Citation : Les collectivités fournisseurs d'accès internet ? La Gazette des communes, des départements et des régions, juillet 2005, Eric A. Caprioli, www.caprioli-avocats.com Date de la mise à jour : septembre 2005. Les collectivités locales soumises aux obligations des fournisseurs d'accès à l'internet ? Eric A. Caprioli, Avocat au Barreau de Paris, Caprioli & Associés, Société d'avocats (Nice, Paris), contact@caprioli-avocats.com
Plan I/ LA QUALIFICATION DE FAI A) Une définition juridique confuse du FAI B) Une définition judiciaire très large du FAI II/ OBLIGATIONS ET RESPONSABILITES PESANT SUR LE FAI A) Une obligation de conservation mais non de traitement des données B) Responsabilité de la personne publique
Aux termes de l'arrêt rendu le 4 février 2005 par la Cour d'appel de Paris [1], les entreprises qui fournissent des services de l'internet à leurs salariés alors qu'elles n'en fournissent pas à des personnes externes peuvent être qualifiées de fournisseurs d'accès à l'internet (FAI) au sens de l'article 43-7 de la loi du 30 septembre 1986 [2], introduit par la loi du 1er août 2000 [3]. Cette décision n'est pas sans intérêt pour les collectivités locales. En effet, les collectivités fournissant des services de l'internet à leurs agents ou à leurs administrés pourraient désormais se voir reconnaître, tout comme les entreprises publiques ou privées, la qualité de FAI. Or, cette qualification assujettirait les collectivités locales aux obligations et responsabilités qui pèsent sur cet intermédiaire technique, d'où l'intérêt d'analyser les conséquences éventuelles de la décision du 4 février 2005à leur encontre. En l'espèce, deux agents ont décidé de ne plus travailler avec la société World Press Online qu'ils représentaient dans certains pays européens et aux Etats-Unis d'Amérique après la perte de confiance en ladite société provoquée par la réception par chacun d'eux d'un mail anonyme selon lequel la société allait fermer suite à des difficultés financières. Les deux courriers électroniques avaient été envoyés à partir d'une adresse gratuite, et l'enquête auprès du fournisseur d'adresses a permis l'obtention de l'adresse IP de leur expéditeur. Il s'agissait en l'occurrence, de l'adresse IP d'un poste utilisé par les salariés d'une banque (plus précisément celle d'un routeur). La société demanda donc à la banque de lui communiquer les données d'identification de l'expéditeur de ces messages. Ses demandes restant sans réponse, la société assigna la banque en référé pour obtenir ces informations sur le fondement des articles 43-7 et 43-9 de la loi du 30 septembre 1986 modifiée. Le 12 octobre 2004, le Président du Tribunal de commerce de Paris a ordonné à la banque de " communiquer l'identité et plus généralement (…) toute information de nature à permettre l'identification de l'expéditeur du message ". La Cour d'appel a confirmé l'ordonnance tout en précisant l'étendue des obligations incombant aux FAI (II). Mais avant de préciser ces obligations, il faut revenir sur la singularité de la qualification de FAI retenue et qui pourrait, par extension, l'être pour une collectivité locale (I).
