prénom et son activité pour renvoyer vers des numéros surtaxés.

Il a alors mis en demeure la société Ovexa, en sa qualité d’hébergeur de certains de ces sites internet, notamment aux visas des articles 143, 808 et 809 du Code de procédure civile, de l’article 1240 du Code civil et de l’article 6 de la LCEN, de supprimer les données le concernant, et de lui communiquer les données d’identification des auteurs des contenus en cause.

N’obtenant pas de réponse de la part de l’hébergeur, l’avocat a assigné en référé l’hébergeur en demandant au Président du Tribunal de grande instance de Paris de :

Condamner la société défenderesse à retirer l’ensemble de ses informations personnelles sur quelque site ou emplacement que ce soit, qu’elle ou ses co-intéressés hébergent ou éditent, sous astreinte de 200 euros par jour de retard à compter du huitième jour suivant la signification de la décision à intervenir,

La condamner, sous la même astreinte à communiquer les données d’identification et l’adresse IP de l’hébergeur, de l’éditeur et de l’auteur des contenus du site annuaire.laposte.fr,

La condamner, sous la même astreinte, à bloquer l’accès aux emplacements contenant les informations personnelles le concernant éditées ou hébergées,

La condamner, sous la même astreinte, à communiquer sur support durable, exploitable et fiable, l’intégralité du contenu et de la structure du site et des codes sources du site www.cherchelavocat.com,

La condamner, sous la même astreinte, à communiquer l’ensemble des données relatives à l’hébergeur du site annuaire.laposte.fr,

La condamner, sous la même astreinte, à lui verser, a titre provisionnel, la somme de 20.000 euros,

la condamner à lui verser la somme de 5.000 euros en application de l’article 700 du code de procédure civile et aux dépens ».

L’ordonnance de référé du Président du Tribunal de grande instance de Paris du 18 mai 2018

Parallèlement à cette première assignation, l’avocat avait assigné deux éditeurs de sites internet hébergés par la société Ovexa, pour obtenir des mesures similaires.

Il a demandé la jonction des instances.

Par ordonnance du 18 mai 2018 (1), le Président du Tribunal de grande instance de Paris a dit n’y avoir lieu à jonction et a statué que sur les seules demandes formulées par l’avocat à l’encontre de la société Oxeva.

Classiquement, le juge des référés, relevant la qualité d’hébergeur de la société Ovexa a rappelé que ce dernier était soumis à un régime de responsabilité dérogatoire, prévu par la LCEN et que sa responsabilité ne pouvait être engagée que si, après avoir reçu une notification conforme aux dispositions de l’article 6, I, 5° de cette loi, il n’avait pas promptement supprimé des contenus manifestement illicites. En outre, le juge des référés a rappelé que cette notification ne pouvait être efficace que si le demandeur justifiait n’avoir pu entrer en contact avec l’éditeur du contenu, ou en cas de contact avec ce dernier, n’avoir obtenu de réponse de sa part.

En l’espèce, l’avocat ne démontrait pas :

  • avoir tenté d’entrer en contact avec l’éditeur des sites internet;
  • avoir adressé à l’hébergeur une notification conforme aux conditions posées par l’article 6, I, 5° de la LCEN.

Le Président du Tribunal de grande instance de Paris a débouté l’avocat de l’ensemble de ses demandes et l’a condamné à verser la somme de 3.000 euros au défendeur, au titre de l’article 700 du Code de procédure civile.

L’avocat a relevé appel de l’ordonnance de référé.

Par arrêt du 1er mars 2019 (2), la Cour d’appel de Paris a débouté l’appelant de l’ensemble de ses demandes, confirmant ainsi l’ordonnance de référé, estimant que ni les conditions posées à l’article 809 du Code de procédure civile, ni les conditions posées par l’article 145 du Code de procédure civile n’étaient remplies en l’espèce.

L’absence de démonstration d’un trouble manifestement illicite aux termes de l’article 809 du CPC

La Cour d’appel de Paris rappelle tout d’abord que « l’article 809 du code de procédure civile prévoit que le président peut toujours même en cas de contestation sérieuse prescrire en référé les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite ».

A cet égard, le juge rappelle que les fiches contenant les données à caractère personnel de l’appelant ont été supprimées et n’étaient plus accessibles au jour où le premier juge a statué. L’existence du trouble manifestement illicite étant de ce fait critiquable, il n’y avait plus lieu à référé.

Mais la Cour a également fait une application des dispositions des article 6, I, 2° et 6, I, 5° de la LCEN et rappelé le régime dérogatoire de responsabilité auquel sont soumis les hébergeurs : « Il résulte du dispositif mis en place que la responsabilité de l’hébergeur ne peut être engagée que lorsque plusieurs conditions cumulatives sont réunies. Le contenu litigieux doit être manifestement illicite, la personne qui souhaite faire retirer le contenu s’adresse à l’auteur ou à l’éditeur du site et sollicite en motivant sa demande de retrait. En cas d’absence de réponse positive, la personne peut s’adresser à l’hébergeur en lui notifiant les démarches accomplies, la copie du courrier adressé à l’éditeur ou à l’auteur en lui fournissant les informations prévues à l’article 6, 1, 5° de la loi LCEN ».

Constatant que le demandeur a fait assigner les sociétés éditrices des contenus postérieurement à son assignation à l’encontre de l’hébergeur et qu’il ne justifie d’aucune notification du contenu illicite conforme aux dispositions de l’article 6, I, 5° de la LCEN, la Cour en déduit que « la preuve n’est pas établie qu’au jour où le premier juge a statué il existait un trouble manifestement illicite, la condition préalable de mise en œuvre de la responsabilité civile de (…) l’hébergeur n ‘est pas remplie ».

La Cour précise également que l’hébergeur du site internet « n’étant pas responsable du traitement des données à caractère personnel, il ne lui incombe pas d‘effectuer une quelconque démarche relative à l’exploitation desdits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via lesdits sites internet, de sorte que nul trouble manifestement illicite ne peut être recherché de ces chefs. La décision de première instance sera confirmée de ce chef ».

Le rejet des demandes formulées sur le fondement de l’article 145 du Code de procédure civile

L’avocat demandait également que lui soient communiqués un certain nombre d’éléments, sur le fondement de l’article 145 du Code de procédure civile, afin de lui permettre de solliciter de l’hébergeur une indemnisation du préjudice subi du fait de la publication de ces fiches contenant ses données à caractère personnel.

La Cour énonce que « l’application des dispositions de l’article 145 du code de procédure civile suppose que soit constaté qu’il existe un procès « en germe» possible, sur la base d’un fondement juridique suffisamment déterminé et dont la solution peut dépendre de la mesure d’instruction sollicitée à condition que cette mesure ne porte pas une atteinte illégitime aux droits d’autrui ».

La Cour, ayant jugé que la responsabilité de l’hébergeur ne pouvant être engagée en l’espèce, les conditions posées par l’article 6 de la LCEN n’ayant pas été respectées, en déduit logiquement qu’il ne pouvait être ordonné à son encontre des mesures visant à justifier d’un préjudice subi du fait des agissements de l’hébergeur.

En outre, elle rejette les demandes tendant à la suppression des fiches, ces dernières ayant été supprimées depuis de nombreux mois, et les demandes tendant « à obtenir sous astreinte l’ensemble des impressions écran et des modifications depuis leur création, des pages correspondantes aux deux sites litigieux, le contrat ou les contrats régularisés avec la société Adverline et l’intégralité des éventuels avenants, l’intégralité des conditions générales applicables avec la société Adverline, l’intégralité des conditions spécifiques applicables avec la société Adverline, l’intégralité des numéros de téléphone surtaxés attribués pour les fiches concernant M. X. avec le détail précis de leur date et heure depuis la création des fiches, l’intégralité du contenu et de la structure du site et des codes sources du site www.société.com sur support durable, [qui] sont à l’évidence tout à fait disproportionnées et partant ne sont pas légalement admissibles ».

Chloé Legris-Dupeux
Lexing Pénal numérique et e-réputation

(1) Ord. Réf. TGI Paris, 18-5-2018 RG n°17/58574.
(2) CA Paris, pôle 1, ch.8, 1-3-2019.




Mise en place de la certification hébergeur de données de santé

certification hébergeur de données de santéUn premier projet de décret précise les modalités de mise en place de la certification hébergeur de données de santé.

Premier projet de décret

Un premier projet de décret d’application de l’article L.1111-8 du Code de la santé publique, modifié par la loi de santé, a été notifié à la Commission européenne, conformément aux dispositions de la directive « Services de la société de l’information » n°2015-1535, pour des règles techniques restreignant la fourniture de services.

Cette notification s’accompagne d’un court texte de motivation dans lequel il est rappelé :

« Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement. »

Mise en place de la certification hébergeur de données de santé

Le projet de décret modifie les articles R.1111-1 et suivants du Code de la santé publique. Outre le passage à la certification et l’uniformisation avec la nouvelle rédaction de l’article L.1111-8 du code précité, qu’apporte le projet de décret par rapport au régime en vigueur ?

