FAI, hébergeurs et internet : quand Ali baba n’a pas encore le mot de passe
Publié le 30/11/2005 par Jean-Claude PATIN
« Internet ouvre toi » pourrait être la dernière formule à la mode pour toute entreprise en mal de croissance ou à la recherche de nouveau(x) marché(s). L’apparition de nouvelles techniques de communication depuis l’éclatement de la première bulle en 2000 (Wi-Fi, Adsl, P2P, etc.), les valorisations effarantes de sociétés « internet » qui dépassent…
« Internet ouvre toi » pourrait être la dernière formule à la mode pour toute entreprise en mal de croissance ou à la recherche de nouveau(x) marché(s).
L’apparition de nouvelles techniques de communication depuis l’éclatement de la première bulle en 2000 (Wi-Fi, Adsl, P2P, etc.), les valorisations effarantes de sociétés « internet » qui dépassent désormais des géants tels Général Motors ou Ford, un cadre législatif renouvelé en France en 2004, tout est réuni pour dessiner un avenir plein de promesses… et de dollars.
Pourtant, les fournisseurs des « pelles, des pioches et des couvertures » n’ont pas surmonté tous leurs problèmes et la règle qui prévaut tant dans le secteur des fournisseurs d’accès (FAI) que du côté des hébergeurs reste l’opportunisme et l’attentisme. En effet, les modèles économiques de ces acteurs sont loin d’être stables, et on ne compte plus les sociétés qui ferment, sont rachetées, fusionnent, changent de métier. L’hébergement, par exemple, ne connaît aucun champion mondial durable.
De même à des échelles plus modestes, pas d’avantage de leader incontestable sur le continent européen. A part les spécialistes, qui se souvient d’Exodus, d’Intégra, d’Adarweb, d’Himalaya, etc. ?
Pourtant depuis dix ans, des sociétés de services et de contenus purement web comme eBay, Google, Yahoo, Amazon, Kelkoo, etc., sont devenues des références incontestables. Si le contenu se développe, la technique « réseau » ne fournit aucun acteur référent, c’est l’éparpillement qui prédomine. Pourquoi ?
Au-delà d’une analyse économique et marketing, il faut reconnaître que le métier d’hébergeur internet demeure encore une énigme pour beaucoup d’observateurs et notamment les juristes. Que propose un hébergeur ? Quelles prestations offre-t-il ? Quelles sont ses obligations ? A-t-il des ancêtres ? Toutes ces questions ont été peu ou prou abordées au cours des débats (au Sénat par exemple) sur la Loi pour la Confiance dans l’Economie Numérique (LCEN).
Du chaos qui a suivi la mauvaise réforme du 1er Août 2000 est sorti un texte un peu meilleur mais qui fournit encore très imparfaitement les outils au juriste qui informe l’hébergeur. L’explosion de la téléphonie et le rapprochement des acteurs de téléphonie traditionnelle avec les opérateurs réseaux (Cisco, Juniper) brouille encore d’avantage les cartes et rien ne laisse actuellement présager d’une clarification juridique prochaine.
Retour sur la situation de l’hébergement professionnel en Juillet 2005
L’activité fourniture d’accès
On peut s’étonner de voir figurer ici la fourniture d’accès, prestation le plus souvent fournie directement par un opérateur appelé également Fournisseur d’Accès Internet (FAI). Outre la stratégie de revente au détail de bande passante achetée auprès de grossistes, l’hébergeur peut être amené à mettre en œuvre des prestations d’hébergement complexe qui peuvent comprendre par exemple la mise en œuvre de VPN garantis par des obligations de disponibilité et de sécurité très importantes (mises à jours par exemple). Quel est alors exactement son statut juridique ?
On peut poursuivre le raisonnement sur le terrain de la téléphonie (téléphonie par IP, vois sur IP), domaine dans lequel les rôles d’opérateur, intégrateur, revendeur vont également se mélanger. Dans tous les cas, revente ou intégration d’architectures complexes, l’hébergeur est à la croisée des chemins. Faut-il se lancer dans des demandes d’autorisations auprès de l’ARCEP ? Faut-il filialiser les activités FAI ? Faut-il conserver les données de connexions ?
Aucune réponse n’est actuellement définitive sur ces deux questions et sur le terrain juridique, les observateurs progressent lentement au rythme des décisions de justices qui sont rendues au compte goutte.
La location de baies
Les « fermes » ont été durement malmenées après l’éclatement de la bulle en 2000. Conception de l’hébergement qui est à l’internet ce que la poule en batterie est à l’aviculture, la ferme est une exploitation rationalisée et intensive de mètres carrés dans des salles appelées communément « datacenter ».
Ces salles, le plus souvent abritées dans des bâtiments dédiés avec accès sécurisé, sont équipées d’armoires appelées « baies », lesquelles sont raccordées aux réseaux électrique et internet 24/24 et 7/7. Ces salles permettent notamment à leur exploitant de louer des emplacements pour serveurs dans les baies selon des formules commerciales pré-définies ou à la carte.
