L’actualité du droit des nouvelles technologie est, cette semaine, très intéressante. Il y aurait beaucoup à dire, mais nous nous limiterons volontairement à trois décisions de justice particulièrement importantes. La première est une décision du TGI de Paris relative à la responsabilité des intermédiaires, prise à la suite de la décision de la CUJE dans l’affaire Google «Ad Words», la deuxième est une décision de la CJUE dans le domaine des conflits de juridictions ; enfin, la troisième est une décision de la CJUE relative au filtrage du Net.
TGI Paris, Olivier Martinez c. Google, 17 novembre 2011
Dans une décision du 17 nombre 2011, le TGI de Paris a refusé à Google le bénéfice du régime spécial de responsabilité des intermédiaires techniques.
Pour comprendre cette décision, il faut d’abord savoir ce qu’est Google Ad Words. Google la société éditrice du célèbre moteur de recherche éponyme. Elle fournit, outre ce moteur de recherche, d’autres services aux Internautes. Parmi ces services, «Ad Words» permet à des annonceurs d’acheter des mots-clés et de définir une ou plusieurs annonces publicitaires afin que celles-ci soient affichées lorsqu’un internaute effectue une requête de recherche contenant l’un des mots-clés achetés. Inévitablement, des personnes mal intentionnées ont acheté des mots-clés correspondant à des marques déposées. Les ayants droit se sont donc naturellement dirigés contre Google, recherchant sa reponsabilité à défaut de pouvoir rechercher celle des annonceurs. Dans un très important arrêt du 23 mars 2010, la Cour de Justice de l’Union Européenne (CJUE) a dit que 1) Google ne faisait pas un usage des marques dans le commerce, ce qui exclut sa responsabilité directe pour contrefaçon ; 2) Google pouvait bénéficier du régime spécial de responsabilité des intermédiaires techniques, défini par la directive «commerce électronique», dès lors que son activité revêtait un caractère «purement technique, automatique et passif» impliquant qu’elle n’avait pas «la connaissance ni le contrôle des informations transmises ou stockées» pour le compte des annonceurs. En d’autres termes, il appartient au juges du fond des États membres d’apprécier, au cas d’espèce, si Google ou le prestataire en cause a bien agi en tant qu’intermédiaire technique, eu égard aux éléments de fait qui leur sont présentés.
Dans le jugement du 14 novembre 2010, les juges parisiens ont décidé que «compte tenu de la connaissance avérée par le responsable du service Adwords, du contenu des messages et mots clés, comme la maîtrise éditoriale qui lui est contractuellement réservée, qu’il convient d’exclure à son égard la qualification d’hébergeur et le bénéfice de dérogations de responsabilité qui lui est réservé».
Il n’a jamais été douteux qu’un intermédiaire technique qui prend connaissance de l’existence d’un contenu illicite et ne fait rien pour en faire cesser la diffusion, alors qu’il en a le pouvoir, engage sa responsabilité. C’est même le principe fondamental sur lequel repose le régime spécial de responsabilité et le système associé de notification (précisons au passage que le droit américain rejoint le droit européen sur ce point). En revanche, la question de la maîtrise éditoriale de l’information diffusée par l’hébergeur fait polémique depuis plus de 10 ans. La jurisprudence française s’orientait progressivement, depuis la fin des années 2000, vers une conception extensive de la qualification d’hébergeur, acceptant de conférer le bénéfice du régime spécial de responsabilité à de nombreux opérateurs. Ainsi, des opérateurs disposant des moyens juridiques et matériels de contrôler les contenus, mais refusant par opportunité commerciale de le faire, purent bénéficier du régime spécial de responsabilité.