I/ LA QUALIFICATION DE FAI Si le juge a retenu la qualité de " prestataire technique " tel que défini à l'article 43-7 de la loi de 1986 modifiée par la loi du 1er août 2000 pour l'entreprise, il faut noter que cette qualification n'avait pas été contestée par la banque. En conséquence, le juge ne s'est en réalité pas prononcé expressément sur la qualification de celle-ci comme FAI. Pour autant, cette décision du juge d'appel revient à retenir de manière indirecte une définition très large du FAI [4](B) qui ne fait qu'ajouter à la confusion déjà créée par les textes en la matière (A). A) Une définition juridique confuse du FAI Les textes n'emploient pas expressément les termes de FAI [5] mais plutôt ceux de " prestataire technique " au même titre que le juge dans l'arrêt du 4 février 2005. Or cette expression est très large puisqu'il existe plusieurs types de prestataires techniques (ex : fournisseurs d'hébergement, de stokage temporaire, de registrars, …), le FAI étant l'un des maillons de la chaîne des prestataires permettant au public d'avoir accès à l'internet [6]. L'article 43-7 de la loi de 1986 modifiée visait bien les FAI à travers l'expression " les personnes physiques ou morales dont l'activité est d'offrir un accès à des services de communications en ligne autres que de correspondance privée (…)". Cet article, applicable à l'espèce soumise à la Cour d'appel de Paris, a depuis été abrogé par la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 [7]. Celle-ci donne une nouvelle définition des FAI à l'article 6-I-1° : " les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne (…). ". Dans ces définitions, les notions d' " activité ", d' " accès ", de " services de communication " et de " public en ligne " peuvent donner lieu à contestation et à interprétation. C'est d'ailleurs sur la notion d'" activité " que la banque aurait pu, selon nous, contester la qualification de FAI. Certains de ces termes, définis dans la LCEN [8], ont été repris quelques jours plus tard, dans la loi du 9 juillet 2004 [9] qui a elle-même apporté son lot de définitions. Ainsi, même si la notion de FAI n'a pas été redéfinie en juillet, il n'en demeure pas moins que le législateur a défini des termes qui s'en rapprochent comme par exemple la notion d'" accès " et ce, de manière différente, sans pour autant abroger les définitions existantes. Cette surabondance de définitions crée une confusion et l'application des textes devront faire l'objet d'éclaircissement de la part du juge pour connaître la véritable portée de la notion de FAI. Jusqu'à présent, la question de la qualification du FAI n'a pas été tranchée par les tribunaux et la décision du 4 février 2005 n'a fait que contribuer à cette confusion en en retenant une définition très large. B) Une définition judiciaire très large du FAI Il faut rappeler que dans la décision du 4 février 2005, la qualification de FAI n'avait pas été remise en cause par la banque alors même qu'elle aurait pu le faire au regard de la notion d'" activité " puisque les banques n'ont en aucune façon pour activité de fournir des accès à l'internet. Cela a naturellement conduit le juge à appliquer la loi de 1986 modifiée. Or, l'application de cette loi au cas d'espèce aboutit à adopter une définition très large du FAI. Il semblerait, en effet, que le simple fait pour une entreprise de permettre à ses salariés d'utiliser l'internet et donc d'y accéder permettrait de la qualifier de FAI. Ainsi, suivant cette logique, une collectivité qui fournirait la possibilité à ses agents ou même à ses administrés d'utiliser l'internet ne pourrait pas non plus échapper à cette qualification. Or en pratique, il est de plus en plus fréquent que des ordinateurs connectés à l'internet soit mis à disposition des agents voire des administrés dans certains services [10]. Est-ce à dire que toutes ces collectivités sont des FAI ? La question mérite d'être tranchée compte tenu des incidences juridiques de cette qualification. C'est pour cette raison qu'il semble nécessaire de contester en toute hypothèse cette qualification afin non seulement que le juge précise la notion de FAI mais aussi compte tenu du régime juridique (obligations, responsabilité) applicable aux FAI. Cela étant, depuis le 20 mai 2005, la Convention du Conseil de l'Europe du 23 novembre 2001 est entrée en vigueur [11]. Aux termes de son article 1, c), " Fournisseur de service désigne toute entité publique ou privée qui offre aux utilisateurs de ses services la possibilité de communiquer au moyen d'un système informatique. "
