|
|
 |
| |
COLLECTIVITES TERRITORIALES & TIC
Citation : Les collectivités fournisseurs d'accès internet ?
La Gazette des communes, des départements et des régions, juillet
2005, Eric A. Caprioli, www.caprioli-avocats.com
Date de la mise à jour : septembre 2005.
Les collectivités locales soumises aux obligations des fournisseurs d'accès à l'internet ?
Eric A. Caprioli, Avocat au Barreau de Paris,
Caprioli & Associés, Société d'avocats (Nice, Paris),
contact@caprioli-avocats.com
Plan
I/ LA
QUALIFICATION DE FAI
A) Une définition
juridique confuse du FAI
B) Une définition
judiciaire très large du FAI
II/ OBLIGATIONS ET RESPONSABILITES PESANT SUR LE FAI
A) Une obligation de conservation mais non de traitement des données
B) Responsabilité
de la personne publique
Aux termes de l'arrêt rendu le 4 février 2005 par la Cour d'appel
de Paris [1], les entreprises
qui fournissent des services de l'internet à leurs salariés
alors qu'elles n'en fournissent pas à des personnes externes
peuvent être qualifiées de fournisseurs d'accès à l'internet
(FAI) au sens de l'article 43-7 de la loi du 30 septembre 1986
[2], introduit par la loi du 1er
août 2000 [3]. Cette décision
n'est pas sans intérêt pour les collectivités locales. En effet,
les collectivités fournissant des services de l'internet à leurs
agents ou à leurs administrés pourraient désormais se voir reconnaître,
tout comme les entreprises publiques ou privées, la qualité
de FAI. Or, cette qualification assujettirait les collectivités
locales aux obligations et responsabilités qui pèsent sur cet
intermédiaire technique, d'où l'intérêt d'analyser les conséquences
éventuelles de la décision du 4 février 2005à leur encontre.
En l'espèce, deux agents ont décidé de ne plus travailler avec
la société World Press Online qu'ils représentaient dans certains
pays européens et aux Etats-Unis d'Amérique après la perte de
confiance en ladite société provoquée par la réception par chacun
d'eux d'un mail anonyme selon lequel la société allait fermer
suite à des difficultés financières. Les deux courriers électroniques
avaient été envoyés à partir d'une adresse gratuite, et l'enquête
auprès du fournisseur d'adresses a permis l'obtention de l'adresse
IP de leur expéditeur. Il s'agissait en l'occurrence, de l'adresse
IP d'un poste utilisé par les salariés d'une banque (plus précisément
celle d'un routeur). La société demanda donc à la banque de
lui communiquer les données d'identification de l'expéditeur
de ces messages. Ses demandes restant sans réponse, la société
assigna la banque en référé pour obtenir ces informations sur
le fondement des articles 43-7 et 43-9 de la loi du 30 septembre
1986 modifiée. Le 12 octobre 2004, le Président du Tribunal
de commerce de Paris a ordonné à la banque de " communiquer
l'identité et plus généralement (…) toute information de nature
à permettre l'identification de l'expéditeur du message
". La Cour d'appel a confirmé l'ordonnance tout en précisant
l'étendue des obligations incombant aux FAI (II). Mais avant
de préciser ces obligations, il faut revenir sur la singularité
de la qualification de FAI retenue et qui pourrait, par extension,
l'être pour une collectivité locale (I).
I/ LA
QUALIFICATION DE FAI
Si le juge a retenu la qualité de " prestataire technique
" tel que défini à l'article 43-7 de la loi de 1986 modifiée
par la loi du 1er août 2000 pour l'entreprise, il faut noter
que cette qualification n'avait pas été contestée par la banque.
En conséquence, le juge ne s'est en réalité pas prononcé expressément
sur la qualification de celle-ci comme FAI. Pour autant, cette
décision du juge d'appel revient à retenir de manière indirecte
une définition très large du FAI [4](B)
qui ne fait qu'ajouter à la confusion déjà créée par les textes
en la matière (A).
