C’est une étonnante décision de la cour d’appel de Paris qui risque de faire jurisprudence. Et de poser de gros soucis aux entreprises. Le 4 février dernier, dans une affaire opposant BNP Paribas à la société World Press Online,
la justice a estimé que le groupe bancaire était tenu ‘ d’une part de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des
services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ‘.BNP Paribas se retrouve ainsi soumis à la même obligation de conservation de données d’identification que celle incombant aux fournisseurs d’accès à Internet. Cette dernière avait été prévue dans le cas où la justice chercherait à
poursuivre un utilisateur qui aurait commis un acte malveillant sur le réseau. Pour les FAI, il s’agirait d’un de ses abonnés. Pour une entreprise, d’un de ses salariés.S’il n’y a pas pourvoi en Cour de cassation de la part de la BNP Paribas, où si cette instance ne casse pas le jugement, alors il y aura jurisprudence. Toutes les entreprises fournissant un accès au réseau à leurs salariés seront donc
des FAI aux yeux de la justice. Grands groupes comme PME…
Tout commence par un mail anonyme
L’affaire a démarré en 2004. Au début de l’année, World Press Online (une agence de presse économique) perd deux correspondants autrichien et américain. La raison : ces derniers ont reçu un mail anonyme annonçant la fermeture de
World Press Online. Une enquête remonte la piste du message pour découvrir qu’il a été expédié depuis un ordinateur des locaux français de BNP Paribas.World Press Online, qui ne dispose que de l’adresse IP du PC en question, demande au groupe bancaire de lui fournir l’identité de la personne pour lancer des poursuites. Pas de réponse. Fin juillet 2004, World Press Online saisit
en référé le tribunal de commerce. Qui, en octobre, ordonne à BNP Paribas de s’exécuter. Appel. Et, donc, le groupe bancaire perd une deuxième fois.Les juges se sont appuyés sur la loi du 1er août 2000 sur la Liberté de communication.
‘ La Loi pour la confiance dans l’économie numérique n’était pas encore adoptée, à
l’époque, note Benoît Tabaka au Forum des droits sur l’Internet. Mais ça aurait donné la même chose. ‘ Les deux textes en effet, le premier à l’article 43-7, le second à l’article 9 de la loi,
n’effectuent pas de distinguo entre une organisation faisant de l’accès à Internet son activité principale et celle qui en fait un service parmi d’autres.Auteur d’une analyse de la décision sur le site juridique
Droit et nouvelles technologies, l’avocat Thibault Verbiest pointe un autre défaut : l’absence de distinction entre des opérateurs fournissant un accès au public
(comme les FAI) et des opérateurs privés, fournissant un accès à leurs salariés.Selon lui, l’interprétation des juges va dans le sens d’une plus grande répression. ‘ En fait, la BNP a été condamnée plus sévèrement en appel, précise l’avocat. En première instance, elle
devait identifier les auteurs du message. La cour d’appel a dit non, mais a ordonné à la BNP de communiquer les données permettant l’identification. ‘
Une contrainte qui pourrait coûter très cher
Dans le premier cas, il ne s’agissait que d’une obligation ponctuelle de la banque. Dans le second cas, d’une obligation pérenne la transformant de facto en FAI.Il reste que l’arrêt de la Cour d’appel de Paris n’impose pas à l’entreprise de traiter et d’identifier elle-même la personne derrière l’adresse IP. Ce travail reste du ressort de la justice. Mais la seule obligation de conservation
suffit à créer une ‘ contrainte forte, selon Benoît Tabaka. Cela peut avoir un coût énorme. Pour les PME, il n’est pas dit qu’elles aient les moyens humains et les connaissances techniques nécessaires. Et
ça ouvre la porte à tous les autres cas : les cybercafés, et pourquoi pas les opérateurs Wi-Fi. ‘D’autant plus que même les FAI ne savent pas appliquer cette obligation. Ceux-ci attendent toujours les décrets d’application de la loi sur la sécurité quotidienne de novembre 2001 censés expliquer quelles sont exactement les données à
conserver et dans quelles conditions. ‘ Le décret pourrait permettre de préciser le domaine d’application, en excluant les opérateurs privés, ce qui serait dans la logique de la loi ‘, ajoute Thibault
Verbiest.Mais en France comme au
niveau européen, les décisions sur le sujet sont au point mort. Ce qui signifie que les entreprises fournissant un accès à Internet vont devoir conserver des données didentification,
mais sans savoir lesquelles, comment et combien de temps…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.