Abritel a commis une faute en tardant à supprimer proactivement une annonce frauduleuse
Publié le 31/01/2024 par Etienne Wery 2972 vues
Pour la Cour d’appel, Abritel disposait d’informations concrètes lui permettant d’agir promptement pour retirer l’annonce frauduleuse dès sa mise en ligne. L’hébergeur ayant trop tardé, il n’a pas agi promptement comme un opérateur diligent aurait dû le faire. C’est la première application française de la jurisprudence GLAWISCHNIG-PIESCZEK de la Cour de justice de l’Union européenne.
Les faits soumis à la Cour d’appel d’Amiens
Le 2 août 2020, les époux R ont recherché une location de vacances sur le site internet Abritel.
Intéressés par une annonce portant sur une maison identifiée (Adresse et localité), ils contactent le propriétaire apparent et, à sa demande, ils ont conclu le contrat de location en dehors du site et payé la somme de 5 600 euros, par virement bancaire du 3 août 2020.
Malheureusement l’annonce est une fraude.
Ayant appris du propriétaire réel que la maison avait fait l’objet par le passé d’annonces frauduleuses, l’ayant conduit à déposer plainte pour usurpation d’identité et escroquerie, les époux R ont contacté le service client du site Abritel qui leur a indiqué qu’aucune réservation à leur nom n’était enregistrée sur la plateforme.
Le 6 août 2020, les R ont porté plainte pour escroquerie.
Après vaine mise en demeure du 10 mars 2021, les époux R ont recherché la responsabilité de la société HomeAway France en qualité d’hébergeur du site Abritel. La société HomeAway UK est intervenue volontairement à l’instance, indiquant qu’elle était l’hébergeur du site.
Rappel concernant la responsabilité des intermédiaires
On sait que les articles 12 à 15 de la directive sur le commerce électronique visent la responsabilité des prestataires intermédiaires :
- Les articles 12 à 14 contiennent les règles matérielles relatives à la responsabilité de l’intermédiaire dans trois cas spécifiques : le simple transport (art. 12), le stockage dit caching (art. 13) et l’hébergement (art. 14),
- L’article 15 précise qu’aucun des trois ne peut se voir imposer d’obligation générale de surveillance.
Dans l’arrêt Mc Fadden, la CJUE avait jugé que « (…) les dérogations de responsabilité prévues à ces dispositions sont soumises à des conditions d’application différentes en fonction du type d’activités concerné » et, en ce qui concerne en particulier les hébergeurs (art. 14), l’absence de responsabilité n’est acquise qu’à condition que :
- Le prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicites et, en ce qui concerne une demande en dommages et intérêts, n’ait pas connaissance de faits ou de circonstances selon lesquels l’activité ou l’information illicite est apparente ; ou
- Le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible.
On a donc un mécanisme complexe avec des signaux parfois contradictoires :
- L’hébergeur est un acteur neutre. Dans l’arrêt Google France, se référant au considérant 42, la Cour a jugé que les dérogations ne couvrent que l’activité du prestataire qui revêt un caractère « purement technique, automatique et passif », impliquant que ledit prestataire « n’a pas la connaissance ni le contrôle des informations transmises ou stockées » (point 113), ce qu’elle décrit aussi comme un comportement « neutre » (point 114). Elle a répété sa position dans l’affaire L’Oréal, au sujet des places de marché (eBay en l’occurrence). C’est la même logique qui lui a permis, dans l’arrêt Papasavvas, d’exclure de la notion d’hébergeur, la société éditrice de presse à l’égard de son site Web « dès lors qu’elle a connaissance des informations publiées et exerce un contrôle sur celles-ci ».
- Il n’y a pas d’obligation générale de surveillance. L’article 15 de la directive, qui vise les trois intermédiaires susmentionnés, interdit aux États membres de leur imposer une « obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ».