A) Une définition juridique confuse du FAI
Les textes n'emploient pas expressément les termes de FAI [5]
mais plutôt ceux de " prestataire technique " au même
titre que le juge dans l'arrêt du 4 février 2005. Or cette expression
est très large puisqu'il existe plusieurs types de prestataires
techniques (ex : fournisseurs d'hébergement, de stokage temporaire,
de registrars, …), le FAI étant l'un des maillons de la chaîne
des prestataires permettant au public d'avoir accès à l'internet
[6]. L'article 43-7 de la loi
de 1986 modifiée visait bien les FAI à travers l'expression
" les personnes physiques ou morales dont l'activité est d'offrir
un accès à des services de communications en ligne autres que
de correspondance privée (…)". Cet article, applicable à l'espèce
soumise à la Cour d'appel de Paris, a depuis été abrogé par
la loi pour la confiance dans l'économie numérique (LCEN) du
21 juin 2004 [7]. Celle-ci donne
une nouvelle définition des FAI à l'article 6-I-1° : " les
personnes dont l'activité est d'offrir un accès à des services
de communication au public en ligne (…). ". Dans ces définitions,
les notions d' " activité ", d' " accès ", de
" services de communication " et de " public en ligne
" peuvent donner lieu à contestation et à interprétation. C'est
d'ailleurs sur la notion d'" activité " que la banque aurait
pu, selon nous, contester la qualification de FAI. Certains
de ces termes, définis dans la LCEN [8],
ont été repris quelques jours plus tard, dans la loi du 9 juillet
2004 [9] qui a elle-même apporté
son lot de définitions. Ainsi, même si la notion de FAI n'a
pas été redéfinie en juillet, il n'en demeure pas moins que
le législateur a défini des termes qui s'en rapprochent comme
par exemple la notion d'" accès " et ce, de manière différente,
sans pour autant abroger les définitions existantes. Cette surabondance
de définitions crée une confusion et l'application des textes
devront faire l'objet d'éclaircissement de la part du juge pour
connaître la véritable portée de la notion de FAI. Jusqu'à présent,
la question de la qualification du FAI n'a pas été tranchée
par les tribunaux et la décision du 4 février 2005 n'a fait
que contribuer à cette confusion en en retenant une définition
très large.
B) Une définition judiciaire très large du FAI
Il faut rappeler que dans la décision du 4 février 2005, la
qualification de FAI n'avait pas été remise en cause par la
banque alors même qu'elle aurait pu le faire au regard de la
notion d'" activité " puisque les banques n'ont en aucune
façon pour activité de fournir des accès à l'internet. Cela
a naturellement conduit le juge à appliquer la loi de 1986 modifiée.
Or, l'application de cette loi au cas d'espèce aboutit à adopter
une définition très large du FAI. Il semblerait, en effet, que
le simple fait pour une entreprise de permettre à ses salariés
d'utiliser l'internet et donc d'y accéder permettrait de la
qualifier de FAI.
Ainsi, suivant cette logique, une collectivité qui fournirait
la possibilité à ses agents ou même à ses administrés d'utiliser
l'internet ne pourrait pas non plus échapper à cette qualification.
Or en pratique, il est de plus en plus fréquent que des ordinateurs
connectés à l'internet soit mis à disposition des agents voire
des administrés dans certains services [10].
Est-ce à dire que toutes ces collectivités sont des FAI ? La
question mérite d'être tranchée compte tenu des incidences juridiques
de cette qualification. C'est pour cette raison qu'il semble
nécessaire de contester en toute hypothèse cette qualification
afin non seulement que le juge précise la notion de FAI mais
aussi compte tenu du régime juridique (obligations, responsabilité)
applicable aux FAI. Cela étant, depuis le 20 mai 2005, la Convention
du Conseil de l'Europe du 23 novembre 2001 est entrée en vigueur
[11]. Aux termes de son article
1, c), " Fournisseur de service désigne toute entité publique
ou privée qui offre aux utilisateurs de ses services la possibilité
de communiquer au moyen d'un système informatique. "
II/ Obligations et responsabilités pesant sur le FAI
Puisque la qualification de FAI n'avait pas été contestée par
la banque dans l'arrêt du 4 février 2005, le juge a fort logiquement
appliqué l'article 43-9 de la loi de 1986 modifiée pour déterminer
les obligations qui pesaient sur la banque. A cet égard, la
décision de la Cour d'appel de Paris présente un intérêt puisqu'elle
définit précisément l'étendue des obligations pesant
sur le FAI et relatives aux données d'identification des personnes
ayant contribué à la création d'un contenu des services dont
le FAI est prestataire. Il s'agit d'une obligation de conservation
et non de traitement des données (A). En outre, il faut rappeler
qu'en cas d'identification de l'auteur des messages litigieux,
il pourra être envisagé, dans certains cas, la responsabilité
de la collectivité (B).
A) Une obligation de conservation mais non de traitement des données
Conformément à l'article 43-9 de la loi de 1986 modifiée, aujourd'hui
abrogé et remplacé quasiment à l'identique par l'article 6-II
de la LCEN, le FAI doit conserver les " données de nature
à permettre l'identification de quiconque a contribué à la création
du contenu ou de l'un des contenus des services " dont il
est prestataire et communiquer ces données sur réquisition judiciaire.