Dans ce secteur comme dans d’autres, il existe des « pure players » qui se contentent d’entretenir l’infrastructure et de travailler directement avec des hébergeurs qui profitent des installations et des services (sécurisation des accès, des approvisionnements en énergie, redondances des connexions, fourniture le cas échéant des adresses IP, etc.). Les hébergeurs ne sont alors que des détaillants, ne maîtrisant ni les évolutions techniques, ni les approvisionnements.
Il arrive même qu’ils ne soient pas propriétaires de leur propre plage d’adresses IP, se contentant de les louer au fermier, lui-même parfois les louant aux opérateurs câblant la salle.
Le juriste est alors dans l’embarras lorsqu’il tente d’appliquer le régime de responsabilité de la LCEN. En cas d’infraction réelle ou supposé suite à l’édition d’un contenu interdit (voir article 6 de la loi du 22 Juin 2004), qui doit restreindre l’accès ? Le fermier, propriétaire de l’adresse IP sur laquelle le serveur a été branché dans sa baie par un hébergeur ? L’hébergeur qui accueille le site web incriminé ? Techniquement, le fermier – ou le titulaire de la plage IP – sera toujours le premier identifié si le site web ne respecte pas ses obligations juridiques de publication.
Le plaignant ignorera jusqu’à l’existence de l’hébergeur et dirigera ses procédures contre le propriétaire de l’adresse IP qui apparaît sur les outils de traceroutes. Les hébergeurs possédant leur propre data center et proposant à la marge la location de baie sont soumis à la même difficulté. La traçabilité technique remplace la traçabilité juridique qui, pour l’heure, reste encore faiblement appliquée sur les sites web. Sur ce point, on ne peut que regretter l’ancienne rédaction de la loi de 1986.
L’hébergement de serveurs
L’activité d’hébergement est elle-même divisible en deux grandes familles. Suivant le niveau des prestations de services, ce que les juristes connaissent sous le nom de contrat d’entreprise, on se trouvera dans le « hosting dedicated » ou le « housing ».
hébergement simples (« hosting »)
L’hébergeur se contente de fournir un emplacement dans une baie. Le client installe lui-même son serveur ou se fait assister des techniciens de l’hébergeur. Cette prestation brute s’est au fil du temps étoffée et comprend le plus souvent une assistance à l’installation et au paramétrage de l’OS sur la machine. Cette prestation s’accompagne également en option d’une installation des applications choisies et/ou développées par le client. Ces opérations viennent compliquer le travail du juriste qui doit tenter de démêler ce qui relève de la responsabilité de l’hébergeur et ce qui relève de la responsabilité de son client hébergé.
Ainsi, comme dans le housing, l’hébergement dédié est le plus souvent un mélange de contrat de vente du serveur, voire de location avec option d’achat, parfois assorti d’une installation de logiciels dont il faut déterminer le titulaire de la licence d’utilisation, le tout accompagné de prestations d’assistance à l’installation des applications développées ou choisies par le client.
La technique ayant évoluée, l’hébergeur est le plus souvent soumis dès ce stade, à des exigences de performances garanties par des « SLA ». Ces petits objets contractuels doivent le plus souvent garantir la fiabilité du réseau de l’hébergeur en fixant des seuils de disponibilité (99,5% du temps annuel en général et au minimum).
Naturellement plus la prestation de l’hébergeur sera étoffée, plus les points visés par le SLA seront nombreux. Et plus l’hébergeur maîtrisera techniquement sa prestation, plus les sanctions auxquelles il acceptera de se soumettre dans le SLA seront élevées.
Vis-à-vis du tiers, l’hébergeur de serveur est notamment soumis aux dispositions de la LCEN et à son article 6.
Toutefois, suivant sa stratégie commerciale, les responsabilités risquent de ne pas être aussi simples à établir qu’il n’y parait. En cas de revente de packs hébergement (semi-dédié ou mutualisé) à d’autres professionnels de l’internet qui se chargeront du contrat final avec l’éditeur du site web, l’hébergeur de serveurs dédiés n’est plus qu’un grossiste qui ne maîtrise plus la relation avec l’éditeur.
Quelle est sa place dans le dispositif juridique prévu par la LCEN ? Comment se situe-t-il par rapport au fermier décrit plus haut ? Quel est son rôle par rapport à ses clients détaillants ? Doit-il maîtriser ses plages d’adresses IP ou doit-il au contraire ne pas apparaître sur le réseau ? Doit-il imposer à ses détaillants de lui transmettre les coordonnées de leurs clients afin de vérifier que les obligation d’identification prévues par la LCEN sont bien remplies ?Autant de questions sans réponses pour le moment, la jurisprudence étant muette sur ces points.
hébergement avec infogérance (« housing »)
Dans ce cas, l’hébergeur va fournir une prestation très complète puisqu’il va proposer une solution globale à son client qui souhaite le plus souvent externaliser toute une série d’opérations. L’hébergeur propose non seulement son infrastructure et ses compétences réseau mais également son savoir faire dans des domaines connexes comme la tierce maintenance applicative (TCA) ou l’intervention sur matériel (GTRM).