Le jugement du TGI de Paris va à contre-courant en se fondant sur «la maîtrise éditoriale (…) contractuellement réservée» à Google. Autrement dit, le simple fait que Google n’exerce pas de contrôle de nature éditoriale ne suffit pas à l’exonérer de responsabilité, dès lors que la société s’est contractuellement réservé le droit d’exercer un tel contrôle. Dit encore d’une autre manière, et en poursuivant le raisonnement jusqu’au bout, si Google n’exerce pas de contrôle c’est par un choix, concrétisé dans les stipulations contractuelles, et non en raison des contraintes liées à son activité ; par conséquent elle ne doit pas pouvoir bénéficier du régime spécial de responsabilité élaboré afin de protégé les opérateurs dont l’activité d’intermédiation est incompatible avec une maîtrise éditoriale des contenus.
Les suites de cette affaire, en appel (certainement) et en cassation (probablement), ne manqueront pas d’intérêt !
CJUE, aff. Olivier Martinez c. Sunday Mirror, 25 novembre 2011
La CJUE a précisé, dans un arrêt du 25 novembre 2011 les règles de compétence internationale des juridictions des États membres en présence de cyber-délits informationnels.
Une personne diffamée ou injuriée en ligne a le droit d’obtenir réparation du préjudice subi. Pour ce faire, elle doit saisir le tribunal compétent. La question qui se pose ici est de savoir quel est le tribunal compétent lorsque l’abus de la liberté d’expression a lieu sur Internet, dans un contexte intrinsèquement international. En effet, de tels délits sont dit «complexes» en raison de la dissociation dans l’espace de leurs deux éléments constitutifs : le fait dommageable et le préjudice résultant de ce fait. Concrètement, le message litigieux peut être rédigé par une personne résidant dans un pays A et diffusé depuis ce pays ou depuis un autre pays. Il s’agit du fait dommageable. Les conséquences de l’injure ou de la diffamation peuvent être ressenties par la victime dans un pays B. La victime doit-elle saisir les tribunaux du pays A ou ceux du pays B ? Précisons aux lecteurs peu familiers de la matière que lorsque deux tribunaux sont saisis simultanément, les règles de litispendance s’appliquent, et le tribunal saisi en second doit sursoir à statuer dans l’attente d’une décision du tribunal saisi en premier ; il n’est donc pas possible de saisir à la fois les juridictions du pays A et celles du pays B.
Le réglement européen 44/2001 tranche en principe la question. En premier lieu, «les personnes domiciliées sur le territoire d’un État membre sont attraites, quelle que soit leur nationalité, devant les juridictions de cet État membre» (article 2) ; la compétence des tribunaux du pays A sont donc établies. Toutefois, il est précisé à l’article 5 du réglement que toute «personne domiciliée sur le territoire d’un État membre peut être attraite, dans un autre État membre (…) en matière délictuelle ou quasi délictuelle, devant le tribunal du lieu où le fait dommageable s’est produit ou risque de se produire». Dans l’arrêt Shevill du 7 mars 1995, la Cour de Luxembourg a précisé que «L’expression lieu où le fait dommageable s’est produit doit, en cas de diffamation au moyen d’un article de presse diffusé dans plusieurs États contractants, être interprétée en ce sens que la victime peut intenter contre l’éditeur une action en réparation soit devant les juridictions de l’État contractant du lieu d’établissement de l’éditeur de la publication diffamatoire, compétentes pour réparer l’intégralité des dommages résultant de la diffamation, soit devant les juridictions de chaque État contractant dans lequel la publication a été diffusée et où la victime prétend avoir subi une atteinte à sa réputation, compétentes pour connaître des seuls dommages causés dans l’État de la juridiction saisie».
La question qui se pose, dans le contexte de cyber-délits, est celle de savoir comment déterminer la compétence des tribunaux selon la deuxième branche de l’alternative : les juridictions de l’État dans lequel la publication a été diffusée et où la victime prétend avoir subi un préjudice. Il existe deux réponses possibles. La première réponse est la théorie de l’accessibilité : dès lors que l’information est accessible dans un pays, les tribunaux de ce pays sont compétents. Cette théorie a l’avantage de la simplicité, mais elle présente aussi de nombreux inconvénients ; en particulier, l’information étant accessible en tout point d’accès du réseau, s’instaure une compétence universelle de tous les tribunaux, même de ceux des pays dans lesquels la victime ne subit aucun préjudice réel. Une seconde réponse existe, qui répond au problème de la compétence universelle, mais qui est plus difficile à mettre en oeuvre. Il s’agit de la théorie de la focalisation ou, pour reprendre la terminologie de la Cour d’appel de Paris, des liens significatifs, substantiels ou suffisants entre le for saisi et le préjudice dont on demande réparation. Le fait que le site litigieux vise le public français permet par exemple de caractériser l’existence de ces liens.