- Nonobstant l’interdiction d’obligation générale de surveillance, les hébergeurs peuvent avoir un devoir de collaboration. Le même article 15 permet toutefois aux États membres de mettre à charge de ces trois intermédiaires « l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement ».
Le précédent GLAWISCHNIG-PIESCZEK (arrêt de la CJUE)
En Autriche, une députée avait obtenu en référé une injonction à l’encontre de Facebook, lui enjoignant de cesser la publication et/ou la diffusion du contenu illicite identifié, mais également des messages contenant les mêmes allégations ou des allégations de « contenu équivalent ».
Le juge d’appel avait confirmé, s’agissant des allégations identiques, mais infirmé en ce qui concerne les allégations de contenu équivalent : à l’égard de celles-ci, il avait jugé que Facebook ne doit agir que si ces contenus sont portés à sa connaissance par la requérante au principal, par des tiers ou d’une autre manière.
Avant de trancher en dernière instance, l’Oberster Gerichtshof a sollicité la CJUE sur l’interprétation à donner à l’article 15 de la directive sur le commerce électronique. L’arrêt, rendu par la 3ème chambre le 3 octobre 2019, présente le plus grand intérêt.
La Cour commence par trancher la question de l’obligation « générale » de surveillance : renvoyant au considérant 47 de la directive, elle souligne qu’une telle interdiction ne concerne pas les obligations de surveillance « applicables à un cas spécifique » (point 34), ce qui peut être le cas d’une information précise, stockée par l’hébergeur concerné à la demande d’un certain utilisateur de son réseau social, dont le contenu a été analysé et apprécié par une juridiction compétente de l’État membre qui, à l’issue de son appréciation, l’a déclarée illicite (point 35).
Vu la nature des réseaux sociaux et les outils de partage et de rediffusion qui les caractérisent, la Cour estime qu’il est légitime que la juridiction nationale puisse étendre l’injonction aux informations dont le contenu est identique à celui déclaré illicite, quel que soit l’émetteur. Il en découle une sorte de droit de suite sur le contenu identique partagé ou repris par des tiers : la suppression du premier entraine la suppression du deuxième, et ainsi de suite pour tout contenu identique.
Le plus innovant est toutefois à venir.
En effet, la Cour avait été saisie d’une question spécifique sur les informations de contenu équivalent, c’est-à-dire « des informations véhiculant un message dont le contenu reste, en substance, inchangé et, dès lors, diverge très peu de celui ayant donné lieu au constat d’illicéité » (point 39).
La Cour n’imagine pas qu’il soit possible d’assurer la finalité de l’injonction (faire cesser un acte illicite et en prévenir la réitération ainsi que toute nouvelle atteinte aux intérêts concernés), si ses effets étaient limités aux contenus identiques. Elle suggère de s’attacher au contenu du message plutôt qu’aux mots ou leur combinaison, sous peine de conduire la personne concernée à devoir multiplier les procédures aux fins d’obtenir la cessation des agissements dont elle est victime (point 41).
Il n’a pas échappé à la Cour que la mise en œuvre de son arrêt n’ira pas sans susciter de nombreuses difficultés. Pour elle, la réponse est dans la qualité de la rédaction de l’injonction : il importe, dit-elle, que « les informations équivalentes (…) comportent des éléments spécifiques dûment identifiés par l’auteur de l’injonction, tels que le nom de la personne concernée par la violation constatée précédemment, les circonstances dans lesquelles cette violation a été constatée ainsi qu’un contenu équivalent à celui qui a été déclaré illicite ». On comprend à la lecture de l’arrêt que la frontière est franchie dès l’instant où « l’hébergeur concerné [doit] procéder à une appréciation autonome dudit contenu » (point 45).
La Cour a donc largement ouvert la porte, et elle ne l’a pas fait pas accident : l‘avocat général Szpunar l’invitait expressément à se montrer plus réservée, de sorte qu’elle a posé un acte clair et conscient en épousant au plus près la thèse du plaignant au principal.
