Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



Par un arrêt du 4 février 2005, la Cour d’appel de Paris vient d’attribuer à une entreprise, en l’espèce une banque française », la qualité de prestataire technique au sens de l’article 43-7 de la loi du 1er août 2000 repris dans la loi du 21 juin 2004, dite LEN.

La Cour confirme une décision de référé du tribunal de commerce de Paris ayant ordonné à la banque de communiquer des informations permettant l’identification de l’expéditeur d’un message électronique envoyé à partir d’une adresse mail associée à l’adresse IP de l’un de ses ordinateurs.

Elle considère que la banque était tenue en application de l’article 43-9 de la loi du 1er août 2000 (la LEN n’étant pas encore entrée en vigueur au moment des faits de l’espèce), d’une part, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires.

La Cour rappelle, par ailleurs, que la banque n’était pas tenue de procéder elle-même à l’identification de l’auteur du message litigieux et qu’une telle recherche relevait d’une mesure d’instruction ne pouvant être ordonnée sur le fondement de l’article 43-9 de la loi du 1er août 2000 repris dans le LEN.

Les limites du cas d’espèce

En attribuant à une entreprise la qualité de prestataire technique, la Cour a fait une interprétation particulière des dispositions légales applicables aux FAI.

Cependant, la Cour ne s’est pas prononcée sur l’étendue de la notion et de la qualification des personnes dont l'activité est d'offrir un accès à Internet.

En outre, la banque ne semble avoir contestée la qualification de prestataire technique, ce qui conduit à considérer qu’il s’agit, pour l’instant, d’un cas d’espèce isolé.

L’étendue de la notion de FAI

En principe, sont considérés comme des FAI, « les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ».

Cette définition exclue, a priori, les entreprises dont ce n’est pas l’activité et mettent uniquement à disposition de leurs salariés un accès Internet pour les besoins de leur activité, cet accès étant fourni, sauf cas particuliers, par un FAI.

Dès lors, on peut s’interroger sur la portée d’une assimilation qui, de facto, soumettrait les entreprises aux obligations habituellement à la charge des FAI qui sont visées aujourd’hui au sein la LEN.

Le fait pour une entrprise de fournir un accès Internet à ses salariés doit-il être assimilé à la fourniture d’un accès Internet au public par un FAI, afin notamment de permettre à tout tiers d’obtenir judiciairement la communication de données susceptibles de conduire à l’identification de l’auteur d’un message litigieux, comme en l’espèce

C’est l’interprétation que semble avoir faite la Cour des dispositions applicables aux FAI.

Celle-ci présente un intérêt évident dans le cadre de la recherche et de l’identification des auteurs d’agissements délictueux mais implique pour les entreprises des conséquences pratiques importantes pouvant dépasser le cadre normal de leur activité.

Les conséquences pratiques d’une assimilation des entreprises aux FAI

La décision soulève déjà des interrogations et des inquiétudes au sein de certaines entreprises.

Faut-il considérer que les entreprises :

  • ont l’obligation d’informer leurs salariés, comme les FAI vis-à-vis de leurs abonnés, de l'existence de moyens techniques, à leur disposition, permettant de restreindre l'accès à certains services ou de les sélectionner ?

  • ne sont pas soumises à une obligation générale de surveiller les informations qu'elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ?

De même, une autorité judiciaire peut-elle prescrire en référé ou sur requête à toute entreprise toutes mesures propres à prévenir un dommage - par exemple, ordonner le blocage d’une boîte mail - ou à faire cesser un dommage occasionné par un contenu en ligne ?

L’assimilation FAI/entreprises serait ainsi susceptible d’entraîner des nouvelles contraintes pour les entreprises qui, notamment, pourraient être de plus en plus sollicitées par des tiers souhaitant obtenir des données techniques qu’elles n’ont pas la vocation ou la possibilité technique de conserver.

A cet égard, il convient de rappeler que la parution du décret relatif à la durée et aux modalités de conservation des données à la charge des prestataires techniques, visé au sein de la LEN, est suspendue en attente d’une décision du Parlement européen, ce qui ne facilite pas l’application ni la mise en œuvre des dispositions de la LEN.

Impact sur le contrôle de l’activité des salariés

Si l’assimilation FAI/entreprises était confirmée, elle aurait un impact considérable en matière de stockage et d’archivage des données relatives à l'activité des salariés, la majorité des entreprises ne disposant pas des ressources techniques suffisantes. De plus, la mise en place des ressources adaptées pourrait s’avérer particulièrement onéreuse selon la taille des entreprises et le nombre de salariés concernés.

Une telle obligation de conservation des données impliquerait une information des salariés et des institutions représentatives sur l’enregistrement et la conservation de données les concernant, ainsi qu’une déclaration auprès de la CNIL des traitements associés.

A défaut du respect de ces obligations, les preuves, communiquées à un tiers par une entreprise saisie sur réquisition judiciaire, pourraient être considérées non recevables ou illicites, particulièrement si elles étaient destinées à être opposées à un salarié de cette entreprise.

Outre les incidences pratiques et juridiques qu’elle implique, la décision de la Cour d’appel de Paris du 4 février 2005 ouvre un nouveau débat sur l’interprétation des dispositions de la LEN relatives aux prestataires/intermédiaires techniques, débat qui pourrait être étendu aux entreprises qui assurent l’hébergement de données mais dont ce n’est pas l’activité première