LCEN, réforme de la loi informatique et libertés, quelle compatibilité ?
Publié le 03/04/2005 par Jean-Claude PATIN
Un clou chasse l’autre, tel pourrait être le proverbe des praticiens du droit du web. Depuis l’affaire « SAFARI » des années 70 et l’émoi qui s’en était suivi, entraînant la création d’un cadre juridique – la loi dite « Informatique et Libertés » du 6 Janvier 1978, l’eau n’a cessé de couler sous les…
Un clou chasse l’autre, tel pourrait être le proverbe des praticiens du droit du web. Depuis l’affaire « SAFARI » des années 70 et l’émoi qui s’en était suivi, entraînant la création d’un cadre juridique – la loi dite « Informatique et Libertés » du 6 Janvier 1978, l’eau n’a cessé de couler sous les ponts.
D’interrogations en réformes, de polémiques en faux débats, les spécialistes du droit de l’informatique n’ont cessé depuis vingt ans de maudire le juge, accusé, bien souvent à tort, d’archaïsme et d’appeler de leurs vœux l’intervention du législateur.
De ce point de vue, l’année 2004 fût féconde puisqu’elle offrit aux utilisateurs et aux juristes deux réformes majeures. La première dans l’ordre chronologique fût une loi de transposition d’une directive européenne, connue sous l’acronyme évocateur « LCEN » rappelant qu’il était question, pour ceux qui l’avaient oublié, de restaurer la confiance dans l’économie numérique.
Les cris, vociférations et autres comportements libertaires autoproclamés avaient fini par jeter le doute sur un médium potentiellement générateur de croissance économique. Par un ensemble de règles touchant notamment aux mécanismes de la responsabilité civile et pénale, le législateur s’est emparé d’un débat, très vif à défaut d’être riche, qui agitait le microcosme des internautes depuis quelques années. Devait-on sanctionner la diffamation, l’insulte, le racisme, …, dans le cyber-espace ? Pouvait-on interdire le parasitisme ou la contrefaçon sur internet ? Pouvait-on surveiller les contenus ?
Ces questions ont alimenté des débats souvent oiseux entre spécialistes jusqu’à ce qu’une personnalité médiatique obtienne en 1997 la condamnation d’un intervenant technique chargé de l’hébergement des contenus illicites. Le monde politique pris brusquement fait et cause pour l’hébergeur, soucieux de préserver une supposée industrie naissante, le cybermonde étant alors considéré comme le futur eldorado économique et financier.
De réforme catastrophique (destruction du régime de traçabilité des responsabilités éditoriales prévu dans la loi de 1986 par la loi du 1er Août 2000) en jurisprudences parfois incohérentes (voir les nombreuses contradictions en matière de contrefaçon de nom de domaine par exemple), la LCEN devait trancher le nœud gordien. Les hébergeurs héritèrent d’un statut différencié de celui des fournisseurs d’accès (FAI) et les éditeurs de site ne furent plus confondus avec les deux catégories précédentes. De cette séparation naquit officiellement une obligation spécifique pour les hébergeurs : l’exercice d’un devoir de censure de tout contenu manifestement illicite. La directive européenne exonérant expressément les hébergeurs de toute surveillance et de tout contrôle a priori des sites web, un dispositif de signalement fut inséré dans la loi (article 6).
Ainsi, il est désormais possible de signaler aux hébergeurs un contenu qui semble en apparence illicite aux yeux de celui qui le signale. Ce signalement, pour être recevable, doit respecter un ensemble de règles de forme. Ainsi l’anonymat – formel à défaut d’être réel – est-il proscrit.
Le signalement pouvant au choix s’effectuer par la voie classique du courrier papier ou par voie électronique, se pose désormais le problème de la compatibilité de la LCEN avec la loi Informatique et libertés. En effet, lorsque l’internaute signale par voie électronique à l’hébergeur un contenu qui lui semble illicite, il y a nécessairement traitement automatisé d’information(s) à caractère personnel touchant une personne physique. Ce traitement entre dans le champ d’application de la loi du 6 Janvier 1978 qui a connut elle aussi une réforme l’été dernier.