C’est dans ce contexte qu’un tribunal parisien a posé la question préjudicielle suivante à la CJUE :
Les articles 2 et 5[, point 3,] du règlement […] doivent-ils être interprétés comme accordant compétence à la juridiction d’un État membre pour juger une action engagée du chef d’une atteinte aux droits de la personnalité susceptible d’avoir été commise par une mise en ligne d’informations et/ou de photographies sur un site internet édité dans un autre État membre par une société domiciliée dans ce second État – ou encore dans un autre État membre, en tout état de cause distinct du premier :
– soit à la seule condition que ce site internet puisse être consulté depuis ce premier État,
– soit seulement lorsqu’existe entre le fait dommageable et le territoire de ce premier État un lien de rattachement suffisant, substantiel ou significatif (…)»
La Cour constate la spécificité d’Internet :
Il apparaît donc qu’internet réduit l’utilité du critère tenant à la diffusion, dans la mesure où la portée de la diffusion de contenus mis en ligne est en principe universelle. De plus, il n’est pas toujours possible, sur le plan technique, de quantifier cette diffusion avec certitude et fiabilité par rapport à un État membre particulier ni, partant, d’évaluer le dommage exclusivement causé dans cet État membre. (point 46)
Elle décide ensuite, au point 51 de l’arrêt :
«le critère de la matérialisation du dommage issu de l’arrêt Shevill (…) confère compétence aux juridictions de chaque État membre sur le territoire duquel un contenu mis en ligne est accessible ou l’a été. Celles-ci sont compétentes pour connaître du seul dommage causé sur le territoire de l’État membre de la juridiction saisie.»
Le critère de l’accessibilité est donc consacré, mais la compétence que les tribunaux peuvent en tirer ne sont valable que pour le préjudice subi dans leur ressort. Il leur faudra donc vérifier que le préjudice est réel, ce qui ne pourra se faire s’il n’existe pas de lien entre le for saisi et le délit.
CJUE, Scarlet c. Sabam, 24 novembre 2011
Dans un arrêt du 24 novembre 2011, la CJUE a exclu le filtrage systématique des communications électroniques par les fournisseurs d’accès.
Sans qu’il soit nécessaire de revenir sur les faits (v. revue n°53), nous relèverons le motif le plus important de l’arrêt, selon lequel la juridiction nationale qui ordonnerait à un FAI d’instaurer un filtrage généralisé des communications sur Internet, afin d’empêcher l’échange par ses clients de fichiers contrefaisants, «ne respecterait pas l’exigence d’assurer un juste équilibre entre le droit de propriété intellectuelle, d’une part, et la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir des informations, d’autre part».
Le motif de la Cour est suffisamment clair en soi ; peu d’explications sont nécessaires. Nous l’avons souvent répété ici, et la Cour le confirme : le filtrage suppose l’analyse du contenu des communications, et constitue donc une violation de la vie privée des internautes, une atteinte au secret de leurs correspondants et, surtout, une atteinte à la liberté d’expression. Or, en droit européen comme en droit français, l’expression est libre par principe, et ses abus sont réprimés a posteriori. Le filtrage étant une forme de censure, un contrôle préalable de l’information qui présume de l’illicité des contenus échangés, il est contraire au droit fondamental à la liberté d’expression.
Notons également que, s’agissant des adresses IP dont la qualification est parfois contestée, la Cour adopte une position dépourvue d’anbigüité : «ces adresses étant des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs». Les adresses IP sont des données personnelles ; elles doivent donc être protégées, en tant que telles, par les règles européennes et nationales (en France, la loi Informatique et Libertés) relatives à la protection des données personnelles.