Le premier apport de l’article 3 du projet de décret, spécifique à la certification, est la mention explicite de la qualité de responsable de traitement, au sens de la loi n°78-17 du 6 janvier 1978 des personnes à l’origine de la production ou du recueil de ces données. Celui-ci a expressément la responsabilité de vérifier si l’hébergeur est bien titulaire de la certification hébergeur de données de santé. La qualité de responsable de traitement n’était auparavant précisée que dans le FAQ de l’ASIP Santé.

Les activités assurées en tout ou partie par les hébergeurs sont désormais listées :

  • la mise à disposition et le maintien en condition opérationnelle :
    • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
    • de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
    • de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
    • de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé ;
  • la sauvegarde des données de santé. »

Contenu du contrat d’hébergement

La liste des clauses obligatoires des contrats d’hébergement actuellement à l’article R.1111-13 du Code de la santé publique a été remaniée dans le cadre de la certification hébergeur de données de santé.

De nouvelles clauses ont été rendues obligatoires :

  • périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;
  • lieux d’hébergement ;
  • mesures mises en œuvre pour garantir le respect des droits des personnes concernées ;
  • mention du référent contractuel du client de l’hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
  • mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • engagement de l‘hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

D’autres clauses obligatoires ont été complétées ou simplifiées (les apports sont en italiques), en conformité avec les bonnes pratiques en vigueur telles qu’exigées par le Comité d’agrément jusqu’à présent :

  • description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
  • mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
  • modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées (simplification) ;
  • obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
  • information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
  • présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé.

La clause sur le recours à des prestataires techniques externes est inchangée :

« information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ».

La clause générale relative à la description des moyens mis en œuvre pour la fourniture des services à quant à elle été supprimée des clauses obligatoires.

Enfin, le mécanisme de report des obligations et des mentions obligatoires du contrat d’hébergement conclu par l’éditeur logiciel ou revendeur vers le contrat entre le client final et l’éditeur ou revendeur est désormais entériné dans le respect des bonnes pratiques édictées par l’ASIP Santé dans son FAQ jusqu’à présent.

Entrée en vigueur et modalités transitoires

La mise en place de la certification hébergeur de données de santé est prévue pour le 1er janvier 2018. L’ordonnance n°2017-27 du 12 janvier 2017 relative à la certification et l’article 3 du décret précité entrent donc en vigueur au 1er janvier 2018.

Les dispositions de l’article 1 et 2 du décret précité harmonisant les textes réglementaires avec la rédaction actuelle de l’article L.1111-8 du Code de la santé publique, tel que modifié par la loi de santé, entreront en vigueur le lendemain de la publication dudit décret.

Le projet de décret prévoit des dispositions transitoires :

  • le régime actuel restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu’au 31 décembre 2017 ;
  • les agréments expirant dans le courant de l’année 2018 seront prolongés de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

Il doit être précisé que l’article R.1111-10 du Code de la santé publique est modifié pour que le silence du ministre chargé de la Santé, dans le délai de 2 mois après l’avis du comité, vaille acceptation et non plus rejet.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique




Hébergeur de données de santé un calendrier de certification

hébergeur de données de santé un calendrier Pour passer de l’agrément à la certification d’ hébergeur de données de santé un calendrier prévisionnel se met en place.

Hébergeur de données de santé Un calendrier pour la certification

En préparation depuis plusieurs années, le passage de l’agrément pour les hébergeurs de données de santé à caractère personnel vers la certification est en passe de se concrétiser.

Son principe ayant été posé par la loi de modernisation de notre système de santé n°2016-41 du 26 janvier 2016 (art 204) (1), l’ASIP Santé avait déjà publié en septembre 2016 dans le cadre d’une concertation publique un premier projet de référentiels.

Les hébergeurs agréés ou ceux souhaitant se positionner sur ce marché ont ainsi pu avoir un aperçu des futures attentes, mais également faire part de leurs réserves ou remarques à l’ASIP Santé.

Hébergeur de données de santé Un calendrier prévisionnel

L’ordonnance n°2017-27 du 12 janvier 2017 (2), en modifiant les articles L. 1111-8 et L. 1115-1 du Code de la santé publique, a précisé les modalités du passage à la certification, mais la date exacte sera arrêtée par le décret attendu pour la fin de l’année 2017, d’après l’ASIP Santé.

Les hébergeurs dont l’agrément sera en vigueur lors du passage à la certification pourront attendre le terme de leur agrément avant d’envisager l’obtention de la certification.

Ceux dont l’agrément expirera dans l’année suivant le passage à la certification disposeront d’un délai minimum, dont la durée sera indiquée dans le décret, pour se mettre en conformité, ce afin de permettre aux hébergeurs de données de santé à caractère personnel de se préparer convenablement à l’obtention de la certification. En effet, la mise en conformité des prestations d’hébergement aux normes ISO exigées nécessitera un temps non négligeable de préparation.

Hébergeur de données de santé un calendrier de mise en œuvre pour janvier 2018

L’ASIP Santé entend mettre en œuvre la certification en janvier 2018 selon son calendrier prévisionnel (3). Ainsi les agréments d’hébergement de données de santé à caractère personnel obtenus ou renouvelés durant l’année 2015 pour une durée de 3 ans expireront durant l’année 2018, soit l’année suivant le passage supposé à la certification.

Les hébergeurs de données de santé à caractère personnel devront anticiper au maximum la mise en conformité de leurs prestations d’hébergement, dans la mesure où le délai minimum qui leur sera accordé n’est pas encore connu.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé, art. 204.
(2) Ordonnance 2017-27 du 12-1-2017 relative à l’hébergement de données de santé à caractère personnel (JO du 13-1-2017)
(3) Hébergement des données de santé: la certification « normalement » mise en œuvre en janvier 2018 (Asip santé), TIC Santé, 14-3-2017.




Vers la fin des retransmissions sportives clandestines ?

retransmissions sportives clandestinesLe législateur s’intéresse à la promotion, l’accès et la mise à disposition de retransmissions sportives clandestines.

Un article contre les retransmissions sportives clandestines

La loi n° 2017-261 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs comporte un article spécifique aux retransmissions sportives clandestines (1) .

Les acteurs appelés par le législateur à lutter contre les retransmissions clandestines sont d’une part les acteurs du sport, propriétaires du droit d’exploitation des manifestations ou compétitions sportives qu’ils organisent, d’autre part les acteurs impliqués dans la diffusion des retransmissions sportives.

Sont notamment concernés les acteurs de la diffusion des retransmissions sportives sur internet tels que les éditeurs, les hébergeurs, les fournisseurs d’accès à internet et les opérateurs de plateforme en ligne, dont la définition a été introduite récemment par la loi pour une République numérique (2) .

Un article à l’efficacité limitée

L’article invite ces acteurs à conclure « un ou plusieurs accords relatifs aux mesures et bonnes pratiques qu’ils s’engagent à mettre en œuvre en vue de lutter contre la promotion, l’accès et la mise à la disposition au public en ligne, sans droit ni autorisation, de contenus audiovisuels dont les droits d’exploitation ont fait l’objet d’une cession par une fédération, une ligue professionnelle, une société sportive ou un organisateur de compétitions ou manifestations sportives ».

Il ne s’agit que d’une invitation à l’autorégulation. L’amendement porté par Monsieur Michel Savin a en effet été assoupli afin d’assurer sa compatibilité avec le droit de l’Union européenne et afin d’assurer l’instauration d’un dialogue entre les acteurs concernés (3).

Le texte à l’origine proposait la « mise en place de dispositifs techniques de reconnaissance, de filtrage, de retrait et de déréférencement rapides de tels contenus, ainsi que les mesures utiles pour empêcher l’accès à ces derniers via tout site internet qui les diffuse, les référence ou en fait la promotion ».

Par ailleurs, l’établissement de l’accord est devenu facultatif.

Lexing Alain Bensoussan Avocats
Lexing Contentieux propriété intellectuelle

(1) Loi 2017-261 du 1-3-2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs.
(2) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(3) voir aussi : M. Soulez, La lutte contre les retransmissions sportives clandestines, Alain-Bensoussan.com 28-2-2017.




Diffamation publique sur un site : qui est responsable ?

Diffamation publique sur un site : qui est responsable ?

Le 24 janvier 2017, le TGI de Paris a rendu un jugement à propos d’une affaire de diffamation publique sur un site. En l’espèce, le 14 janvier 2014, une dépêche de l’Agence France Presse (AFP) est parue sur un site de rugby, accusant notamment un individu de s’être livré à des opérations de blanchiment d’argent en achetant des billets des matchs du XV de France et d’avoir organisé d’importantes opérations d’escroquerie à la taxe carbone. L’individu en question a porté plainte pour diffamation publique sur un site contre le directeur du site web et contre le directeur de la publication de l’AFP (1).

