Par un arrêt du 4 février 2005, la Cour d’appel de Paris vient d’affirmer qu’une entreprise peut être qualifiée de fournisseur d’accès à l’internet au sens de l’ancien article 43-7 de la loi du 30 septembre 1986, inséré par la loi du 1er août 2000. Elle donc soumise à l’ensemble des obligations pesant sur cet intermédiaire et notamment « détenir et conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ».
En l’espèce, la société World Press Online avait enregistré au début de l’année 2004, la rupture de deux contrats de représentation conclus avec des agents situés en Autriche et aux Etats-Unis. L’un des agents indiquait qu’après « avoir reçu un mail anonyme affirmant que la société allait fermer, j’ai perdu confiance dans le projet ». Il s’avérait, en effet, que deux courriers électroniques mensongers avaient été envoyés à ces agents depuis une adresse de courrier électronique gratuite. L’enquête auprès du fournisseur d’adresse avait permis de communiquer l’adresse IP de l’expéditeur de ces messages, qui s’avérait être celle utilisée par un salarié de la BNP Paribas.
World Press Online adressa donc à la banque une demande tendant à obtenir la communication de toute information permettant l’identification de l’expéditeur du message. En l’absence de réponse, elle décida de saisir la justice sur le fondement des articles 43-7 et 43-9 de la loi du 30 septembre 1986, alors applicables, qui fit droit à sa demande dans une ordonnance de référé du Tribunal de commerce de Paris du 12 octobre 2004.
L’article 43-7 précise, en effet, que « les personnes physiques ou morales dont l’activité est d’offrir un accès à des services de communication en ligne autres que de correspondance privée sont tenues, d’une part, d’informer leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner, d’autre part, de leur proposer au moins un de ces moyens ». L’article 43-9 ajoute que ces prestataires « sont tenus de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elles sont prestataires ». Sur ces fondements, le tribunal ordonnait à la banque de « communiquer l’identité et plus généralement toute information de nature à permettre l’identification de l’expéditeur du message électronique du 8 décembre 2003 ».
En appel, les juges confirment cette décision et précisent que « la demande (…) ne se heurte à aucune contestation sérieuse alors qu’en sa qualité, non contestée, de prestataire technique au sens de l’article 43-7 de la loi du 1er août 2000, la société BNP est tenue, en application de l’article 43-9 de ladite loi, d’une part, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ». Ils ordonnent donc à la banque de procéder à la communication des informations permettant d’identifier l’auteur du message.
Pour autant, les magistrats atténuent cette obligation en précisant que, pour autant, « la loi du 1er août 2000 ne lui fait pas obligation de traiter les données qu’elle doit conserver et communiquer ni de procéder elle-même à l’identification de l’auteur du message litigieux ».
Jugé sous l’empire des anciennes dispositions, une solution identique devrait être retenu en application de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Cet article reprend en effet la définition posée à l’article 43-7 (au sein de l’article 6-I, 1°), et l’obligation corrélative visée – à l’origine – à l’article 43-9 (figurant dorénavant au sein de l’article 6-III).
En pratique, une telle assimilation tend à soumettre les entreprises à l’ensemble des dispositions relatives à la conservation des données de connexion, initialement introduites par la loi sur la sécurité quotidienne du 15 novembre 2001. La conservation de ces données ne pourra ainsi excéder une année. Elles ne pourront porter, « en aucun cas, sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit ».