L’arrêt de la Cour d’appel d’Amiens concernant Abritel
Saisie en appel de l’affaire Abritel dont les faits ont été rappelés ci-dessus, la Cour d’appel commence par rappeler l’article 6, I., 2°, alinéa 1, de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) : pas de responsabilité pour l’hébergeur s’il n’a « pas effectivement connaissance [du] caractère manifestement illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où [il a] eu cette connaissance, [il a] agi promptement pour retirer ces données ou en rendre l’accès impossible ».
La Cour souligne encore que l’article 6, I, 7° de cette loi précise que les personnes ayant la qualité d’hébergeur ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.
La Cour rappelle enfin les principes de base concernant la responsabilité extracontractuelle.
En l’espèce, la Cour d’appel relève que :
- L’annonce de location frauduleuse du bien a été consultée le 2 août 2020.
- L’hébergeur avait été averti de deux précédentes annonces frauduleuses portant sur le même bien, la même année 2020. La société Homeaway UK indique ainsi que l’annonce publiée le 3 janvier 2020 et consultable le 5 janvier sur le site a été désactivée le 6 janvier, et que l’annonce consultable le 3 mai 2020 a été désactivée le 6 mai.
- Les époux R fournissent ensuite les notifications adressées par le conseil de la SCI Sicoia capital détenue par les époux [B], propriétaire réel de la maison. Aux termes de ces courriers recommandés avec demande d’avis de réception signés les 10 janvier et 26 juin 2020, il était indiqué que les époux [B] avaient été dérangés par des vacanciers croyant avoir réservé la location et qu’une plainte allait être déposée pour usurpation d’identité. Il était sollicité la cessation immédiate de toute publication de l’annonce et le blocage pour l’avenir de toute nouvelle publication concernant le bien sur le site Abritel.
Pour la Cour d’appel, il en résulte que « la société Homeaway UK avait connaissance de deux précédentes fraudes la même année 2020 portant sur le même bien, de l’identité du propriétaire réel et de deux plaintes circonstanciées émanant de son conseil lui demandant de bloquer une telle annonce pour l’avenir. La connaissance de ces faits et circonstances, constitutives d’une atteinte à la sécurité et à la vie privée, faisait clairement apparaître le caractère illicite d’une troisième annonce postée la même année et relative au même bien. La réalité de la connaissance du caractère frauduleux de l’annonce consultée le 2 août 2020 est donc établie. »
La Cour juge que « indépendamment d’une obligation générale de surveiller les informations transmises ou stockées, la société Homeaway UK disposait d’informations concrètes (adresse du bien, descriptif de l’annonce, prix de la location) lui permettant d’agir promptement pour retirer l’annonce dès sa mise en ligne. Elle ne conteste d’ailleurs pas que des contrôles ponctuels sont possibles et qu’une recherche des annonces frauduleuses peut techniquement se faire par les éléments d’identification que sont l’adresse du bien, son descriptif ou le prix de la location, ces éléments étant identiques dans les trois annonces frauduleuses. »
En l’espèce, la société Homeaway UK indique avoir retiré le 5 août 2020 l’annonce frauduleuse datée du 2 août (les époux R l’ayant vue le jour même, conclu le contrat de location et payé le montant demandé le 3 août 2020).
Trop tard selon la Cour : l’hébergeur « ne prouve pas avoir agi promptement comme un opérateur diligent aurait dû le faire ».
Pour autant, il n’y a pas de condamnation car les époux R n’auraient pas dû contracter directement avec le titulaire de l’annonce sans passer par les outils mis à disposition par le site pour procéder à la réservation et au paiement en ligne.
L’hébergeur s’en sort donc sans casse dans ce cas-ci, mais il n’empêche que sa responsabilité a été engagée et que c’est une première.
Plus d’infos ?
En lisant l’arrêt de la Cour d’appel d’Amiens.
En lisant notre commentaire complet de l’arrêt GLAWISCHNIG-PIESCZEK de la Cour de justice, disponible en annexe (extrait du journal de droit européen).