Les obligations supportées par l’hébergeur sont assurées le plus souvent par des dispositifs « SLA » qui ont pour objet d’introduire une dose de résultat dans des contrats qui sont en général des sommes d’obligations de moyens. Les garanties présentées dans les SLA reflètent le niveau de maîtrise du prestataire et témoignent de sa volonté – et capacité – à répondre aux attentes du client.
Ce type de contrat est toutefois sévèrement encadré par l’hébergeur. Les engagements de ce dernier étant très forts, le client qui souhaitera en bénéficier devra non seulement être capable financièrement mais également – peut-être surtout – de définir avec rigueur et précision son projet. En effet, les garanties de maintenance ou de rétablissement sont les fruits de procédures alternant développement, réception, validation puis surveillance avant d’envisager des interventions curatives.
Les contrats d’hébergement avec infogérance sont souvent l’occasion pour de nombreux clients de découvrir les lacunes de leurs propres procédures et de leurs équipes.
Paradoxalement, la LCEN ne prend pas en compte la spécificité de l’hébergeur infogérant qui a pourtant beaucoup plus de pouvoirs sur les contenus du client que le fermier ou l’hébergeur pratiquant le « hosting ».
Le propos peut être considéré comme hors sujet pour des clients faisant appel à l’infogérance, les contenus faisant naturellement l’objet d’une procédure de validation complexe avant leur publication. Mais la jurisprudence récente nous a montré que des contenus pornographiques ou diffamants avaient été édités sur des plates-formes de sociétés importantes et réputées par des salariés mécontents ou indélicats.
L’hébergement mutualisé (sharing)
C’est le type d’hébergement le plus courant et le plus répandu, connu notamment par les packs « low cost » proposés aux TPE/PME et aux particuliers. Le principe est très simple : une machine accueille sur son disque dur un grand nombre de sites web. Les ressources de la machine (processeur, mémoire ram, disque, trafic, bande passante) sont partagées entre tous les utilisateurs hébergés. L’avantage financier est certain pour l’hébergeur comme pour le client et certaines sociétés ont bâti leur modèle économique sur la vente de ce type de prestation.
Par définition, l’hébergeur ne pourra pas couper l’accès à la machine en cas de contenus manifestement illicites sur un site web hébergé sur du mutualisé.
Par ailleurs, la logique économique qui prévaut dans ce type d’hébergement impose une automatisation accrue de tous les processus, lesquels vont de la prise de commande par formulaire en ligne et paiement par carte bancaire jusqu’à la prise de contrôle en ligne du site par interfaces plus ou moins abouties (Plesk, Sphéra pour citer deux exemples répandus). Cette automatisation pose concrètement des problèmes, notamment lors de la prise de commande.
En effet, dans les contrats où les enjeux financiers sont d’une certaine importance, le client est toujours identifié précisément, ne serait-ce que dans la perspective d’assurer commercialement un suivi efficace et éventuellement un recouvrement lui aussi efficace.
Les hébergements mutualisés sont contractés à l’initiative du client, l’offre de l’hébergeur étant permanente. Dès lors, seule la condition du paiement en ligne doit véritablement être respectée. Le client peut ouvrir un compte en fournissant de fausses coordonnées. Les obligations d’identification visées par la LCEN ne sont pas contrôlées par l’hébergeur et par voie de conséquence par forcément respectées. Si le client, éditeur du site, ne se plie pas à ses propres obligations d’identification, la responsabilité de l’hébergeur en cas de dérapage peut être totale.
Cette responsabilité sera d’autant plus mal acceptée par l’hébergeur que son éventuelle condamnation ne sera pas proportionnelle au montant de l’abonnement souscrit par le client indélicat. Cette difficulté a été récemment soumise au juge français (affaire Dargaud-Lombard-Lucky c/ Tiscali Media) qui a retenu la responsabilité de l’hébergeur incapable de fournir des coordonnées valides du client hébergé.
Cette incapacité tient tout autant d’un régime juridique insuffisamment précis dans son approche que dans la volonté, parfois active, de ne pas se préoccuper de la légalité de son activité, tant du côté de certains hébergeurs que du côté des internautes.
L’hébergement aujourd’hui est encore une activité à haut risque qui n’a pas trouvé dans les réformes juridiques successives depuis cinq ans de véritable cadre juridique garantissant un exercice paisible. Le flou et l’expectative sont les deux règles qui alimentent les polémiques, elles-mêmes déclenchées par des vrai-fausses surprises.