La Cour interprète strictement ces obligations et refuse de
considérer que les FAI doivent en outre " traiter " ces
données ou " procéder [eux-mêmes] à l'identification de l'auteur
du message litigieux ". Ils ne doivent donc conserver et
communiquer que les données brutes. L'identification de l'auteur
du message ne peut que faire l'objet d'une mesure d'instruction
ordonnée par le juge mais encore faut-il que le fondement de
sa saisine le justifie [12]. En
outre, si les données collectées par les FAI sont des données
à caractère personnel au sens de l'article 2 modifié de la loi
du 6 janvier 1978 [13] relative
à l'informatique, aux fichiers et aux libertés (par exemples,
les nom et adresse de la personne, sa fonction), il devra se
conformer aux obligations posées par cette loi, notamment la
déclaration de ce traitement à la Commission nationale de l'informatique
et des libertés. Avec la loi du 6 août 2004, il n'y a plus lieu
de distinguer les fichiers publics et privés ; leur régime juridique
est désormais identique.
Quant au délai de conservation des données de connexion, il
n'est pas précisé dans la LCEN mais il faut compléter ce texte
avec l'article 29 de la loi relative à la sécurité quotidienne
(LSQ) du 15 novembre 2001 [14]
telle que modifiée par la loi du 9 juillet 2004 [15].
Cet article, codifié dorénavant à l'article L. 34-1 du Code
des postes et des communications électroniques (CPCE), prévoit
au I que " les opérateurs de communications électroniques,
et notamment les personnes dont l'activité est d'offrir un accès
à des services de communication au public en ligne [c'est-à-dire
les FAI], effacent ou rendent anonyme toute donnée relative
au trafic, sous réserve des dispositions des II, III, IV et
V ". Or le II de cet article précise que ces données peuvent
être conservées pour une durée maximale d'un an " pour les
besoins de la recherche, de la constatation et de la poursuite
des infractions pénales " et uniquement dans le seul but
de " permettre en tant que de besoin la mise à disposition
de l'autorité judiciaire d'informations " [16].
En revanche, passé ce délai, ces données relatives au trafic
doivent être effacées ou anonymisées. Ainsi, en combinant ces
deux textes, si les collectivités sont reconnues comme FAI,
elles seraient amenées à conserver de telles données pour une
durée maximum d'un an. Enfin, il faut noter que même dans l'hypothèse
où elles ne sont qu'opérateurs de communications électroniques
conformément à l'article L. 1425-1 du CGCT, l'article L. 34-1
du CPCE leur est applicable.
B) Responsabilité de la personne publique
La responsabilité de la collectivité publique pourrait être
engagée dans l'hypothèse où l'auteur du message est un de ses
agents publics utilisant les moyens du service et agissant pendant
l'exercice de ses fonctions. En effet, la victime est non seulement
fondée à agir en réparation des préjudices subis contre l'agent
identifié, mais peut également agir contre la collectivité qui
l'emploie sur le fondement classique du cumul des responsabilités
pour une faute personnelle commise par un agent dans l'exercice
de ses fonctions [17]. Ainsi la
mise à disposition des agents de connexions à l'internet et
de services de messageries électroniques est un facteur de nouveaux
risques juridiques importants pour les collectivités locales,
d'autant que les risques liés à l'utilisation des outils (tels
les ordinateurs ou les téléphones mobiles) et des moyens informatiques
et de communications électroniques (courriers électroniques,
SMS, MMS, …) sont nombreux (introduction de virus, enregistrements
sur les postes de travail et diffusion de fichiers illicites
ou sans droit, …) et varient selon le contexte et l'organisation
de la collectivité.
Dès lors, pour les collectivités locales qui entendent se prémunir
contre ces risques juridiques, la solution consistera certainement
à mettre en place, d'une part, des procédures de traçabilité
et de conservation des données de connexion et des données échangées
sur les réseaux utilisés par la collectivité (intranet, extranet,
internet, …) comme le suggère implicitement l'arrêt de la Cour
de Paris et, d'autre part, des règles d'utilisation des moyens
de communications électroniques et informatiques. La sécurité
juridique tendant à s'aménager des preuves dans l'utilisation
des outils informatiques par les agents [9]
s'inscrit ainsi dans une vision globale qui doit prendre en
compte les différentes activités et qualifications que les collectivités
locales sont susceptibles d'endosser au vu des textes et de
la jurisprudence.
Plus généralement, il apparaît qu'avec les lois du 21 juin (LCEN),
du 9 juillet (communications électroniques) et du 6 août (données
à caractère personnel), 2004 aura été l'année des grands changements
juridiques en matière de communications électroniques. Tous
ces textes imposent une mise en conformité juridique de l'ensemble
des utilisations des technologies de l'information afin de prévenir
les nouveaux risques, les nouvelles responsabilités encourues
par les collectivités.