La qualification de diffamation publique sur un site des propos tenus

Le Tribunal de grande instance de Paris, saisi du litige, a, dans un premier temps, considéré que ces propos revêtaient un caractère diffamatoire puisque les faits étaient précis, qu’ils étaient susceptibles de faire l’objet d’un débat contradictoire sur la preuve de leur vérité et qu’ils étaient attentatoires à l’honneur et à la considération de l’individu visé, s’agissant de l’imputation d’infractions pénales.

La relaxe du directeur de la publication du site web

Le tribunal a ensuite pris la décision de relaxer le co-directeur de la publication du site web sur lequel la dépêche AFP avait été publiée. Celui-ci a d’abord été qualifié d’hébergeur par le tribunal car le site disposait d’un flux RSS, automatique, alimenté par l’AFP, sans que ce flux ne puisse être contrôlé. Le tribunal a ensuite considéré que dans la mesure où l’hébergeur n’avait pas connaissance du caractère illicite des informations et qu’aucune demande de retrait n’avait été effectuée, sa responsabilité pénale ne pouvait être engagée. Il a ainsi été renvoyé des fins de la poursuite pour diffamation publique sur un site.

La condamnation du directeur de la publication de l’AFP

En revanche, le tribunal a déclaré le directeur de la publication de l’AFP coupable de diffamation publique sur un site, estimant que ce dernier n’avait pas fait d’offre de preuve ni fait valoir l’exception de bonne foi. Par conséquent, le tribunal l’a condamné à une amende de 500 euros assortie du sursis simple.

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Vie privée et Presse numérique

(1) TGI Paris, 24-01-2017, 17e ch. corr., directeur de publication des « brèves AFP » .




Règlement européen et hébergement de données de santé

Règlement européen et hébergement de données de santéQuel impact le règlement européen sur la protection des données a-t-il sur l’hébergement agréé des données de santé ?

Nouvelles obligations pour les sous-traitants

Le règlement européen sur la protection des données, adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement (1), la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé, agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

  • le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
  • la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement (art. 30) ;
  • la coopération avec l’autorité de contrôle (art. 31) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
  • la notification au responsable de traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
  • la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
  • le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

  • réalisation de traitement uniquement sur instructions du responsable de traitement ;
  • engagement du personnel tenu, par convention ou par obligation légale, à la confidentialité ;
  • réalisation des mesures nécessaires de sécurité ;
  • demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
  • création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations de données personnelles, analyse d’impact, consultation préalable) ;
  • suppression ou renvoi des données au terme de la prestation ;
  • mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Règlement : ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations de données personnelles, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification des violations de données personnelles, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du nouveau règlement européen, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4- 2016.
(2) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(3) CSP, art. L1111-8 et R1111-9 et suivants.
(4) L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :
(a) traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
(b) en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
(c) en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).
(5) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.




La responsabilité des éditeurs de blog peut être engagée

responsabilité des éditeurs de blog peut être engagéeLa responsabilité des éditeurs de blog peut être engagée sauf à bénéficier du régime de responsabilité allégée de l’hébergeur de contenus de tiers.

Déçues de la franchise qu’elles avaient conclue, deux franchisées ont créé un blog dont l’objectif était de permettre aux autres franchisées du réseau de raconter leur propre expérience.

Les publications tendaient à imputer au franchiseur la responsabilité de leur échec commercial.

Le franchiseur déposait une plainte avec constitution de partie civile du chef de diffamation et d’injure publiques envers un particulier. Les deux franchisées étaient renvoyées devant le tribunal correctionnel de ces chefs, l’une en qualité d’auteur principal puisqu’elle était la directrice de la publication du blog, l’autre comme complice, ayant été identifiée comme étant l’auteur de certains des propos poursuivis.

La directrice de la publication (et éditeur du blog) a plaidé la relaxe en faisant valoir :

  • le défaut de preuve de la réalité des propos, puisque certains n’avaient pas été constatés par un huissier de justice ;
  • son défaut de responsabilité, « sur le fondement des dispositions de l’article 93-3 de la loi n° 82-652 du 29 juillet 1982, le blog en cause s’assimilant à un forum de discussion dont [elle] n’avait pas la maîtrise éditoriale, n’exerçant aucune modération a priori, de sorte qu’elle ne pouvait voir sa responsabilité engagée qu’à la condition d’avoir eu connaissance des propos incriminés, ce qui n’est pas le cas, ou d’avoir refusé de retirer les propos en cause, ce qui n’est pas non plus le cas dès lors qu’elle n’a pas été saisie d’une demande de retrait des propos incriminés mais d’une demande, non assimilable, de suppression du blog tout entier ».

Le jugement de la 17e chambre correctionnelle du Tribunal de grande instance de Paris apporte des précisions sur deux points : la qualité d’hébergeur de contenus de tiers et le régime de responsabilité qui y est attaché et sur la preuve des propos diffamatoires.

Concernant la preuve des propos diffamatoires sur internet, le tribunal a ainsi précisé que la preuve des propos diffamatoires est suffisamment rapportée :

  • par l’établissement d’un procès-verbal de constat sur internet par un huissier de justice ;
  • mais également par « la production de captures d’écran corroborées par les investigations qui ont été menées lors de l’information judiciaire par les policiers (…) qui ont constaté (…) que tous les propos diffamatoires poursuivis étaient toujours en ligne ;
  • ou encore par « la production d’une capture d’écran corroborée par la reconnaissance de leur émission ».

Le tribunal confirme en revanche que les seules captures d’écran ne peuvent permettre d’établir la matérialité des propos.

Concernant la responsabilité  de l’éditrice au titre de la responsabilité des éditeurs de blog, le tribunal a considéré que cette dernière, qui « n’avait pas au moment de la publication des propos incriminés la maîtrise éditoriale de ce blog participatif dont elle avait communiqué les identifiants et mots de passe à de nombreuses personnes qui y accédaient librement, sans qu’elle exerce aucun contrôle a priori mais un simple contrôle a posteriori, épisodique et purement formel », était soumise aux dispositions de l’article 93-3 de la loi du 29 juillet 1982 sur la communication audiovisuelle (2).

Ainsi, l’éditeur du blog a pu bénéficier du régime de responsabilité allégée de l’hébergeur de contenus de tiers, qui « ne peut pas voir sa responsabilité pénale engagée comme auteur principal s’il est établi qu’il n’avait pas effectivement connaissance du message avant sa mise en ligne ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ce message ».

Le tribunal a donc prononcé la relaxe de l’éditrice du blog, considérant que celle-ci « n’avait pas effectivement connaissance des messages incriminés avant leur mise en ligne [et] qu’elle n’a été saisie par [la partie civile] d’aucune demande de retrait des propos poursuivis mais d’une demande de suppression du blog, qui n’est pas équivalente et à laquelle elle s’est légitimement opposée ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) TGI Paris, Ch. correc., 18-2-2016, Procureur de la République, Mme S. c/ Mme R. et Mme B.
(2) Loi 82-652 du 29-7-1982, art. 93-3.




Réseaux sociaux: faut-il interdire l’anonymat ?

Réseaux sociaux: faut-il interdire l’anonymat ?Pour RFI, Alain Bensoussan a débattu sur la question : « Faut-il interdire l’anonymat sur les réseaux sociaux ? ».

Le point de départ : dans le cadre du mouvement social contre la « loi travail »,  la révélation par le journaliste Denis Robert, choqué par leurs propos radicaux, racistes, homophobes, de l’identité supposée d’utilisateurs anonymes de Twitter.

D’où la question « Faut-il interdire l’anonymat sur les réseaux sociaux ? », objet du « débat du jour » animé par la journaliste Anne Soetemondt diffusé par RFI le lundi 13 juin.

Alain Bensoussan débattait à cette occasion avec Jean-Marc Manach, journaliste internet spécialisé dans les questions de libertés et de vie privée, co-fondateur des Big Brother Awards, auteur du blog «Bug Brother» et du livre « Vie privée un problème de vieux cons ? » aux Editions Fyp.

L’occasion pour Alain Bensoussan de souligner que le droit à l’anonymat sur internet de manière générale et sur les réseaux sociaux de manière plus particulière a été  « une grande avancée du combat pour les libertés ». Et d’ajouter : « Le droit à l’anonymat qu’il faut maintenir est la possibilité de s’exprimer sans contrainte. Or, un des éléments fondamentaux d’une démocratie, le droit de vote, est exercé par les citoyens de manière anonyme. Dès lors qu’on n’est pas anonyme,  on est nécessairement sous une pression quelle qu’elle soit. Et toute la difficulté, si l’on s’accorde sur le fait que le droit à l’anonymat est consubstantiel à la démocratie, consiste à trouver un équilibre entre le droit l’anonymat et le droit à la protection de la victime. C’est là que se situe pour moi la grande difficulté ».