La loi du 6 janvier 1978 permet aux personnes physiques qui le souhaitent de bénéficier d’un droit d’accès, de rectification voire de suppression des données la concernant figurant dans le fichier informatique. Ce droit attaché à la personne peut s’exercer à tout moment et ne connaît pas de limitation hors celles expressément prévues par la loi (article 7 de la réforme du 7 août 2004).
Ainsi, le respect d’une obligation légale incombant au responsable du traitement, la sauvegarde de la vie de la personne concernée, l’exécution d’une mission de service public […], l’exécution […] d’un contrat, la réalisation de l’intérêt légitime poursuivi par le responsable du traitement […] sont des motifs permettant de se passer du consentement des personnes concernées par le traitement. La loi reste toutefois muette sur la possibilité de limiter le droit à la rectification ou la suppression de données après collecte des informations.
Dès lors, l’hébergeur se trouve face à un problème cornélien. La LCEN lui impose de fournir des moyens, y compris électroniques, de signalement de tout contenu illicite. Tout manquement à cette obligation pourrait conduire à une situation juridique assez grave pour l’hébergeur si sa négligence avait pu favoriser le maintien de propos racistes (par exemple) sur un site web hébergé sur ses plates-formes. Par cette obligation de mise à disposition de moyens de signalement de contenus illicites, l’hébergeur entre de facto dans une procédure que l’on qualifiera potentiellement de « pré-judiciaire ».
En effet, les éléments portés à sa connaissance (voir article 6.I.5 de la LCEN) vont concourir, le cas échéant, à la mise en œuvre de sa responsabilité civile voire pénale. La LCEN ne prévoit rien de moins qu’une procédure de dénonciation engageant à titre principal la responsabilité de celui qui la reçoit. On comprendra dès lors aisément l’impérieuse nécessité de conserver en l’état les signalements reçus sans qu’il puisse être possible de les modifier. Admettre une telle possibilité reviendrait nécessairement à fragiliser la procédure de signalement en favorisant les légèretés et donc en dégradant la solennité du signalement.
Cette procédure devant conduire à la production d’une pièce judiciaire, comment est-elle comprise par la loi informatique et libertés ?
Il faut hélas admettre que la réponse ne se trouve pas dans la loi du 6 Janvier 1978. Ses dispositions ne prévoient pas, en faveur des hébergeurs, d’exemption au droit d’accès et de rectification pour ce qui concerne le traitement des signalements de contenus illicites. Si la lecture à contrario de l’article 7 1° de la réforme du 7 août 2004 précise que le respect d’une obligation légale incombant au responsable du traitement permet de se passer du consentement de la personne concernée par le traitement pour collecter des informations à caractère personnel, rien ne vient interdire par la suite une rectification des données collectées.
Le cocktail ainsi obtenu est explosif. Le régime de signalement prévu par la LCEN devient instable du seul fait de l’insécurité pesant sur le caractère non définitif des informations transmises. Que penser d’une pièce de procédure dont les données pourraient changer en cour d’examen ?
Suite à une saisine de la Commission Nationale de l’Informatique et des Libertés (Saisine n°05001379) visant très exactement ce point de vue pratique et cette potentielle incompatibilité, la CNIL a fourni une réponse officielle. Le droit d’accès et de rectification doit, selon la commission, être maintenu afin de préserver les possibilités de mise à jour des données transmises (changement d’adresse par exemple). La commission précise en outre que les informations transmises dans le cadre du signalement prévu par la LCEN devront également être transmises aux autorités judiciaires.
Précisons que cette obligation de transmission des informations aux autorités publiques (article 6.I.7al4 de la LCEN) ne peut être systématique puisque la loi ne vise que les contenus manifestement illicites (rappel du Conseil constitutionnel). Pour tous les autres types de contenus dont le caractère illicite ne serait pas flagrant, la loi est muette. L’hébergeur se trouve-t-il protégé dès lors qu’il transmet un signalement aux autorités publiques. En effet, dans ce cas, les informations portées à sa connaissance par le délateur pourront certes être rectifiées. Mais ces rectifications devront alors également être portées à la connaissance desdites autorités publiques. La sécurité juridique de l’hébergeur est assurée. Qu’en est-il des signalements qui n’auront pas été considérés comme manifestement illicites (à tord ou à raison) ?