Notes
[1] CA Paris, 14ème chambre,
section B, 4 février 2005, RG n° 04/20259, disponible sur le
site : www.foruminternet.org.
[2] Loi n° 86-1067 du 30 septembre
1986 relative à la liberté de communication (J.O. du 1er octobre
1986, p. 11755).
[3] Loi n° 2000-719 du 1er
août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative
à la liberté de communication (J.O. du 2 août 2000, p. 11903).
[4] Mais on peut penser qu'en
cas de contestation, la qualification retenue et les conséquences
en découlant pourraient être entendues différemment par d'autres
juridictions.
[5] Seule la commission générale
de terminologie et de néologie a utilisé les termes de FAI mais
elle le définit de manière très large comme étant un " fournisseur
de services qui offre à ses clients l'accès à l'internet / Note
: Un fournisseur d'accès à l'internet peut offrir d'autres services,
notamment des boîtes aux lettres électroniques et l'hébergement
de contenu. ", Vocabulaire des télécommunications (liste de
termes, expressions et définitions adoptés), J.O. du 14 décembre
2004, p. 21227.
[6] A cet égard, la notion
de FAI est bien distincte de celle d'opérateur de communications
électroniques, fonction que peuvent désormais remplir les collectivités
locales sous certaines conditions posées à l'article L. 1425-1
du code général des collectivités locales introduit par l'article
50 de la loi pour la confiance dans l'économie numérique du
21 juin 2004.
[7] Loi n° 2004-575 pour la
confiance dans l'économie numérique du 21 juin 2004 (J.O. du
22 juin 2004, p. 11168). Sur cette loi, v. l'ouvrage sous la
direction d'Eric Caprioli, La Loi pour la confiance dans l'économie
numérique (LCEN), à paraître aux éditions L.G.D.J./Gualino en
2005. Egal. E. Caprioli et P. Agosti, La confiance dans l'économie
numérique, Petites affiches du 3 juin 2005, p.4-19.
[8] V. l'article 1er de la
LCEN.
[9] Loi n°2004-669 relative
aux communications électroniques et aux services de communication
audiovisuelle du 9 juillet 2004 (J.O. du 10 juillet 2004, p.
12483).
[10] Tel est le cas, par exemple,
de la mise à disposition d'ordinateurs connectés à l'internet
dans des médiathèques au bénéfice des usagers.
[11] Loi n°2005-493 du 19
mai 2005, J.O. du 20 mai 2005.
[12] En effet, dans la décision
de la Cour d'appel de Paris du 4 février 2005, le juge a considéré
" qu'une telle recherche [d'identification de l'auteur] relève
de toute évidence d'une mesure d'instruction que le juge des
référés ne peut ordonner que sur un autre fondement que ceux
sur lesquels il a été saisi dans le cadre de la présente instance.
". Ainsi, l'objectif qui consistait à identifier l'auteur des
messages pour d'éventuelles suites judiciaires n'est pas atteint
!
[13] Loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés
(J.O. du 7 janvier 1978, p. 7 et s.) modifiée récemment par
la loi n° 2004-801 du 6 août 2004 (J.O. du 7 août 2004, p. 14063
et s.).
[14] Loi n°2001-1062 du 15
novembre 2001 relative à la sécurité quotidienne (J.O. du 16
novembre 2001 p. 18215). V. E. Caprioli, Responsabilité des
prestataires du commerce électronique et conservation de données
aux finqs de traçabilité, in Traçabilité et responsabilité,
Sous la direction de Ph. Pédrot, Paris, Economica, 2002, p.
114 s. , égal. disponible sur le site : www.caprioli-avocats.com
[15] Loi relative aux communications
électroniques préc.
[16] Cette durée de conservation
est à distinguer de celle prévue à l'article 6 de la loi du
6 janvier 1978 modifiée pour les données à caractère personnel
puisqu'en principe elles doivent être conservées " pendant une
durée qui n'excède pas la durée nécessaire aux finalités pour
lesquelles elles sont collectées et traitées ".
[17] Le cumul de responsabilités
en cas de faute personnelle d'un agent pendant l'exercice de
ses fonctions a été consacré par un arrêt du Conseil d'Etat
du 26 juillet 1918, Epoux Lemonnier, Rec. Leb., p. 761.
[18] V. Eric Caprioli, La
mise en place d'une charte " informatique et communications
électroniques ", La Gazette des communes, des départements,
des régions, 1er mars 2004, p. 52 et s., Cybersurveillance des
salariés : du droit à la pratique des chartes " informatiques
", Petites affiches du 29 septembre 2004, p.7 et s. et Anne
Cantéro, Les collectivités locales et la sécurité informatique,
La Gazette des communes, des départements, des régions, 15 septembre
2003, p. 70 et s.
|
|
