Algorithmes de surveillance : l'hébergeur a-t-il intérêt à aller au-delà de la loi ?

L’évolution du paysage numérique a poussé le législateur européen à ajuster le cadre juridique, tout en conservant les principes de base. Ainsi, le règlement européen DSA du 19 octobre 2022 réaffirme l’absence d’obligation générale de surveillance à la charge des fournisseurs de services intermédiaires (article 8). En effet, le règlement prévoit ainsi un régime d'irresponsabilité pour les différents types de services intermédiaires, sous certaines conditions :

‍

• Le service de « simple conduit » n’est pas responsable des informations transmises, à condition qu’il n’initie pas la transmission, ne sélectionne pas le destinataire et ne modifie pas les données transmises.

‍

• Le prestataire de services de mise en cache bénéficie également de cette irresponsabilité pour le stockage automatique, intermédiaire et temporaire des informations, dès lors qu’il ne modifie pas les contenus, respecte les conditions d’accès, se conforme aux règles de mise à jour communément reconnues dans le secteur, n’entrave pas l’utilisation légitime de technologies standards, et agit rapidement pour retirer ou rendre inaccessibles les données dès qu’il a connaissance de leur suppression à la source ou d’une décision judiciaire ou administrative en ce sens.

‍

• Enfin, le prestataire de services d’hébergement n’est pas tenu responsable des contenus stockés à la demande d’un utilisateur, tant qu’il n’a pas connaissance effective de leur caractère illicite, ou qu’il intervient promptement pour les supprimer ou en bloquer l’accès dès qu’il en est informé.

‍

En raison de cette évolution du contexte règlementaire et de l’augmentation très forte des contenus litigieux, les hébergeurs ont tendance à se protéger davantage en adaptant des stipulations contractuelles qui encadrent leur offre de service, dans le sens d’un alourdissement des exigences de surveillance et de modération des contenus pour les plateformes, souvent au-delà des obligations légales minimales.

Renforcement des obligations de surveillance et de suppression des contenus illicites pour l’hébergeur à travers les CGU

‍

La liberté contractuelle, principe fondamental du droit des obligations, permet d'adapter les engagements des parties en fonction de leurs besoins spécifiques, y compris dans le domaine de l’hébergement en ligne. La Cour de cassation a récemment affirmé, dans un arrêt du 15 janvier 2025 (Cass. com., 15 janv. 2025, n° 23-14.625), que « l'article 6, I, de la loi du 21 juin 2004 n’a ni pour objet ni pour effet d’empêcher les parties à un contrat de convenir que l’hébergeur sera soumis à une obligation de surveillance des contenus qu’il stocke ou publie, ni d’interdire de prévoir une sanction contractuelle, telle que la résiliation, en cas de manquement à cette obligation ».

‍

Dans cette affaire, la clause stipulait que l’hébergeur s’engageait à ne pas héberger de contenus illicites, notamment ceux violant des droits de propriété intellectuelle, et autorisait son cocontractant à suspendre ou résilier le service en cas d’alerte concernant de tels contenus.

‍

Même si cette obligation n’était pas expressément qualifiée de surveillance, son effet était le même : l’hébergeur devait mettre en œuvre des moyens techniques suffisants pour prévenir la présence de contenus illicites.

‍

Or, ni la loi du 21 juin 2004 ni le règlement (UE) 2022/2065 (DSA) n’imposent une telle obligation de détection proactive aux hébergeurs. Cette clause représentait donc un aménagement contractuel volontaire, juridiquement recevable, tant que l'obligation qu'elle institue reste matériellement réalisable.

‍

Dans cette même logique, la Cour de cassation avait déjà admis, dans un arrêt du 4 septembre 2024 (Cass. com., 4 sept. 2024, n° 22-12.321), la validité d’une clause issue des conditions générales d’un hébergeur, qui prévoyait la résiliation sans préavis d’un service de référencement payant en cas de manquement grave ou répété par le cocontractant.

‍

Bien que la clause confèrait à la plateforme un pouvoir de décision unilatéral, les juges ont estimé qu’elle ne créait pas de déséquilibre significatif, au regard de l’article L. 442-1, 2° du Code de commerce. En effet, cette clause permettait à la plateforme d’exercer une faculté de résiliation contractuelle pour garantir le respect des exigences issues de la réglementation sur les services numériques.