Dans la recherche délicate de cet équilibre, Alain Bensoussan a également rappelé que « l’anonymat au titre de la liberté d’expression est compensé par le fait que s’agissant des réseaux sociaux, d’un blog ou de n’importe quel autre mode d’expression sur le net, on doit déposer chez l’hébergeur ses références de telle manière que l’on puisse ensuite saisir l’hébergeur ou demander en justice de pouvoir d’accéder à l’adresse Internet du compte pour agir ».

Eric Bonnet
Directeur du département Communication juridique

Réécouter l’émission.




Champ d’application de l’hébergement de données de santé

Champ d’application de l’ hébergement de données de santéEn conformité avec la loi de modernisation de notre système de santé, l’ASIP Santé a mis à jour son FAQ sur l’ hébergement de données de santé (1).

Champ d’application élargi par la loi – Dans sa rédaction ancienne, l’article L. 1111-8 al. 1 du Code de la santé publique (CSP) disposait « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».

L’article 96-I-5° a) de la loi de santé du 26 janvier 2016 a modifié la rédaction de l’article L. 1111-8 du Code de la santé publique (2). Désormais, « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

Deux extensions ont donc été opérées :

  • Le périmètre des déposants, anciennement « les professionnels de santé ou les établissements de santé ou la personne concernée », s’est élargi aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même ».
  • Les données concernées par l’ hébergement agréé, anciennement les « données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », ont été étendues aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social ».

Précisions sur la notion de déposant par l’ASIP Santé – A l’occasion de cette réforme législative, l’ASIP Santé (3) rappelle l’interprétation extensive de l’article L. 1111-8 du Code de la santé publique qu’en font la Cnil et la Commission d’Agrément des Hébergeurs :

« lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins conserve par ses propres moyens lesdites données, il n’est pas soumis à l’agrément. (…) En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet ».

Ainsi, l’obligation de recourir à un hébergeur agréé ne se limite pas aux « professionnels de santé ou (les) établissements de santé ou (la) personne concernée » ou aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même », mais s’applique bien à tout responsable de traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico social, qui souhaite les externaliser.

Cette qualification de responsable de traitement rejoint la nouvelle rédaction de l’article L. 1111-8 du Code de la santé publique. En effet, une « personne physique ou morale à l’origine de la production ou du recueil desdites données » peut recouvrir les personnes concernées, les professionnels de santé à l’origine de la production des données mais aussi les responsables de traitements collectant lesdites données.

Ainsi les assurances et les mutuelles souhaitant externaliser l’ hébergement agréé de données de santé à caractère personnel doivent les confier à un hébergeur agréé.

Précisions sur les hébergeurs étrangers par l’ASIP Santé – L’ASIP Santé apporte également des précisions sur les hébergeurs étrangers :

« L’agrément peut être octroyé tant à une société française et/ou établie en France qu’à une société étrangère et/ou établie à l’étranger. Les dispositions des articles L.1111-8 et R 1111-9 et suivants du code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Aucune disposition du code de la santé publique ne conditionne l’application du régime d’agrément à la situation géographique de l’hébergeur. Toute société étrangère et/ou établie à l’étranger peut donc déposer un dossier de demande d’agrément » (4).

« Si l’ hébergement des données de santé à caractère personnel, recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins, est confié à un prestataire tiers, ce tiers doit être agréé pour l’ hébergement de données de santé à caractère personnel, qu’il soit situé en France ou à l’étranger » (5).

Ainsi l’hébergeur installé en dehors du territoire français proposant ses services à des responsables de traitements de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins situés sur le territoire français doit également obtenir un agrément (5).

L’ASIP Santé étend l’obligation d’agrément à tout prestataire étranger, le critère étant le lieu de production ou de collecte des données (4).

La responsabilité de l’agrément devant peser sur l’hébergeur, selon la nouvelle terminologie de l’article L. 1111-8 du Code de la santé publique, le prestataire étranger devra être particulièrement vigilant sur l’origine des données qu’il héberge et se positionner à cet égard.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(2) Art. 96 loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(3) FAQ ASIP Santé question n°3.
(4) FAQ ASIP Santé question n°13 bis.
(5) FAQ ASIP Santé question n°13 ter.




Pratique commerciale trompeuse : Le Bon Coin condamné

Pratique commerciale trompeuse : Le Bon Coin condamnéLa société exploitante du site internet « www.leboncoin.fr » condamnée pour pratique commerciale trompeuse.

Les faits étaient les suivants : la société Goyard St-Honoré, célèbre malletier français de luxe, a constaté la mise en ligne de petites annonces proposant ouvertement la vente d’imitations de ses produits.

Les annonces ne laissaient aucun doute quant à la nature des produits vendus : « pochette Goyard fausse », pochette et porte passeport « imités parfaitement » ou encore « sac inspi Goyard ».

Après deux lettres de mise en demeure et des signalements de contenus illicites restés sans effet, la société Goyard St-Honoré a assigné la société LBC pour pratique commerciale trompeuse, de la contrefaçon de ses marques et de l’atteinte à sa dénomination sociale, son enseigne et son nom de domaine.

Le tribunal a considéré que la société LBC avait commis une pratique commerciale trompeuse de nature à induire le consommateur en erreur sur la portée de son engagement aux motifs :

  • qu’elle alléguait sur son site que « toutes les annonces sont relues avant mise en ligne afin de s’assurer de leur qualité et du respect des règles de diffusion » et que « toute annonce contenant des éléments du texte qui sembleraient contraires aux dispositions légales (…) sera refusée par Le Bon Coin » ;
  • alors qu’elle n’avait manifestement pas procédé à un contrôle préalable concernant les annonces litigieuses et qu’elle n’avait pas supprimé lesdites annonces malgré les signalements effectués par la société Goyard St-Honoré.

Sur le terrain de la contrefaçon de marque et de l’atteinte aux signes distinctifs, le tribunal a, sur le fondement de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) et des arrêts de la CJUE Google et L’Oréal , qualifié la société LBC d’hébergeur de contenus de tiers, ne jouant qu’un rôle d’intermédiaire, non rémunéré, entre les particuliers.

Il a débouté la société Goyard St-Honoré de ses demandes considérant que les mises en demeure et les signalements effectués directement sur la plateforme du site ne valaient pas notification au sens de l’article 6-I 5° de la LCEN, ceux-ci ne comprenant pas l’ensemble des conditions requises par ce texte.

Cette décision se situe dans la lignée de la jurisprudence actuelle, initiée par les arrêts rendus par la CJUE dans l’affaire Google, qui semble plus pencher vers la protection des consommateurs que celles des titulaires de marque.

Par ailleurs, le raisonnement du tribunal, s’il est juridiquement fondé, paraît éthiquement injuste. En effet, d’une part, la société LBC est sanctionnée pour n’avoir pas tenu son rôle de modérateur des annonces publiées, ce qui par nature lui confère un rôle actif dans la mise en ligne desdites annonces, alors que, d’autre part, elle est qualifiée d’hébergeur de contenus de tiers, qualification qui sous-tend un rôle d’intermédiaire neutre.

Virginie Brunot
Eve Renaud
Lexing Droit Propriété industrielle

(1) TGI Paris, 4-12-2015, Goyard St-Honoré c/ LBC France.
(2) CJUE, aff. C-236/08, 23-3-2010, Google ; CJUE, aff. C-324/09, 12-7-2011, L’Oréal.

 




Hébergement de données de santé : impact du projet de loi

Hébergement de données de santé : impact du projet de loiLa réglementation en vigueur impose aux professionnels de santé (PS), aux établissements de santé (ES) et à la personne concernée de recourir à un hébergeur agréé à cet effet, en cas d’externalisation de l’hébergement de données de santé à caractère personnel (1).

Les ES et PS hébergeant eux-mêmes les données de santé des patients dont ils assurent la charge sont dispensés de la procédure d’agrément. A ce jour, la personne qui confie à l’hébergeur des données (le déposant) est tenue de recueillir le consentement exprès de la personne concernée au titre de l’hébergement, des modalités d’accès et des modalités de transmission. Ce consentement n’est pas requis dès lors que seul le déposant accède aux données de santé hébergées. Le projet de loi de santé n°505, adopté en première lecture à l’Assemblée nationale le 14 avril 2015, modifie cette procédure.

Les articles 25 et 51 du projet de loi modifient l’article 1111-8 CSP et en particulier habilitent le gouvernement à prendre par voie d’ordonnance des mesures de simplification de la procédure dans un délai de douze mois à compter de la promulgation.

La loi sera a priori d’application immédiate, et l’ordonnance modifiant le décret hébergement sera prise dans le délai susvisé. A l’issue de ce délai, un référentiel précisant le contenu du dossier devrait être établi (2). Le régime transitoire ne dispensera pas de la nécessité de disposer d’un agrément.

