March 25, 2005

Fausse identité communiquée lors de l'hébergement

  • Nom : Bande
    Prénom : Dessinée
    Date de naissance : 25/03/1980
    Adresse : rue de la BD
    Code postal : 1000
    Ville : Bruxelles
    Adresse email de confirmation : pitbullteam@hotmail.com
Il vient d'être jugé que la communication de ces données, qui n’étaient pas de nature à permettre l’identification de l’auteur d'une page web (illicite) hébergée à titre gratuit, un hébergeur a manqué à son obligation légale de détenir et de conserver les données des personnes dont il héberge les contenus.
Cela pourrait-il signifier que les hébergeurs devront désormais utiliser un mécanisme de détection des données communiquées par les personnes hébergées, qui devraient alerter de la saisie de termes qui ne sont pas des prénoms ("Bande") ? [Sur la question, voir aussi, à propos de la responsabilité des outils de recherche, cet article de V. Sédallian].
La responsabilité de l'hébergeur est retenue, au motif que les données n'ont pas pu remonter à l'auteur de la contrefaçon alléguée. Une telle responsabilité pourrait-elle être retenue à l'encontre des registrars (traditionnellement considérés comme n'étant pas responsables des noms de domaine qu'ils permettent d'enregistrer... mais si on venait les chatouiller sur la "véracité" des informations déposées au WhoIs lors d'un enregistrement ?).

3 comments:

Benoit Tabaka said...

Personnellement, ce qui me choque dans cette décision, c'est bien évidemment la solution à laquelle nous sommes arrivés.

L'ex-article 43-9 prévoit que "les prestataires mentionnés aux articles 43-7 et 43-8 sont tenus de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elles sont prestataires".

Or, les hébergeurs ne conservent pas seulement les données "déclarées" mais également l'adresse IP utilisée par l'internaute soit pour ouvrir son site, soit pour updater son site (par exemple par FTP) car seulement celles-ci permettent l'identification de la personne.

Et là plusieurs situations sont à envisager :

1/ soit l'hébergeur n'a pas stocké ces données, et donc, on peut comprendre la décision ;

2/ soit il n'a communiqué ces données de connexion ce qui peut paraître étonnant ;

3/ soit, enfin parce que la victime est arrivée tardivement, l'hébergeur a effacé ces données de connexion ou les données communiquées (IP) n'ont pas permis l'identification car la demande est arrivée trop tardivement.

Et là deux points saillants arrivent :
1/ contrairement aux FAIs, l'hébergeur n'est pas tenu de procéder à un effacement des données de connexion
2/ quelle est la responsabilité de l'hébergeur si la seule donnée de connexion permettant l'identification est l'adresse IP et que suite à l'application du Code des postes et communications électroniques (article L. 34-1), la victime ne peut en obtenir identification auprès du FAI qui n'a plus la possibilité de procéder à une telle identification ?

En clair, l'hébergeur est-il tenu à une obligation de résultat en la matière.

Benoit Tabaka said...

Concernant le point spécifique soulevé par Cédric (je m'égare .. désolé) à savoir quid de la responsabilité du registar, personnellement, je me demande si celle-ci ne pourrait pas être engagée dans une situation.

En effet, prenons l'exemple de l'AFNIC. Celle-ci précise dans les "7 bonnes raisons de choisir un nom de domaine en .fr", les principes "d'identification et de qualification".

Plus précisément, l'AFNIC indique que "Les titulaires d'un .fr sont identifiés sur une base de données officielle au moment de l'enregistrement de leur nom de domaine. Rendre votre site internet accessible par un .fr est un moyen de renforcer la confiance de vos visiteurs en leur indiquant que vous êtes bien une structure légalement identifiée en France. Des pointeurs sont établis vers la ou les bases publiques ayant servi à l'identification du titulaire, permettant à tout moment et à tout internaute de savoir qui est derrière un nom de domaine en .fr."

Pire, l'URL de cette page se finit par un "/confiance".

Or, un consommateur lésé par un cyber-marchand ayant une URL en .fr ne pourrait-il pas se retourner contre l'AFNIC. Sur quel fondement ? L'article 1382.

En effet, la Cour de cassation a eu l'occasion de retenir la responsabilité d'un journal de petite annonce à la suite d'une mauvaise transaction uniquement en raison de l'existence d'une charte qui laissait croire "en l'efficience des contrôles auxquels il s'engageait" ce qui a concourru au dommage causé.

Plus exactement, voilà ce que dit la Cour de cassation (Civ.2, 10 juin 2004, La Centrale, n° 02-19.600) : "Viole l'article 1382 du Code civil la cour d'appel qui, au regard de l'engagement d'un diffuseur d'annonces d'exclure les annonces concernant des véhicules anciens ou gravement accidentés et à ne pas laisser paraître d'annonces comportant des mentions erronées, ne retient pas de faute à la charge de ce diffuseur qui avait par le biais d'une " charte " laissé croire en l'efficience des contrôles auxquels il s'engageait et ainsi concouru au dommage causé à l'acquéreur lésé par la publication d'une annonce comportant des mentions erronées sur le nombre des immatriculations du véhicule proposé, qui avait été gravement accidenté".

Dès lors que l'AFNIC vante la confiance que peut avoir le consommateur dans les noms de domaine en ".fr", en raison notamment de l'exactitude du whois, ne peut-on pas engager sa responsabilité si le cyber-marchand n'est pas aussi clean que ça ?

Anonymous said...

Bonjour,
Sauf erreur de ma part, il semblerait qu'on aille un peu vite en conclusion sur un petit point de detail. Les hébergeurs ne supportent pas l'obligation de conserver les adresses IP et/ou les logs de connexion. Le régime actuel de la LCEN qui prévoit pourtant expressément cette obligation n'est lui-même pas encore définitivement arrêté dans ses modalités techniques. Là encore sauf erreur de ma part, on est encore dans l'attente du décret censé fixer le type de données à conserver, les procédures de conservation et la durée de conservation.
Les faits de l'espèce font ressortir le cas un peu particulier du FAI-hébergeur. Le FAI conserve les logs de connexion et le régime de cette obligation est connu. Pour l'hébergeur, c'est une autre histoire.
Pour la responsabilité bis envisagée par Benoît en revanche, retenir la responsabilité du registry et/ou du registrar dans le dépôt du nom avec fausse identité, c'est une idée un peu audacieuse. Si j'ai bien compris l'argument de Benoît Tabaka, ce n'est pas tant le défaut d'identité qui est relevé mais la publicité - selon Benoît - trompeuse qui constituerait le pivot de la responsabilité de l'AFNIC. Mais alors, pourquoi s'arrêter à l'AFNIC et pourquoi ne pas engager la responsabilité de l'ICANN qui définit les politiques ? Et au delà, le département américain du commerce qui chapeaute tout ?