L’atelier "Hébergement" doit permettre de comprendre ce qu’est un hébergeur sur Internet afin de mieux définir le rôle de cet intermédiaire technique dans toutes ses composantes : techniques, juridiques et financières. 

Le premier sujet d’étude traitera de la conservation des fichiers logs.

Suite aux différentes lois sur la sécurité (anti-terroriste, Lcen, DADVSI, etc.) la conservation des fichiers logs est devenue obligatoire pour certains acteurs des réseaux; cette obligation touche les hébergeurs mais elle n’est pas encore bien définie. Dans cet atelier nous verrons quels sont les enjeux pour les hébergeurs et plus précisément les contraintes techniques et financières que la conservation des fichiers logs engendrent grâce à une approche croisée de Dominique Morvan (Directeur Général Internet Fr) et Jean-Claude PATIN (Responsable département Internet Juritel).

Jean-Claude PATIN – Président de l’atelier Hébergement.
 
Le 18 Décembre 2009
Conservation des fichiers logs – Mythe ou réalité de l’hébergeur ?
La Mémoire, faculté tellement essentielle à la vie que son absence ou sa diminution conduit inévitablement à l’affaiblissement voire à la disparition des capacités de l’organisme ou du système qui s’en trouve privé.
Ce constat s’applique à internet par essence, le réseau ayant été construit originellement pour faire face à une destruction globale, massive et brutale. Mais derrière ce portrait, qui est en charge de cette mémoire ? Quatre acteurs apparaissent très clairement :
– Les opérateurs et fournisseurs d’accès
– Les hébergeurs et opérateurs de data-center
– Les éditeurs et diffuseurs
– Les auteurs
Chaque intervenant collecte des informations, en crée d’autres et les conserve à des fins techniques ou statistiques.
– L’auteur veut savoir qui s’est connecté sur son site, combien de lecteurs se sont rendu sur sa page, combien d’acheteurs potentiels se sont manifestés sur son site.
– Les éditeurs et autres diffuseurs se préoccupent de la gestion des flux et des espaces pour mieux convaincre les annonceurs et autres sponsors.
– Les hébergeurs récupèrent les données… sans savoir qu’en faire.
– Les opérateurs et fournisseurs d’accès nourrissent leurs fichiers comportementaux depuis la loi anti-terroriste du mois de Novembre 2001 en coopérant avec les forces de police et en inondant de spams les messageries des internautes.
De tous les acteurs, le seul à être concerné sans le vouloir par les logs est l’hébergeur. Que ce soit sur les serveurs web, les serveurs de bases de données, les routeurs, les firewalls, les applications et autres outils de connexion et d’administration, les logs pleuvent comme à gravelotte.
Que faut-il faire de ces données ?
Certains ont cru voir dans la loi du 21 Juin 2004 dite « LCEN » un début de réponse. Son article 6 II fait référence à l’obligation de conservation les fichiers de connexion (Les personnes mentionnées aux 1 et 2 du I [définition des opérateurs et hébergeurs] détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires), suivant les modalités techniques définies par décret (Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation).
2004…2009. Comme sœur Anne, les juristes attendent toujours ce décret. Car en effet, conserver des fichiers logs, pourquoi pas. Mais combien de temps ? sous quel format ? et d’abord, quels fichiers logs ? Mais surtout, qui supporte le coût d’un tel archivage ?
 
prochaine publication: Définition du champs d’application. Quels logs ? Pour quel(s) usage(s) ?
 