Le projet de loi supprime la référence aux PS, ES et personne concernée de sorte que tout responsable de traitement de données de santé à caractère personnel doit respecter l’obligation de recourir à un tiers agréé pour l’hébergement de données de santé. Ainsi, l’obligation de certification est élargie notamment aux personnes hébergeant des données à l’occasion d’activités de suivi social et médico-social (art.25-4-a).

L’hébergement sera réalisé après que « la personne en a été dûment informée et sauf opposition pour un motif légitime » (art.25-4-a). Cette nouvelle disposition dispense le déposant du recueil d’un consentement exprès, tel que prévu dans le régime actuel, sous réserve de la délivrance d’une information préalable.

L’ordonnance définira les conditions dans lesquelles le médecin de l’hébergeur peut accéder aux données de santé à caractère personnel. Les contrats devront donc être mis à jour afin d’intégrer ces conditions (art.51-I-5°).

L’attestation de la conformité de l’hébergement aux exigences légales et réglementaires ne se traduira plus par la délivrance d’un agrément par l’Asip santé mais par celle d’une accréditation par l’instance nationale d’accréditation (art.51-I-5°).

Enfin, le projet de loi entend harmoniser cette nouvelle procédure d’accréditation et les dispositions du Code du patrimoine relatives à l’archivage (3) afin d’éviter que les établissements publics de santé et les établissements de santé privé d’intérêt collectif soient soumis à une double obligation lorsqu’ils confient les données de santé et leur archivage à un tiers hébergeur (art.51-I-5°).

En tout état de cause, l’objectif du projet de loi est toujours d’assurer la confidentialité et la sécurité des données de santé. Dès lors, les conditions techniques nécessaires pour ce faire, telles que mises en œuvre par les hébergeurs agréés à ce jour, ne seront pas impactées.

Marguerite Brac de La Perrière
Alix d’Omezon
Lexing Droit Santé numérique

(1) CSP, art. 1111-8.
(2) Décr. 2006-6 du 4- 1-2006.
(3) C. patrimoine, art. L.212-4.




L’hébergeur peut-il bloquer les données du client en cas d’impayé ?

L’hébergeur peut-il bloquer les données du client en cas d’impayé ?L’hébergeur au sens classique du terme ou en environnement cloud est juridiquement le dépositaire des données incorporelles du client au sens de l’article 1915 du Code civil.

L’hébergeur en a à ce titre la garde et a une obligation de restitution en fin de contrat. Il peut être condamné s’il ne procède pas à cette restitution dans des délais normaux (1).

En cas de frais exposés par l’hébergeur pour la restitution des données, il peut prévoir une facturation spécifique pour cette prestation.

D’ailleurs même si cela n’est pas une obligation légale, la plupart des contrats d’hébergement comprennent en pratique une clause de réversibilité laquelle encadre les modalités technique, économique et juridique de restitution des données.

En présence ou pas d’une telle clause, la question se pose pour l’hébergeur de pouvoir « retenir » les données si le client n’est pas à jour de ses paiements.

En l’absence de clause spécifique. Le droit de rétention peut s’appliquer même sans clause spécifique. Il faut préciser le lien de connexité entre l’objet de la prestation et le prix impayé conformément à l’article 2286 du Code civil.

Le droit de rétention bien connu dans l’hypothèse du garagiste impayé à l’égard de la voiture réparée n’a pas été aussi facilement transposé dans le monde de l’immatériel. La première jurisprudence le consacrant ne date que de 2010 (2).

En présence d’une clause spécifique. Le client débiteur pourra plus difficilement contester une clause clairement stipulée avec des cas de rétention bien bornés.

Cependant, il existe de nombreuses hypothèses où un tel droit de rétention soit n’est pas possible, par exemple en cas de procédure collective (3), soit exposerait le client dont les données sont hébergées à de graves difficultés par exemple dans le domaine médical (4).

L’hébergeur doit donc se garder d’appliquer systématiquement un droit de rétention en cas d’impayé, au risque de voir sa propre responsabilité engagée.

Pour l’hébergeur qui souhaiterait donc se réserver une telle garantie sur les données dont il a la garde, il convient donc :

  • de travailler au périmètre et aux modalités de mise en œuvre de la clause de rétention avec la plus grande rigueur ;
  • de fixer par un livret d’implémentation à destination des équipes marketing et juridique, le scénario par escalade justifiant un tel droit de rétention.

Eric Le Quellenec
Lexing Droit Informatique

(1) TC Paris Ord. Réf. 20-3-2002.
(2) CA Toulouse 12-10-2010, RG n°08-05858.
(3) Article L. 622-13 Code de commerce.
(4) Décret 2011-246 du 4-3-2011.




Hébergement de données : faire évoluer la procédure d’agrément

Hébergement de données : faire évoluer la procédure d'agrémentHébergement de données – Le 24 septembre 2014, l’ASIP Santé a publié le rapport d’activité 2012-2013 du Comité d’Agrément des Hébergeurs de données de santé (CAH). Ce dernier y propose notamment la mise en place d’une procédure de certification des hébergeurs agréés.


Le CAH est un organe consultatif créé par le décret du 4 janvier 2006 (1). Il est en charge de l’analyse des dossiers de demandes d’agréments, c’est-à-dire, pour la période 2012-2013, de 70 dossiers (pour 40 dossiers agréés).

Dans son rapport d’activité d’une soixantaine de pages, la CAH adopte une vision pragmatique à la procédure d’agrément et précise : « le périmètre de l’hébergement agréé ne peut être fixé dans les tables, il doit évoluer avec la vie des professions, les développements technologiques ».

La CAH soulève à ce titre qu’ « une réflexion forte et urgente doit, par exemple, se mettre en place sur les bases détenues par les assureurs privés et publics », grands oubliés de la loi « Kouchner » du 4 mars 2002 (2).

Si une analyse littérale des dispositions législatives conduit à exclure les organismes d’assurance du champ d’application de la procédure d’agrément ou certaines données de santé, l’ASIP Santé relève que toutes les données de santé (à l’exception de celles recueillies ou produites à l’occasion des activités de recherche) doivent faire l’objet de la même protection par la réglementation.

Les données de santé à caractère personnel doivent bénéficier de la même confidentialité et sécurité, quelque soit leur origine ou l’acteur responsable de leur hébergement.

Soutenant cette analyse, le rapport de la CAH précise que « les caisses d’assurance maladie conservent donc les données de santé recueillies à l’occasion des missions d’activités de prévention, de diagnostic ou de soin, dont la conservation doit respecter les dispositions de l’article L.1111-8 du Code de la santé publique »

Pointant la grande disparité entre les différentes prestations d’hébergement proposées (hébergement « à sec », fournisseurs de salle blanche, hébergement d’applications avec ou sans accès patients, etc.), le CAH constate la complexité d’une procédure orientée initialement vers l’hébergement de dossiers médicaux.

Elle propose donc, afin d’adapter la procédure d’agrément à la finalité de la prestation d’hébergement présentée dans chaque dossier, que soit mise en place une procédure de certification s’inspirant de la procédure de certification PCIDSS (Payment Card Industry Data Security Standard).

Cette procédure, issue du domaine bancaire, vise à améliorer la sécurité physique et logique des systèmes d’information qui capturent, transportent, stockent ou traitent des données de cartes bancaires en contrôlant le respect par les acteurs de des bonnes pratiques de sécurité (auto-évaluation, audit trimestriel).

La CAH propose en outre de mettre en place une procédure de contrôle des hébergeurs agréés afin de dissuader les acteurs concernés du non-respect de ce dispositif.

Marguerite Brac de La Perrière
Ronan Saiget
Lexing Droit Santé numérique

(1) Décr. 2006-6 du 4-1-2006 relatif à l’hébergement de données de santé.
(2) Loi 2002-303 du 4-3-2002 relative aux droits des malades et à la qualité du système de santé.




Hébergement d’une e-pharmacie et agrément spécifique

Hébergement d’une e-pharmacie et agrément spécifiqueHébergement – Seul un hébergeur agréé peut réaliser l’hébergement de données de santé à caractère personnel compte tenu de l’importance de la sécurité.Aux termes de l’article L1111-8 CSP, seul un hébergeur agréé peut réaliser l’hébergement de données de santé à caractère personnel confiées par des établissements de santé, professionnels de santé ou par des patients eux-mêmes. 

L’Agence des systèmes d’information partagés de santé, ASIP Santé, a toujours considéré que : « un candidat peut déposer soit un dossier de demande d’agrément intégrant autant de types de prestations de services d’hébergement de données de santé qu’il propose sur le marché, soit un dossier de demande d’agrément pour chaque type de prestation d’hébergement. Par types de prestation d’hébergement, il faut entendre « modèles de contrats » différents, adaptés à la typologie des clients de l’hébergeur ». « L’agrément est délivré pour un modèle de contrat et non pour l’ensemble des activités de l’hébergeur » (1). Le site de l’Ordre national des pharmaciens tient une liste des sites agréés de e-pharmacie.