Le rôle central des CGU et des CGV dans la présentation et la mise en œuvre de l’offre de services des hébergeurs

‍

Le DSA impose aux hébergeurs d’agir promptement pour empêcher la diffusion de contenus illicites, dès qu’ils en ont connaissance. En outre, le même règlement impose aux hébergeurs une obligation de transparence quant aux règles qui encadrent l’utilisation de leurs services.

‍

Dans cette logique, le considérant 45 du DSA précise que les hébergeurs doivent exposer de manière claire et actualisée, au sein de leurs CGU ou de leurs CGV, les raisons susceptibles de justifier une restriction de l’accès à leurs services.

‍

Cela inclut les politiques de modération des contenus, les types de sanctions possibles ainsi que les motifs pouvant entraîner leur application.

‍

Il en résulte que les conditions générales doivent indiquer les mesures que l’hébergeur met en place pour respecter cette obligation d’empêcher la diffusion de contenus illicites. En tout état de cause, la transparence attendue vise à garantir que les utilisateurs soient dûment informés de leurs droits et obligations, ainsi que des conséquences potentielles de leurs agissements sur le service en ligne.

‍

Cette exigence est d’autant plus importante que, dans les faits, l’application rigoureuse des CGU ou des CGV peut produire des effets particulièrement lourds, tels que la suppression du compte utilisateur par exemple.

‍

Un exemple est fourni par une affaire récente jugée par la Cour d’appel de Paris (CA Paris, 24.01.2025, n°21/10238).

‍

Un avocat avait vu son compte Google suspendu, ainsi que l’accès à Google Drive, après que l'hébergeur a détecté des fichiers pédopornographiques dans un dossier lié à une affaire pénale qu’il traitait dans le cadre de son activité professionnelle.

‍

Malgré les protestations de l’intéressé, qui faisait valoir la légitimité de la détention de ces fichiers dans le cadre de sa mission de défense, les juges ont estimé que Google n’avait commis aucune faute. L’entreprise s’était contentée d’appliquer ses CGU, lesquelles prévoyaient expressément la désactivation des comptes en cas de détection de contenus illicites, sans qu’il soit exigé d’évaluer le contexte ou les éventuelles justifications de leur détention.

‍

Face à la multiplication des contenus litigieux en ligne et à l’augmentation des signalements émanant des utilisateurs, les hébergeurs choisissent souvent de renforcer leurs moyens de détection par eux-mêmes des contenus illicites en les faisant accepter les utilisateurs au travers de leurs CGU.

‍

Cela leur permet de se doter de marges de manœuvres supplémentaires pour bloquer des comptes utilisateurs problématiques, supprimer des annonces frauduleuses. Ces actions peuvent être effectuées à l’aide d’algorithmes de détection et de modération.

‍

Les hébergeurs contrôlent ces contenus de manière mesurée conformément aux bonnes mœurs. C'est le cas de Google qui se réserve le droit de supprimer tout ou partie des contenus à caractère terroriste, pédopornographique, ou encore ceux facilitant la traite des êtres humains, ou incitant au harcèlement.

‍

Toutefois, malgré de telles précautions, le recours à des algorithmes détectant des mots-clés spécifiques, cette pratique peut entrainer une requalification du statut juridique de l’hébergeur.

‍

En effet, selon un arrêt rendu par la Cour de Justice de l’Union Européenne le 23 mars 2010, un hébergeur perd sa qualité juridique dès lors qu’il adopte un rôle actif dans le traitement des données, en sélectionnant ou en hiérarchisant certains contenus.

‍

Ainsi, pour conserver leur statut d’hébergeur au sens juridique, les hébergeurs doivent veiller à ce que leurs CGU n’imposent pas d’obligations susceptibles de les faire assimiler à des éditeurs de contenus, ces derniers étant pleinement responsables des contenus publiés sur leurs services.

‍

Par ailleurs, on peut légitimement s’interroger sur les véritables intentions de certains hébergeurs, lorsqu’ils s'engagent à surveiller et modérer certains contenus : s’agit-il réellement de garantir qu'aucun contenu contraire à l’ordre public ou aux bonnes mœurs ne circule sur leurs services en ligne ? Pour illustrer le propos, voici un extrait des CGU de Google Drive ne manquera pas, de faire sourire les lecteurs attentifs de CGU...

‍