L’hébergement "2.0" dans le journal électronique 01Net
La 1ère chambre civile de la Cour de Cassation remet le droit à l’endroit. Le"web 2.0 juridique" se dégonfle. Interview dans 01Net de Jean-Claude PATIN dans lequel des explications sont données sur le sens de l’arrêt rendu par la Cour. L’affaire, banale, part d’un défaut d’identification du responsable du site, rendant toute traçabilité impossible. L’hébergeur, négligeant, ne vérifie pas les données qui sont manifestement fantaisistes (Nom: Bande Prénom: dessinée), attirant alors sur lui la curiosité des avocats des plaignants qui cherchent à faire cesser la contrefaçon qu’ils ont constaté sur le site internet. L’hébergeur, normalement neutre, prête en réalité ici son concours à la création du site web. La Cour d’appel qualifie l’hébergeur d’éditeur et lui dénie le bénéfice du régime dérogatoire de responsabilité  instauré par la loi du 1er Août 2000. Qualifié d’arrêt d’espèce par de nombreux militants du concept marketing "2.0", il vient pourtant d’être confirmé par la 1ère chambre civile de la Cour de Cassation qui vient à son tour renforcer le mouvement amorcé par la chambre commerciale le 21 octobre 2008 (n° pourvoi 07-14979) dans un problème de droit similaire.
Au delà des oripeaux marketing, le juge suprême rappelle deux évidences que certains ont voulu ou veulent encore ignorer:
– Un régime dérogatoire est un régime d’exception qui se rattache nécessairement à un régime de droit commun. Comme toute exception, elle doit être appréciée avec rigueur afin que l’exception ne devienne pas la règle.
– Ce que l’on fait détermine ce que l’on est. L’hébergeur bénéficie d’un régime dérogatoire parce qu’il doit rester neutre, comme le fournisseur d’accès. Dès lors qu’il intervient dans le processus de création et/ou de publication du contenu, il rompt sa neutralité et sort du périmètre de l’hébergement.
Cette affaire renvoit à une affaire qui elle aussi a fait couler beaucoup d’encre, la copie privée et le piratage sur internet. Les mêmes affirmations illogiques avaient été soutenues pour défendre un droit à la copie privée, la même sanction était finalement intervenue par la bouche des haut magistrats. Fait remarquable, en rappelant le même principe: l’accessoire suit le principal, pas l’inverse…
L’hébergement, l’hébergeur, il est plus que temps de s’intéresser à ce secteur trop méconnu de la plupart et trop souvent confondu avec les opérateurs télécom et autre FAI.
 
Hébergeurs, des intervenants techniques dispersés et mal connus, confondus avec les éditeurs et diffuseurs de contenus. Et pourtant, la cour de cassation et la cour de justice de l’union européenne persistent !
Les métiers de l’hébergement sont nombreux et couvrent de nombreuses réalités, du housing de masse (data-center) au mutualisation de ressources en passant par les interventions de maintenance voire de correction (TMA). Et pourtant personne ou presque ne connait l’existence de ces intervenants de l’ombre, au point que d’autres profession de l’internet ont fini par "occuper le terrain" afin de profiter du régime juridique d’exception qui leur était initialement dévolu. Mais les faits sont têtus et le régime des coucous 2.0 se lézarde.
L’arrêt du 14 janvier 2010 dit "Tiscali" rendu par la première chambre civile de la cour de cassation a très rapidement été identifié comme un danger pour l’économie du "web 2.0". C’est que les magistrats ont entendu appliquer un régime de responsabilité civile aux diffuseurs qui se réfugiaient derrière une définition trop large du prestataire technique visé par l’article VI de la loi du 21 Juin 2004 dite LCEN. Cet arrêt a été soit minoré ("arrêt d’espèce appliquant une logique juridique antérieure à la LCEN") soit nié dans sa réalité et son fondement (un magistrat de la formation serait par ailleurs membre de la HADOPI, l’arrêt serait donc entaché de parti pris).
Or il se trouve que cet arrêt "Tiscali" se fonde sur des critères techniques (intervention dans la production du contenu diffusé) qui trouveront également à s’appliquer sous l’empire de la LCEN et non sur des critères économiques comme certains commentateurs l’ont imaginé. Mais ce qui caractérise les détracteurs de l’arrêt Tiscali, c’est avant tout l’idéologie et le manque de prudence. A peine un mois après ce coup de semonce, la chambre criminelle de la cour de cassation a rendu dans la même journée (16 février 2010) deux arrêts de cassation rappelant pour le premier que le directeur de publication est responsable de ce qui est publié sur son site web, même si le message n’a pas fait l’objet d’une fixation de sa part, tandis que le second arrêt cassait au motif qu’"ayant pris l’initiative de créer un service de communication au public par voie électronique en vue d’échanger des opinions sur des thèmes définis à l’avance, Alain Y… pouvait être poursuivi en sa qualité de producteur, sans pouvoir opposer un défaut de surveillance du message incriminé".
Ainsi, en moins de deux mois, la pseudo jurisprudence (constituée pour l’essentiel de jugements de première instance et d’ordonnance de référés) avancée par les tenants du web 2.0 sans règles vient d’être balayée par deux chambres de la cour de cassation. Trois arrêts de la haute formation tirant dans le même sens, ça ressemble à une jurisprudence, une vraie. Cette tendance technique vient d’être confortée par un avis rendu par la cour de justice de l’union européenne dans une affaire dite "google". La cour a entendu expressément dégager le caractère technique de l’intervention pour définir le régime juridique applicable en droit de la responsabilité. Autrement dit, la technique est la pierre de touche de toute recherche en responsabilité.
Les hébergeurs ont-ils conscience qu’un regroupement de leurs forces amélioreraient leurs chances d’obtenir gain de cause devant les juges en cas de conflits avec les autres acteurs du web ?
Un regroupement de ces professionnels de l’hébergement technique pourrait leur garantir une meilleur visibilité auprès des pouvoirs publics, visibilité qui leur garantirait à moyen voir à long terme une existence qui leur est actuellement contestée par les opérateurs télécom en amont et par les diffuseurs-créateurs en aval.
 