A cet égard, il y a lieu de relever que l’ASIP Santé considère que constituent des types de prestations de service d’hébergement de données de santé différentes :

  • l’hébergement d’applications auxquelles seuls accèdent des clients (professionnels ou établissements de santé) ;
  • l’hébergement d’applications auxquelles peuvent accéder des patients.

Conformément aux dispositions de l’article L1111-8 susvisé et de l’arrêté du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique, l’hébergement de sites de vente en ligne de médicaments doit être réalisé par un hébergeur agréé. La liste de ces hébergeurs agréés est disponible sur le site de l’ASIP santé.

Le pharmacien doit assurer l’acte de dispensation par voie électronique et son devoir d’information et de conseil notamment en permettant un échange interactif pertinent avec le patient avant validation de la commande de médicaments. Dès lors, un accès patient au site hébergé est indispensable.

A cet égard, un agrément portant sur l’hébergement d’applications auxquelles peuvent accéder des patients aurait pu être considéré comme approprié. Cependant, d’après une note juridique de l’ASIP Santé de décembre 2013, seul un hébergeur titulaire d’un agrément « couvrant une prestation d’hébergement de site de vente en ligne de médicaments » ou ayant déposé un dossier de demande d’agrément pour ce type de prestation auprès de l’ASIP Santé est autorisé à l’assurer.

Marguerite Brac de La Perrière

Lexing Droit Santé numérique

(1) Q5 FAQ ASIP Santé.




Nouvelles catégories de signalement pour les intermédiairestechniques ?

intermédiaires techniquesL’article 6-I-7 de la loi pour la confiance dans l’économie numérique (LCEN) est en passe d’être modifié. Cet article prévoit pour l’heure que si les intermédiaires techniques (fournisseur d’accès à internet et hébergeur) ne sont tenus à aucune obligation de surveillance des contenus en ligne, ceux-ci sont néanmoins tenus de concourir à la lutte contre la diffusion de contenus les plus graves au nombre desquels figurent ceux faisant l’apologie des crimes contre l’humanité, incitant à la haine raciale ou de pornographie enfantine.

L’article 17 du projet de loi pour l’égalité entre les femmes et les hommes adopté par le Sénat le 17 septembre 2013 prévoit de créer de nouveaux cas de la lutte contre la diffusion de contenus les plus graves, l’article 6-1-7 de la LCEN devant être modifié dans les termes suivants :

    « Le troisième alinéa du 7 du I de l’article 6 de la loi n° 2004?575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :

 

    1° Après les mots : « haine raciale », sont insérés les mots : « à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap » ;

 

    Les mots : « et huitième » sont remplacés par les mots : « huitième et neuvième » ; La référence : « articles 227-23 » est remplacée par les références : « articles 222-33-3, 227-23 ».

Si l’article 17 du projet de loi est adopté en l’état, en plus des cas d’ores et déjà prévus, les intermédiaires techniques devront également transmettre aux services de police, les discours signalés par les internautes de nature sexistes, homophobes et discriminatoires ainsi que les vidéos de type « happy slapping » ou scènes de harcèlement, infraction définie et réprimée par l’article 222-33-3 du Code pénal.

En pratique, les contenus signalés devront être transmis à la plateforme Pharos, étant précisé que la plateforme prévoit déjà la possibilité de signaler de tels contenus.

Il est vrai que ces nouveaux cas de transmission ne créent pas réellement de nouvelle obligation à la charge des intermédiaires techniques. La question n’est donc pas de mettre en œuvre un nouveau process, mais de comprendre ce que recouvre cette nouvelle catégorie. Un éclaircissement parlementaire sur ces points serait souhaitable.

Une autre question pourrait d’ailleurs se poser ; celle de savoir si le signalement opéré devra, hors notification, avoir pour effet une suppression desdits contenus.

En effet, l’article 6-3 de la LCEN prévoit que les intermédiaires techniques ne peuvent voir leur responsabilité engagée tant qu’ils n’ont pas « effectivement connaissance » d’activité ou d’information illicites ou, si dès qu’ils en ont eu connaissance, ils ont réagi promptement pour retirer de tels contenus ou en ont rendu l’accès impossible.

En toute logique, le signalement portant à la connaissance des prestataires les contenus en cause, une suppression devrait être opérée par ces derniers, avec le risque cependant que leur responsabilité soit engagée en cas de mauvaise qualification du contenu signalé et supprimé à tort…

Reste à nos parlementaires de clarifier ces points d’ombre afin d’épargner à nos prestataires techniques de grandes questions existentielles et de longs moments de solitude.

Alain Bensoussan Avocats
Lexing Droit du numérique

Sénat, PLO n° 214 du 17-9-2013
Sénat, Dossier législatif




Données de santé – THINK TANK – Droit et SSI Santé

Données de santé - THINK TANK - Droit et SSI SantéJean-François Forgeron est intervenu au « Think tank droit et SSI santé » sur l’hébergement des données de santé.

Données de santé et sécurité – Maître Jean-François Forgeron a participé, les 4-5-6 décembre 2012, à la 3ème conférence 2012 de l’APPSIS (Association pour la promotion de la sécurité des systèmes d’information de santé). Trois journées intenses consacrées à la sécurité des systèmes d’information de santé et à la protection des données, auxquelles sont intervenus plus de 30 Experts.

Il a abordé ce cadre de l’activité de traitement et d’hébergement de données de santé qui est au cœur des préoccupations en matière de sécurité des systèmes d’information, à travers quatre points :
– le cadre juridique de la donnée de santé ;
– les concepts qui permettent de mieux appréhender cette activité
– l’architecture contractuelle du traitement et de l’hébergement
– le suivi du contrat

« Think tank droit et SSI santé » (intervention de 00:41 à 01:10, suivie d’un débat de 01:10 à 01:15).




E-réputation : l’hébergeur contraint de retirer un contenu illicite

E-réputation : l’hébergeur contraint de retirer un contenu illicitePierre angulaire du droit de l’e-réputation, l’article 6 I de la loi pour la confiance dans l’économie numérique (LCEN) pose le principe de l’irresponsabilité pénale des prestataires de stockage du fait des contenus de tiers qu’ils hébergent, sauf s’ils avaient effectivement connaissance de l’activité ou de l’information illicite ou si, du moment où ils en ont eu connaissance, ils n’ont pas agi promptement pour les retirer.

Le Conseil constitutionnel, dans sa décision du 10 juin 2004 (1), avait toutefois émis une réserve d’interprétation considérant que l’inertie de l’hébergeur ne pouvait être sanctionnée que si le caractère illicite du contenu dénoncé est manifeste ou qu’un juge en a ordonné le retrait.

Or, dans la pratique, et en l’absence d’une définition de la notion de « manifestement illicite », de nombreux hébergeurs se soustraient à leur obligation en se retranchant derrière l’absence de démonstration du caractère « manifeste » de l’illicéité du contenu mis en cause.

Les faits qu’avaient à connaître le Tribunal de grande instance de Brest, dans son jugement du 11 juin 2013 (2), illustrent parfaitement cette situation.

Sur un blog d’une ancienne collègue de travail, une femme était la cible récurrente d’accusations « objectivement délirantes » portant atteinte à son honneur et sa considération et d’invectives et propos foncièrement outrageants.

Constatant cela, la victime adresse une mise en demeure à l’hébergeur du blog afin d’obtenir la suppression des propos, lequel décide de ne pas exécuter la mise en demeure considérant « qu’il ne lui appartenait pas de se prononcer sur le caractère illicite des contenus publiés ». Elle poursuit alors l’auteur du blog pour diffamation et injure publiques sur le fondement de la loi du 29 juillet 1881 et l’hébergeur pour complicité par aide ou assistance.

Pour condamner ce dernier, le tribunal va se livrer à une interprétation de l’article 6 I de la LCEN à la lumière de la décision du Conseil constitutionnel du 10 juin 2004 en mettant en avant qu’il n’est pas exigé que « le contenu soit certainement illicite, mais seulement qu’il le soit manifestement ».

Et à lui d’ajouter, « tel est notamment le cas lorsque les propos litigieux comportent l’imputation de faits dont la vérité est très improbable en raison de leur nature même, de leur caractère outrancier et du contexte dans lequel ils sont émis ».

Si l’on peut regretter l’absence d’une définition claire de la notion de contenu « manifestement illicite », on peut néanmoins se féliciter de cette position allant à l’encontre du fort courant doctrinal appréhendant cette formulation comme ne visant que « les atteintes graves à l’ordre public, la défense nationale, la sécurité, mais pas de simples violations de la loi ».

S’il est confirmé en appel, ce jugement pourrait servir de base aux victimes d’e-réputation pour obtenir plus facilement des hébergeurs le retrait de contenus illicites sans avoir à obtenir une décision judiciaire.