II/ Obligations et responsabilités pesant sur le FAI Puisque la qualification de FAI n'avait pas été contestée par la banque dans l'arrêt du 4 février 2005, le juge a fort logiquement appliqué l'article 43-9 de la loi de 1986 modifiée pour déterminer les obligations qui pesaient sur la banque. A cet égard, la décision de la Cour d'appel de Paris présente un intérêt puisqu'elle définit précisément l'étendue des obligations pesant sur le FAI et relatives aux données d'identification des personnes ayant contribué à la création d'un contenu des services dont le FAI est prestataire. Il s'agit d'une obligation de conservation et non de traitement des données (A). En outre, il faut rappeler qu'en cas d'identification de l'auteur des messages litigieux, il pourra être envisagé, dans certains cas, la responsabilité de la collectivité (B). A) Une obligation de conservation mais non de traitement des données Conformément à l'article 43-9 de la loi de 1986 modifiée, aujourd'hui abrogé et remplacé quasiment à l'identique par l'article 6-II de la LCEN, le FAI doit conserver les " données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services " dont il est prestataire et communiquer ces données sur réquisition judiciaire. La Cour interprète strictement ces obligations et refuse de considérer que les FAI doivent en outre " traiter " ces données ou " procéder [eux-mêmes] à l'identification de l'auteur du message litigieux ". Ils ne doivent donc conserver et communiquer que les données brutes. L'identification de l'auteur du message ne peut que faire l'objet d'une mesure d'instruction ordonnée par le juge mais encore faut-il que le fondement de sa saisine le justifie [12]. En outre, si les données collectées par les FAI sont des données à caractère personnel au sens de l'article 2 modifié de la loi du 6 janvier 1978 [13] relative à l'informatique, aux fichiers et aux libertés (par exemples, les nom et adresse de la personne, sa fonction), il devra se conformer aux obligations posées par cette loi, notamment la déclaration de ce traitement à la Commission nationale de l'informatique et des libertés. Avec la loi du 6 août 2004, il n'y a plus lieu de distinguer les fichiers publics et privés ; leur régime juridique est désormais identique. Quant au délai de conservation des données de connexion, il n'est pas précisé dans la LCEN mais il faut compléter ce texte avec l'article 29 de la loi relative à la sécurité quotidienne (LSQ) du 15 novembre 2001 [14] telle que modifiée par la loi du 9 juillet 2004 [15]. Cet article, codifié dorénavant à l'article L. 34-1 du Code des postes et des communications électroniques (CPCE), prévoit au I que " les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne [c'est-à-dire les FAI], effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des II, III, IV et V ". Or le II de cet article précise que ces données peuvent être conservées pour une durée maximale d'un an " pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales " et uniquement dans le seul but de " permettre en tant que de besoin la mise à disposition de l'autorité judiciaire d'informations " [16]. En revanche, passé ce délai, ces données relatives au trafic doivent être effacées ou anonymisées. Ainsi, en combinant ces deux textes, si les collectivités sont reconnues comme FAI, elles seraient amenées à conserver de telles données pour une durée maximum d'un an. Enfin, il faut noter que même dans l'hypothèse où elles ne sont qu'opérateurs de communications électroniques conformément à l'article L. 1425-1 du CGCT, l'article L. 34-1 du CPCE leur est applicable.
B) Responsabilité de la personne publique La responsabilité de la collectivité publique pourrait être engagée dans l'hypothèse où l'auteur du message est un de ses agents publics utilisant les moyens du service et agissant pendant l'exercice de ses fonctions. En effet, la victime est non seulement fondée à agir en réparation des préjudices subis contre l'agent identifié, mais peut également agir contre la collectivité qui l'emploie sur le fondement classique du cumul des responsabilités pour une faute personnelle commise par un agent dans l'exercice de ses fonctions [17]. Ainsi la mise à disposition des agents de connexions à l'internet et de services de messageries électroniques est un facteur de nouveaux risques juridiques importants pour les collectivités locales, d'autant que les risques liés à l'utilisation des outils (tels les ordinateurs ou les téléphones mobiles) et des moyens informatiques et de communications électroniques (courriers électroniques, SMS, MMS, …) sont nombreux (introduction de virus, enregistrements sur les postes de travail et diffusion de fichiers illicites ou sans droit, …) et varient selon le contexte et l'organisation de la collectivité. Dès lors, pour les collectivités locales qui entendent se prémunir contre ces risques juridiques, la solution consistera certainement à mettre en place, d'une part, des procédures de traçabilité et de conservation des données de connexion et des données échangées sur les réseaux utilisés par la collectivité (intranet, extranet, internet, …) comme le suggère implicitement l'arrêt de la Cour de Paris et, d'autre part, des règles d'utilisation des moyens de communications électroniques et informatiques. La sécurité juridique tendant à s'aménager des preuves dans l'utilisation des outils informatiques par les agents [9] s'inscrit ainsi dans une vision globale qui doit prendre en compte les différentes activités et qualifications que les collectivités locales sont susceptibles d'endosser au vu des textes et de la jurisprudence. Plus généralement, il apparaît qu'avec les lois du 21 juin (LCEN), du 9 juillet (communications électroniques) et du 6 août (données à caractère personnel), 2004 aura été l'année des grands changements juridiques en matière de communications électroniques. Tous ces textes imposent une mise en conformité juridique de l'ensemble des utilisations des technologies de l'information afin de prévenir les nouveaux risques, les nouvelles responsabilités encourues par les collectivités.