Mise à jour le 8 Septembre 2010: L’affaire eBay c/ LVM, nouvelle illustration de l’importance du concept de l’hébergeur. Selon la Cour d’Appel de Paris, eBay n’est pas un hébergeur et ne peut à ce titre bénéficier de la dispense de responsabilité prévue à l’article 6 de la LCEN du 21 Juin 2010. La création de la nouvelle autorité des FAI dans le cadre de la mise en oeuvre du dispositif HADOPI préfigure assez bien la logique à l’oeuvre dans la définition et la répartition des nouveaux acteurs techniques de l’internet.
A suivre !

 

   

Hébergement : la fin de l’hiver n’est pas la fin des incertitudes
Un peu comme on attend l’hirondelle, les hébergeurs attendaient depuis le 21 Juin 2004 leur décret bien à eux. Les fournisseurs d’accès avaient vu leur cas examiné notamment à l’occasion des nombreuses lois anti-terroristes et on attendait impatiemment le tour des hébergeurs. En effet, intermédiaires techniques, ils recueillent des informations techniques importantes dans le cadre de l’application des régimes de responsabilité. Des précisions étaient attendues par les praticiens notamment sur deux points : quelles données les hébergeurs devaient-ils conserver et combien de temps ?
La réponse est arrivée par publication du décret n° 2011-219 du 25 février 2011 (1) qui fournit l’inventaire des éléments techniques à conserver durant une période de 1 an.
Le décret s’articule notamment avec les dispositions de l’article 6 de la loi Lcen du 21 juin 2004 (2) lequel prévoyait un ensemble d’obligations à charge des intermédiaires techniques.
Peu de surprise dans la liste des éléments devant être conservés si ce n’est l’obligation de conserver les mots de passe des utilisateurs. Le dispositif est clairement tourné vers l’efficacité et la rapidité d’intervention des requérants dans le cadre de procédure judiciaire.
A la lecture du décret, quatre remarques viennent rapidement à l’esprit.
* Tout d’abord, il n’est aucunement fait mention des prises en charge des coûts de conservation des données ainsi collectées. En échange de leur collaboration, les opérateurs télécom avaient eu le droit d’utiliser à des fins commerciales les données qu’ils devaient collecter et conserver dans le cadre de la loi anti-terroriste du 15 novembre 2001 dite « LSQ » (3). Aucun dispositif n’est cette fois-ci prévu pour les hébergeurs qui devront assumer les coûts de stockage.
* Par ailleurs il est fait mention de données ne figurant pas nécessairement sur les fichiers log des serveurs ou des routeurs. Les informations devant être conservées vont devoir faire l’objet de traitements croisés entre les services techniques, les services commerciaux et les services comptables.
* Les hébergeurs devront faire jouer leur expertise pour localiser dans les architectures d’hébergement de leurs clients les fichiers logs les mieux documentés tout en respectant les obligations de confidentialité. Tout ceci va prendre sa pleine réalité lorsqu’il s’agira de faire face à des problèmes de Cloud, d’hébergement mutualisé, d’hébergement dédié, sans même aborder le cas des hébergeurs-diffuseurs-éditeurs, nouveau statut juridique que la 1ère chambre de la cour de cassation vient récemment d’inventer (4).
* Les coûts de collecte et de conservation des données finiront par contraindre les hébergeurs soucieux du respect de la légalité à trouver des recettes correspondantes. Cela se fera soit par la hausse des tarifs soit par l’exploitation marketing (contacts ciblés, location de fichiers comportementaux). Soit les deux.
