OVH condamné

Condamnation d’OVH & surveillance par les hébergeurs des contenus publiés sur le Web

 

Les généralités exposées à tout va par des « spécialistes » du droit de la conformité en ferait presque parfois oublier toutes les subtilités de cette matière.

L’arrêt de la Cour de cassation du 23 novembre 2022[1] vient rappeler des principes pourtant fondamentaux du droit de la protection des données à caractère personnel :

  • D’abord, que le Règlement Général sur la Protection des Données (RGPD) n’est pas le seul texte régissant le sujet.
  • Ensuite, que les organismes ne respectant pas ces règles n’encourent pas des risques sur le seul plan administratif, avec les enquêtes et éventuelles sanctions de la CNIL[2], mais engagent également leurs responsabilités pénale et civile.

Examinons ensemble dans quel contexte se présente l’affaire.

Plus besoin de vous présenter la société française OVH[3], qui agissait ici sous sa casquette d’hébergeur de sites Internet. L’entreprise assurait, dans ce contexte, la visibilité de la page Web de la société espagnole « Subrogalia », dont l’objet est d’organiser l’entremise entre une mère acceptant de porter un enfant et des parents d’intention.

Le 1er février 2016, l’association « Juristes pour l’enfance » a demandé à OVH de retirer sans délai le contenu publié par Subrogalia via leurs services. Leurs posts étaient en effet accessibles en France, alors que la gestation pour autrui (GPA) y est interdite.

OVH a refusé de procéder à cette suppression, estimant qu’il ne lui appartenait pas de trancher elle-même le litige opposant vraisemblablement Subrogalia et l’association des Juristes pour l’enfance. OVH a toutefois précisé qu’il exécuterait toute décision de justice l’obligeant à retirer cette publication.

OVH était-il obligé de faire droit à la demande de l’association ?

La Cour de cassation a jugé que oui.

Elle rappelle pour cela les dispositions de l’article 6(I)(2) de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique :

« Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »[4]

L’association des Juristes pour l’enfance reproche précisément à OVH de ne pas avoir rendu impossible l’accès au site de Subrogalia, alors même qu’elle avait attiré l’attention de l’hébergeur sur le caractère illicite de son contenu.

Elle réclame à OVH une indemnité pour le préjudice moral qu’elle dit avoir subi du fait de cette mise en ligne. Le problème sous-jacent est le suivant : la gestation pour autrui est peut-être illicite en France, mais elle est autorisée sous conditions en Espagne, pays où est implantée la société Subrogalia.

OVH a donc notamment fait valoir que, selon elle :

La loi française ne s’appliquait pas ici, puisque le fait générateur du dommage moral que l’association indique subir s’est produit en Espagne.

Subrogalia ne propose des prestations d’accompagnement à la gestation pour autrui que dans les pays où cette maternité de substitution est légale. OVH estime que le seul fait que ce contenu soit accessible depuis la France est indifférent. Selon lui, la gestation pour autrui fait l’objet de débats et d’options juridiques très différentes selon les pays, mais n’est pas unanimement réprouvée par une norme de droit international. Dans ces conditions, OVH estime qu’il n’est pas possible de qualifier les informations publiées par Subrogalia via ses services d’hébergement de “manifestement illicites”.

Force est de constater que la Cour de cassation n’est pas de cet avis.

D’une part, la Haute Juridiction a estimé que le caractère illicite de la pratique de la GPA était sans ambiguïté au regard du droit français actuel. Peu important les débats autour de cette question, seuls comptent les textes, qui n’autorisent pas en France ces grossesses de substitution.

D’autre part, la Cour de cassation a jugé que le site Internet de la société espagnole Subrogalia était accessible en français, et que ses clients étaient originaires de quatre États, dont la France. Dès lors, elle estime que le public français était la cible d’un contenu pourtant interdit sur son sol.

A défaut pour OVH d’avoir agi promptement pour rendre inaccessible ce site aux citoyens français, la Haute Juridiction a estimé qu’il y avait bien lieu de condamner OVH à verser 3.000 € de dommages et intérêts à l’association des Juristes pour l’enfance, afin d’indemniser leur préjudice moral pour ces faits.

Si OVH n’a vraisemblablement pas ici été poursuivi sur le plan pénal, ce qui aurait pu être le cas, nul doute qu’il aurait préféré ne pas se voir condamné sur le plan civil. Sans compter l’impact de cette décision sur son image de marque !

Quelle que soit votre activité, voici les leçons à tirer de cette décision :

  • N’occultez pas les multiples législations susceptibles de s’appliquer à votre structure, selon vos missions, et pouvant avoir une influence sur vos démarches de conformité. Nous vous l’assurons : ces réglementations sont bien plus nombreuses que vous ne le soupçonnez !
  • Ne méprenez pas la dimension internationale de vos publications, qui impacte nécessairement vos obligations en matière de protection des données personnelles (éventuelle désignation d’un représentant du responsable de traitement ou sous-traitant dans l’Union Européenne, gestion des flux de données intra et extra-communautaires, soumission à des règles locales plus ou moins strictes, etc.).

 

  • Soyez vigilants sur le respect de la législation en vigueur par vos propres partenaires contractuels, fournisseurs et/ou sous-traitants.

Il en va de votre réputation, et de votre budget.

 

Si cette décision vous laisse perplexes : ne restez pas seuls !

Notre équipe d’experts vous propose une entremise parfaitement légale, avec un de ses professionnels qualifié et expérimenté, afin de vous assister dans vos démarches de conformité. N’hésitez pas à contacter nos services pour toute demande de renseignement :

https://www.rgpd-experts.com/contactez-rgpd-experts/

 

[1] L’arrêt Cass. Civ. 1ère, 23 nov. 2022, n° 21-10.220 est disponible dans son intégralité à l’adresse suivante : https://www.courdecassation.fr/decision/637f23873aa45005d42d80c4

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[3] Nous vous aidons tout de même à mieux cerner ce géant du numérique : OVH est une entreprise française agissant essentiellement comme fournisseur d’accès à Internet, hébergeur de serveurs, opérateur de télécommunication et fournisseurs de service de cloud.

[4] Nous attirons votre attention sur le fait que la rédaction de ce texte a évolué plusieurs fois depuis les faits, qui datent de 2016.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.