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Droit presse et pénal numérique

(1) Décision n° 2004-496 DC du 10-6-2004.
(2) TGI Brest 11-6-2013 Josette B./Catherine L., SAS Overblog.




Une nouvelle décision autour du statut d’hébergeur de contenu

hébergeurLe statut d’hébergeur de contenu a de nouveau été examiné par les juridictions françaises. Sedo, place de marché dédié aux noms de domaine, prétendait relever du statut avantageux d’ « hébergeur » au sens de la loi pour la confiance dans l’économie numérique (LCEN), mais sans succès.

Rappelons que la LCEN dispense les entreprises offrant un service de stockage de contenus (cad les hébergeurs), de toute obligation générale de surveillance de ce qu’elles hébergent et dispose que leur responsabilité ne peut être engagée que si « elles n’avaient pas effectivement connaissance de leur caractère illicite (…) ou si dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès inaccessible » (art. 6, I, 2).

Dans un arrêt du 17 avril 2013, la Cour d’appel de Paris a, conformément à sa position antérieure, considéré que Sedo ne pouvait bénéficier du régime de responsabilité allégée des hébergeurs et a condamné Sedo à 75 000 euros de dommages et intérêts en réparation du préjudice subi par la demanderesse, la société Dreamnex.

Les faits étaient les suivants : La société Dreamnex, titulaire de la marque SEXY AVENUE et propriétaire des noms de domaine sexyavenue.com et sexyavenue.fr a constaté, outre l’enregistrement des noms de domaine sexyavenue.eu, sexyavenue.mobi, sexyavenue.biz et sexyavenue.info par des tiers (Ovidio Ltd et MKR Miesen), que lesdits noms de domaine :

  • étaient proposés aux enchères sur le site internet de Sedo ;
  • pointaient chacun vers des sites de liens commerciaux destinés au public français.

Après avoir rappelé la différence entre éditeur (personne qui détermine les contenus devant être mis à disposition du public) et hébergeur (prestataire technique offrant un service de mise en ligne de contenus sans être personnellement à l’origine de leur diffusion), la Cour d’appel de Paris a clairement affirmé que la société Sedo avait une activité d’éditeur au sens des dispositions de la LCEN pour l’ensemble des services proposés sur son site.

Pour la Cour d’appel de Paris, le statut d’éditeur de Sedo est justifié notamment par le fait que « l’ensemble des services proposés par Sedo sur son site sedo.fr, dont l’objet est d’optimiser la présentation des offres à la vente et de promouvoir ces offres, impliquent de la part des sociétés Sedo GmbH et Sedo.com Llc un comportement non pas neutre entre le client vendeur et les acheteurs potentiels, mais bien un rôle actif de nature à leur conférer une connaissance ou un contrôle des données relatives à ces offres ».

La Cour d’appel de Paris a en effet relevé que Sedo :

  • procède à la sélection de mots-clés correspondant au nom de domaine dans le but de faire apparaitre des liens commerciaux en rapport avec le nom de domaine ;
  • est habilité à vérifier en tout temps que les mots clés choisis sont bien conformes au nom de domaine en question ;
  • entretient une relation de partenariat avec Google au titre des liens commerciaux affichés.

Par voie de conséquence, la Cour d’appel de Paris a condamné Sedo pour contrefaçon de marques mais aussi pour concurrence déloyale.

Cet arrêt s’inscrit dans la droite ligne de la jurisprudence de la Cour de cassation, celle-ci ayant déjà jugé par arrêt du 21 octobre 2008 que Sedo, en raison de son activité de courtier de nom de domaine, ne pouvait bénéficier du statut d’hébergeur mais devait être qualifié d’éditeur.

Alain Bensoussan Avocats
Lexing Droit du numérique

CA Paris Pole 5 ch. 1 n°10_14270 du 17-4-2013




Fichiers Bit torrent et contrefaçon : the Pirate Bay devant la CEDH

Bit Torrent Marie Soulez – La Cour européenne des droits de l’homme, appelée à mettre en balance le droit d’auteur et la liberté d’expression à propos de contrefaçon commise sur internet, a rejeté à l’unanimité la requête présentée par deux des cofondateurs de « The Pirate Bay », l’un des plus importants sites internet d’échange de fichiers Bit torrent (1) (2).

1. La prédominance du droit d’auteur

Condamnés définitivement en Suède, après que leur recours devant la Cour suprême ait été rejeté en février 2012, à payer 3,4 millions d’euros et à un an de prison pour complicité d’infraction à la loi sur le copyright, deux des cofondateurs du site avaient déposé un recours devant la CEDH au motif que leur condamnation violait le principe de liberté d’expression, inscrit à l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950 (3). En application de ce texte, « toute personne physique ou morale peut se prévaloir de la liberté d’expression qui concerne le contenu des informations, mais aussi les moyens de transmission ou de captage ; toute restriction apportée à ceux-ci touche le droit de recevoir et de communiquer des informations » (4).

Les requérants, au soutien de leur requête, arguaient qu’ils ne sauraient être responsables pour avoir mis à disposition des internautes une plate-forme d’échanges de fichiers via le protocole Bit Torrent (5), ayant été détournée aux fins d’échanges de fichiers contrefaisants. En application de l’article 10, les requérants, rappelant s’être contentés de mettre à disposition des moyens de transmission de données, critiquaient ainsi la condamnation suédoise en ce qu’elle violait leur liberté de « recevoir et de communiquer des informations ». Selon eux, les seuls responsables d’une infraction pénale étaient les utilisateurs qui échangeaient, grâce au protocole Bit Torrent, les fichiers.

La Cour a contrôlé la légalité et la proportionnalité de la décision suédoise. Sur le premier point, la Cour considère que « étant donné que les fichiers partagés (…) étaient protégés par la loi sur le copyright (…) l’ingérence des autorités suédoises était prévue par la loi ». Sur le second, elle retient que « la condamnation des intéressés a poursuivi le but légitime de la protection du copyright ». La Cour considère que « leurs obligations [des autorités suédoises] de protéger le copyright, tant au regard de la loi pertinente qu’au regard de la Convention, constitue une raison valable de restreindre la liberté d’expression ». La Cour précise également, au soutien de sa décision, le refus des requérants de retirer de la plate-forme les données protégées par le copyright après y avoir pourtant été invités.

La Cour déclare ainsi irrecevable la requête introduite pour défaut manifeste de fondement : « l’atteinte au droit à la liberté d’expression (…) était nécessaire dans une société démocratique ».

Cette décision ne peut qu’être saluée, au regard notamment de l’importance du site The Pirate Bay, du nombre de fichiers pirates échangés grâce à Bit Torrent et du refus des requérants de satisfaire aux demandes de retraits des fichiers illicites : la lutte contre le piratage est une priorité économique et culturelle.

Toutefois, les moyens de la Cour ne doivent pas offrir à des demandeurs la possibilité de soutenir toute action dirigée à l’encontre d’hébergeurs de sites détournés de leur finalité par les utilisateurs, voire même de fournisseurs de produits, qui, s’ils ont une finalité multiple, permettent notamment la commission d’infractions.

2. La notion de fourniture de moyen

En droit français, l’article 121-7 du Code pénal punit pour complicité la personne qui « sciemment, par aide ou assistance » a facilité la préparation ou la consommation d’un délit (6). Le Code de la propriété intellectuelle en son article L. 335-2-1 érige en infraction spécifique le fait « d’éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d’œuvres ou d’objets protégés » (7).

De nombreux produits, parfaitement licites, offrent aux utilisateurs des possibilités d’usages illicites sans que les vendeurs et fabricants ne doivent pour autant être poursuivis, ou responsables à raison des infractions commises. A titre d’exemple, un lecteur de type MP3, grâce à sa mémoire très importante, permet le stockage et la lecture d’un nombre important de fichiers musicaux. A ce titre, les fabricants et distributeurs pourraient voir leur responsabilité engagée pour avoir proposé un produit fréquemment détourné par les utilisateurs qui y stockent des fichiers musicaux pirates. Au même titre, les plates-formes d’échanges usant du protocole Bit Torrent offrent la possibilité aux utilisateurs d’échanger des fichiers légaux, comme des fichiers illégaux, de même que les sites communautaires permettent le visionnage de fichiers pirates. Les éditeurs de ces sites sont-ils responsables du détournement par les utilisateurs de leurs services ?

3. Les prestataires techniques de l’internet

En ce qui concerne les sites internet, notamment les sites communautaires, leurs éditeurs, considérés comme hébergeurs des contenus de tiers par la jurisprudence, bénéficient d’un régime de responsabilité allégé en application de l’article 6 de la loi du 21 juin 2004 dite de confiance dans l’économie numérique (LCEN) et leur responsabilité ne sera recherchée que s’ils ont effectivement connaissance de la mise en ligne d’un contenu illicite (8). En effet, si les hébergeurs ont une obligation d’identification des personnes qui ont créé un contenu qu’ils hébergent, qu’ils exercent sur injonction judiciaire, ils ne sont pas tenus de surveiller les contenus qu’ils transmettent ou stockent.