Les hébergeurs-diffuseurs utilisent déjà la publicité sur leurs contenus et s’emploient depuis peu à promouvoir leurs services par sollicitation par mail. Gageons qu’ils prendront le décret comme une opportunité de développer leurs recettes.
Ce décret comporte une faille d’importance qui semble être passée complètement inaperçue : aucune définition technique de l’intermédiaire technique au sens de l’article 6.2 de la Lcen n’a été fournie. Le flou et l’imprécision demeurent la règle, laissant le champ libre à toutes les interprétations, y compris celle potentiellement liberticide du web 2.0.
C’est dans cette zone grise que s’est aventurée la 1ère chambre civile de la cour de cassation le 17 février 2011 en attribuant le bénéfice du régime dérogatoire de responsabilité à un diffuseur de contenus vidéo. Tournant le dos résolument à sa propre jurisprudence pourtant récente de janvier 2010 (affaire Tiscali) (5), ne tenant pas compte de deux arrêts de principes rendus par la chambre criminelle en février 2010 (6), déformant l’avis rendu par la Cour de Justice de l’Union Européenne en Mars 2010 (7), les hauts magistrats ont créé un statut sur-mesure pour quelques acteurs du web seulement. La contradiction de la motivation retenue frappe par son absence de logique. Alors que la Cour de Justice de l’Union Européenne avait décidé que l’intervention technique sur un contenu délimitait la frontière entre hébergeur et diffuseur/éditeur de contenus, la 1ère chambre de la cour de cassation a décidé que certaines interventions techniques pouvaient néanmoins être pratiquées sans pour autant priver celui qui en était l’auteur du bénéfice du statut dérogatoire de responsabilité prévu dans la Lcen. Autrement dit, à la discrétion des juges, certains pourront être hébergeurs tandis que d’autres ne le seront pas. La violation manifeste de la règle de droit qui en résulte conduit nécessairement à s’interroger sur les motivations réelles d’une décision qui ouvre potentiellement sur l’arbitraire.
Cette fin d’hiver 2011 nous a donc réservé deux surprises, l’une attendue et l’autre moins. Le juriste qui attendait des éclaircissements se retrouve plongé dans l’incertitude tandis que le marketeur ou le responsable financier peuvent chacun se frotter les mains.
Les pouvoirs publics par la voix du Sénat viennent de réagir en invitant les nouveaux hébergeurs 2.0 à s’interroger sur un nouveau statut juridique, prenant en compte la réalité de leur métier. Les sages qui siègent au Palais du Luxembourg ont très vite compris le risque qu’il y avait à poursuivre dans la voie que les thuriféraires de l’internet 2.0 montrent du doigt : la paralysie ou l’impraticabilité du droit de la responsabilité et à terme la désaffection des consommateurs internautes.
1 Décret n° 2011-219 du 25 février 2011 – Référence NOR JUSD0805748D
2 Loi n°2004-575 du 21 juin 2004 – Référence NOR ECOX0200175L
3 Loi n°2001-1062 du 15 novembre 2001 – Référence NOR INTX0100032L
4 Dailymotion c/ Nord Ouest Production 17 février 2011 n° de pourvoi 09-67896 17
5 Tiscali 14 janvier 2010 n° de pourvoi 06-18855
6 Alain Y 16 février 2010 n° de pourvoi 09-81064 et Claude X 16 février 2010 n° de pourvoi 08-86301
7 Arrêt 23 mars 2010 Google et LVMH – C-236/08 à C-238/08

22 Mars 2011 

Pour participer au débat, merci d’ajouter votre commentaire ci-dessous.