Notes [1] CA Paris, 14ème chambre, section B, 4 février 2005, RG n° 04/20259, disponible sur le site : www.foruminternet.org. [2] Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (J.O. du 1er octobre 1986, p. 11755). [3] Loi n° 2000-719 du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (J.O. du 2 août 2000, p. 11903). [4] Mais on peut penser qu'en cas de contestation, la qualification retenue et les conséquences en découlant pourraient être entendues différemment par d'autres juridictions. [5] Seule la commission générale de terminologie et de néologie a utilisé les termes de FAI mais elle le définit de manière très large comme étant un " fournisseur de services qui offre à ses clients l'accès à l'internet / Note : Un fournisseur d'accès à l'internet peut offrir d'autres services, notamment des boîtes aux lettres électroniques et l'hébergement de contenu. ", Vocabulaire des télécommunications (liste de termes, expressions et définitions adoptés), J.O. du 14 décembre 2004, p. 21227. [6] A cet égard, la notion de FAI est bien distincte de celle d'opérateur de communications électroniques, fonction que peuvent désormais remplir les collectivités locales sous certaines conditions posées à l'article L. 1425-1 du code général des collectivités locales introduit par l'article 50 de la loi pour la confiance dans l'économie numérique du 21 juin 2004. [7] Loi n° 2004-575 pour la confiance dans l'économie numérique du 21 juin 2004 (J.O. du 22 juin 2004, p. 11168). Sur cette loi, v. l'ouvrage sous la direction d'Eric Caprioli, La Loi pour la confiance dans l'économie numérique (LCEN), à paraître aux éditions L.G.D.J./Gualino en 2005. Egal. E. Caprioli et P. Agosti, La confiance dans l'économie numérique, Petites affiches du 3 juin 2005, p.4-19. [8] V. l'article 1er de la LCEN. [9] Loi n°2004-669 relative aux communications électroniques et aux services de communication audiovisuelle du 9 juillet 2004 (J.O. du 10 juillet 2004, p. 12483). [10] Tel est le cas, par exemple, de la mise à disposition d'ordinateurs connectés à l'internet dans des médiathèques au bénéfice des usagers. [11] Loi n°2005-493 du 19 mai 2005, J.O. du 20 mai 2005. [12] En effet, dans la décision de la Cour d'appel de Paris du 4 février 2005, le juge a considéré " qu'une telle recherche [d'identification de l'auteur] relève de toute évidence d'une mesure d'instruction que le juge des référés ne peut ordonner que sur un autre fondement que ceux sur lesquels il a été saisi dans le cadre de la présente instance. ". Ainsi, l'objectif qui consistait à identifier l'auteur des messages pour d'éventuelles suites judiciaires n'est pas atteint ! [13] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (J.O. du 7 janvier 1978, p. 7 et s.) modifiée récemment par la loi n° 2004-801 du 6 août 2004 (J.O. du 7 août 2004, p. 14063 et s.). [14] Loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (J.O. du 16 novembre 2001 p. 18215). V. E. Caprioli, Responsabilité des prestataires du commerce électronique et conservation de données aux finqs de traçabilité, in Traçabilité et responsabilité, Sous la direction de Ph. Pédrot, Paris, Economica, 2002, p. 114 s. , égal. disponible sur le site : www.caprioli-avocats.com [15] Loi relative aux communications électroniques préc. [16] Cette durée de conservation est à distinguer de celle prévue à l'article 6 de la loi du 6 janvier 1978 modifiée pour les données à caractère personnel puisqu'en principe elles doivent être conservées " pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ". [17] Le cumul de responsabilités en cas de faute personnelle d'un agent pendant l'exercice de ses fonctions a été consacré par un arrêt du Conseil d'Etat du 26 juillet 1918, Epoux Lemonnier, Rec. Leb., p. 761. [18] V. Eric Caprioli, La mise en place d'une charte " informatique et communications électroniques ", La Gazette des communes, des départements, des régions, 1er mars 2004, p. 52 et s., Cybersurveillance des salariés : du droit à la pratique des chartes " informatiques ", Petites affiches du 29 septembre 2004, p.7 et s. et Anne Cantéro, Les collectivités locales et la sécurité informatique, La Gazette des communes, des départements, des régions, 15 septembre 2003, p. 70 et s.