Au motif qu’ils ne peuvent être présumés avoir connaissance du caractère illicite des contenus qu’il stocke ou des activités de ceux qui utilisent leurs services, les hébergeurs ne verront leur responsabilité civile ou pénale engagée que s’ils ont connaissance d’activités ou d’information « manifestement » illicites et qu’ils n’agissent pas promptement pour retirer ces informations ou en rendre l’accès impossible. En vertu de l’article 6, I, 5 de la LCEN, la connaissance de ces faits est présumée acquise dès lors que les faits litigieux lui ont été signalés dans les strictes règles de forme prévues par la loi, la « notification ».

Ainsi, dans un arrêt du 17 février 2011, la Cour de cassation a reconnu au site communautaire Dailymotion le statut d’hébergeur, lui faisant par là même échapper à toute responsabilité au titre d’actes de contrefaçon commis par les utilisateurs de ses services, faute d’avoir reçu une notification lui permettant d’avoir une connaissance effective du contenu illicite (9). Dailymotion a en revanche été condamnée en 2012 par la Cour d’appel de Paris pour contrefaçon, pour avoir manqué de supprimer promptement cinq extraits permettant de visionner l’intégralité d’un film, et n’avoir pas mis en œuvre des mesures permettant d’empêcher la réapparition de ces contenus (10).

C’est d’ailleurs l’un des moyens retenu par la Cour européenne à l’encontre des cofondateurs de The Pirate Bay : alors qu’ils avaient été informés de l’échange de fichiers illicites, ils avaient refusés de mettre en œuvre les mesures propres à faire cesser les atteintes.

Ce régime favorable de responsabilité n’est bien entendu applicable qu’aux personnes qui hébergent des contenus pour le compte de tiers. L’éditeur, qui met à la disposition des internautes des fichiers illicites, sera lui condamné pour contrefaçon. A titre d’exemple, le Tribunal correctionnel de Saintes a condamné le 4 octobre 2012 l’administrateur de la plateforme de téléchargement mania.fr à six mois de prison avec sursis et à verser 171.000 euros de dommages et intérêts à plusieurs grandes entreprises du cinéma représentées par l’ALPA (Association de lutte contre la piraterie audiovisuelle) ainsi que 5 000 euros à la FNDF (Fédération nationale des distributeurs de films) et au SEVN (Syndicat de l’édition vidéo numérique). Entre 2008 et 2011, l’administrateur du site mania.fr avait, sans autorisation, proposé sur sa plateforme de téléchargement plus de 2.000 films, vidéos et documentaires.

4. La vente de produits détournés de leur finalité

En ce qui concerne la vente de produits, la responsabilité du fournisseur n’est pas recherchée à raison de la connaissance qu’il avait ou non du contenu en cause, mais de la connaissance présumée du détournement de son produit à des fins illicites.

Appelée en 1998 à statuer sur la responsabilité d’un vendeur de matériel détourné, la Cour d’appel de Paris avait à l’époque retenu que le directeur d’une société qui achetait et revendait des produits en toute légalité « ne pouvait savoir que les clients à qui il vendait ces appareils avaient l’intention de s’en servir pour contrefaire des jeux Nintendo ». Le défendeur avait fait « valoir qu’il est dans la même situation que le revendeur de magnétoscopes qui ne peut savoir si parmi ses nombreux clients, certains vont détourner vont détourner l’appareil vendu de la fonction numérique pour dupliquer à l’infini des films et les revendre, la situation étant la même pour les commerçants qui vendent des cassettes vierges et des magnétoscopes, etc… tous objets pouvant être détournés de leurs fonctions pour un usage frauduleux mais dont on ne poursuit pas les vendeurs ». Dans un arrêt du 26 septembre 2011, la Cour a infléchi sa position. Elle se fonde, pour condamner les vendeurs d’un matériel permettant, outre des utilisations licites, la reproduction et l’exploitation de jeux vidéo contrefaits, la connaissance qu’avaient ces derniers de l’utilisation à des fins illicites du matériel en cause.

Ainsi, les juges du fond se prêtent à une appréciation souveraine de la finalité du matériel et déterminent, pour statuer sur l’éventuelle responsabilité du vendeur et/ou fournisseur, si leur utilisation est principalement illicite ou non. Les circonstances de mise en vente du produit et les actions entreprises par le vendeur pour limiter les risques d’atteinte aux droits pourraient également être prises en compte dans l’appréciation faite par le juge de la responsabilité.

Lexing, Droit Propriété intellectuelle

(1) CEDH 5e sect. requête n°40397/12 Fredrik Neij and Peter Sunde Kolmisoppi c. Sweden du 19-2-2013.
(2) Communiqué CEDH 076 (2013) du 13-3-2013.
(3) Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales du 4-11-1950.
(4) CEDH Affaire 127226-87 du 22-5-1990 AUTRONIC AG c SUISSE.
(5) Bit Torrent est à la fois un protocole de communication, de transfert et de partage de fichiers en pair à pair (P2P) et le logiciel « officiel » permettant de transférer des fichiers à l’aide du protocole précédent, commercialisé par Bit Torrent Inc. société californienne commercialisant, Wikipedia.
(6) C. Pén., art. 121-7.
(7) CPI, art. L. 335-2-1.
(8) Art. 6 L. 2004-575 du 21-6-2004 dite de confiance dans l’économie numérique.
(9) Cass 1° civ n°09-67896 Sté Nord-Ouest UGC Image c Dailymotion du 17-2-2011.
(10) CA Paris n°10-12711 S.A. Dailymotion du 9-5-2012.




On n’est pas dupes du caractère incontrôlable de Twitter

TwitterAlain Bensoussan était l’invité de Sophie Joussellin dans l’émission « On n’est pas dupes » du jeudi 7 février 2013 sur RTL consacrée à Twitter.

Il nous présente la loi française et la position de Twitter vis-à-vis de la loi américaine en ce qui concerne le contrôle des messages et le respect de la loi française.

A la suite de déferlements de mini-messages racistes en octobre dernier, Twitter a été traîné en justice par plusieurs associations.

(Ecouter l’interview…)




Les plates-formes de partage de vidéos bénéficient du statut d’hébergeur

La Cour de cassation a rendu, le 17 février 2011, ses premières décisions relatives aux plates-formes de partage de vidéos et de liens au regard de la loi pour la confiance en l’économie juridique (LCEN). Dans le premier arrêt, la première chambre civile de la Cour de cassation a reconnu qu’une plate-forme de partage de vidéos, en l’espèce Dailymotion, bénéficiait du statut d’hébergeur et a ainsi confirmé l’analyse des juges du fond. La Cour de cassation a retenu que les opérations techniques de réencodage et de formatage des vidéos n’induisaient pas une sélection par Dailymotion des contenus mis en ligne. La mise en place de cadres de présentation et la mise à disposition d’outils de classification des contenus étaient justifiées par la seule nécessité de rationaliser l’organisation du service et d’en faciliter l’accès à l’utilisateur sans pour autant commander un quelconque choix quant au contenu mis en ligne. Revenant sur sa décision dans l’affaire Tiscali, la Cour de cassation considère désormais que l’exploitation du site par la commercialisation d’espaces publicitaires ne suffit pas à exclure le statut d’hébergeur. La Cour d’appel de Paris avait donc justement déduit que Dailymotion relevait du statut de prestataire technique au sens de l’article 6-I-2 de la LCEN.

La Cour a ajouté que la Cour d’appel avait exactement constaté que la notification à l’hébergeur du caractère illicite des informations qu’il stockait devait contenir l’ensemble des mentions imposées par l’article 6-I-5 de la LCEN. A défaut du respect de cette formalité, Dailymotion n’avait pas à agir promptement pour retirer le contenu litigieux.

Cette position est confirmée dans le second arrêt, qui concerne l’hébergeur AMEN.

Dans le troisième arrêt, la Cour de cassation a confirmé que la société éditrice du site www.fuzz.fr se limitait à structurer et classifier les informations mises à la disposition du public pour simplifier l’usage de son service mais n’était pas l’auteur des titres et des liens hypertextes. En outre, la société éditrice du site fuzz ne déterminait ni ne vérifiait les contenus du site. En l’absence de rôle actif de connaissance ou de contrôle des données stockées, la société créatrice du site bénéficiait donc du statut d’ hébergeur.

Cass. 1° civ. 17 février 2011 n° 09-67896

Cass. 1° civ. 17 février 2011 n° 09-15857

Cass. 1° civ. 17 février 2011 n° 09-13202

Alain Bensoussan, Micro Hebdo, 31 mars 2011