Un récent arrêt de la cour d’appel de Paris vient préciser, s’il en étant besoin, que l’hébergeur d’un site internet ne peut être considéré comme le responsable du traitement des données à caractère personnel sur ce site.
Dans un contentieux particulièrement touffu, opposant un avocat à l’hébergeur de sites d’informations professionnelles, la cour d’appel a été amenée à rappeler que
« l’hébergeur de sites, « n’étant pas responsable du traitement des données à caractère personnel, il ne lui incombe pas d ‘effectuer une quelconque démarche relative à l’exploitation des dits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via les dits sites internet ».
Notion de « responsable du traitement des données à caractère personnel »
Rappelons qu’aux termes de la loi du 6 janvier 1978, mais surtout aujourd’hui du RGPD, le « responsable du traitement » est :
« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (article 4, point 7 RGPD).
Or un hébergeur de sites web est par définition non responsable des contenus qu’il héberge et que les éditeurs des sites hébergés mettent librement en œuvre. Rien dans son rôle ne permet donc d’identifier l’un quelconque des critères de responsabilité du traitement de données personnelles.
Une responsabilité limitée de l’hébergeur
Rappelons encore que l’hébergeur de site internet n’est a priori pas responsable des contenus qu’il héberge, ce qui est salutaire car s’il devait supporter une once de responsabilité, il serait tenté de contrôler les contenus hébergés et de supprimer ou de « modérer » certains contenus et c’en serait fini de la liberté d’expression.
En revanche, la responsabilité de l’hébergeur peut se trouver engagée du fait « des informations stockées » s’ils ont
« effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère, où si, dès le moment où [ils] en ont eu cette connaissance, [ils] ont agi promptement pour retirer ces données ou en rendre l’accès impossible » (article 6-I 2° loi du 21 juin 2004 dite LCEN).
Sur ce terrain, le litige aurait pu aboutir autrement si le plaignant avec réuni les conditions pour mettre en œuvre la responsabilité « dérogatoire » de l’hébergeur.
Voir l’arrêt très touffu de la cour d’appel de Paris du 1er mars 2019 sur Legalis.net.
Photo : Envato