L’obligation d’information des autorités publiques disparaissant, l’hébergeur retrouve son tête-à-tête avec le délateur et son droit d’accès et de rectification.
Ce dialogue imposé par la loi du 6 janvier 1978 est par essence déséquilibré puisque l’un des deux intervenants tient le couteau par la lame. Ainsi, l’hébergeur ne dispose-t-il d’aucun moyen d’investigation lui permettant de vérifier l’identité et/ou les motivations voire les sources du délateur. Il peut même être conduit à procéder à des interruptions intempestives ou abusives alors que le signalement pourrait être le cœur d’une manipulation ou d’une opération de « warketing ».
Un salarié mécontent de son sort dans son entreprise pourra tout à la fois modifier le contenu du site de sa société ou tout simplement placer sur l’espace disque dédié à l’hébergement du site de sa société son propre contenu puis, sous couvert d’une identité d’emprunt – pas nécessairement fausse – signaler à l’hébergeur l’illicéité du contenu afin d’obtenir la suspension voire la coupure, à tout le moins le signalement aux autorités judiciaires. Cette hypothèse ne relève pas du cas d’école puisque la jurisprudence récente a pu connaître le détournement des outils informatiques par des salariés mal intentionnés ou peu scrupuleux (Mr L. c/ Nortel Cass. Crim. N° R 03-83.953 19/05/04 ou Sté Escota c/ Lycos, Lucent et Mr B. TGI Marseille 11 juin 2003, décisions publiées sur le site Juritel.com). Les cas sont certes peu nombreux et présentent des caractéristiques extrêmes. Mais c’est précisément ces cas limites qui font le quotidien des juristes. Le risque de manipulation existant, que répondre à un internaute délateur souhaitant user de son droit d’accès et de rectification, histoire de brouiller encore un peu plus les cartes ?
Cette observation vaut également pour des manipulations opérées de l’extérieur de l’entreprise par des hackers agissant sur commande d’un concurrent. Lorsque l’opération d’intrusion est suffisamment bien montée techniquement, il est très difficile voire impossible de démontrer la manipulation. Les moyens d’investigations tant des hébergeurs que des autorités judiciaires sont totalement sous dimensionnés pour répondre à ce type de questions et le risque de prendre les apparences pour argent comptant est assez grand. L’hébergeur risque alors de prêter son concours à une opération de déstabilisation commerciale et ce faisant peut voir sa responsabilité civile voire pénale (les mesures de protections des données hébergées sont-elles suffisantes, efficaces ?) engagée. L’enfer est pavé de bonnes intentions et l’hébergeur est coincé dans une tenaille juridique.
Sur ce terrain, la CNIL répond que l’hébergeur peut ne pas donner de suite aux demandes de rectification, celles-ci devant être « légitimes ». Si la formule est heureuse sur le papier, elle l’est beaucoup moins en pratique. Cela suppose en effet une procédure de contrôle a priori des demandes de rectification. Il est douteux que les rédacteurs de la LCEN puis de la réforme de la loi informatique et libertés aient pensés aux conséquences induites par de telles complications.
Les praticiens du droit sur internet savent que les techniques évoluent très vite tout comme les faits, les clients, les relations, etc. Il est dès lors très important de figer les informations lorsqu’elles revêtent un caractère potentiellement dangereux (c’est tout l’intérêt des constats d’huissier sur internet). N’oublions pas que la LCEN tout comme la loi du 6 janvier 1978 réformée comprennent des dispositions pénales.
Au-delà, les conséquences civiles peuvent être graves pour un hébergeur qui aura été jugé défaillant ou au contraire trop diligent. Ce drame cornélien aurait pu être évité par l’introduction d’une exception au droit d’accès et de rectification au profit des hébergeurs dans la réforme de la loi du 6 janvier 1978 entreprise en 2004. Tel ne fût pas le cas et l’insécurité juridique pointe de nouveau son nez.
Que faire alors ? Il est probable que le juriste confronté à cette difficulté arbitrera la mort dans l’âme pour le risque le moins élevé, à savoir le non respect de toutes les dispositions de la loi informatique et libertés. En attendant que le législateur ou la jurisprudence corrige le tir ou que la CNIL dispose de pouvoirs vraiment coercitifs.