Responsabilité des prestataires d’hébergement et obligations contractuelles : un devoir général de surveillance ?

Résumé des faits

Dans une décision du 15 janvier 2025 (n° 23-14.625), la Cour de cassation rappelle que les contrats d’hébergement de données peuvent stipuler des obligations et des causes de responsabilité plus larges que celles prévues par la loi pour la confiance dans l’économie numérique (LCEN – dans sa rédaction antérieure à la loi n°2011-267 du 14 mars 2014).

Dans cette affaire, la Société Générale avait signé un contrat avec la société Dstorage pour proposer un service de paiement sécurisé. Le contrat imposait à Dstorage « d’utiliser le système de paiement à distance sécurisé en s’abstenant de toute activité illicite », parmi lesquelles « des actes de contrefaçon d’œuvres protégées par un droit de propriété intellectuelle », sous-entendu que Dstorage n’héberge pas des contenus illicites, notamment des contrefaçons.

Il permettait en outre à la Société Générale de suspendre ou résilier le service en cas de violation de cette obligation.

Après avoir informé Dstorage d’actes de contrefaçon sur son site, et constaté l’absence de mesures correctives de sa part, la Société Générale a résilié le contrat.

I- Les obligations légales des hébergeurs

L’ancien article 6 de la loi LCEN a institué un cadre juridique pour la régulation des services de la société de l’information en France, en particulier pour les prestataires techniques tels que les hébergeurs de contenus en ligne. Selon cet article, un hébergeur n’est pas responsable du contenu hébergé, sauf s’il a effectivement connaissance de son caractère illicite et n’agit pas promptement pour le retirer ou en rendre l’accès impossible, à compter de la notification qui lui est faite par l’éditeur.

Les obligations légales des hébergeurs se déclinent ainsi :

  1. Le rôle d’intermédiaire technique : L’hébergeur agit en tant que simple prestataire technique et ne doit pas être considéré comme responsable des contenus qu’il héberge, sauf en cas de mise en demeure ou de notification validée par un juge.
  2. L’obligation de retrait : Lorsqu’un contenu illicite est porté à sa connaissance, l’hébergeur doit agir sans délai pour retirer ledit contenu. Cette obligation est conditionnée à une notification claire et précise du caractère illicite du contenu, conformément aux procédures prévues par la LCEN.

L’hébergeur ne peut être tenu responsable que s’il a une connaissance effective de la nature illicite du contenu hébergé. Cette connaissance peut résulter soit d’une notification reçue, soit d’une information suffisante qui le rend en mesure de vérifier l’illicéité du contenu.

Ainsi, la responsabilité des hébergeurs est fondamentalement basée sur la notion de connaissance effective et sur leur réaction rapide face à cette connaissance.

La responsabilité des hébergeurs est aujourd’hui règlementée par le Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit le Digital Service Act – DSA).

II- Les apports de la décision n° 23-14.625

La décision rendue par la Cour de cassation en janvier 2025 confirme la possibilité d’un élargissement contractuel des obligations des prestataires d’hébergement en matière de surveillance et de réactivité face à des contenus illicites.

En effet, si les hébergeurs ne sont pas soumis à une obligation légale générale de surveillance des informations stockées (Cass. com. 27-3-2024 n° 22-21.586 F-B), la décision étudiée semble toutefois admettre qu’une obligation contractuelle de surveillance peut élargir la responsabilité des hébergeurs.

La Cour confirme qu’une obligation contractuelle de surveillance peut imposer aux hébergeurs des obligations plus strictes en matière de surveillance des contenus.

Cela signifie en pratique que des contrats avec des hébergeurs peuvent étendre le champ de leurs obligations légales, en exigeant des mécanismes plus rigoureux pour prévenir la diffusion de contenus illicites.

*    *

Les prestataires d’hébergement doivent donc rester particulièrement vigilants quant à la mise en place de mécanismes de surveillance imposés contractuellement par leurs partenaires, et qui augmenteraient leurs obligations légales.

Cela s’applique également aux partenaires des hébergeurs, notamment dans le cadre d’infogérance, où les prestataires travaillent avec des sous-traitants qui, eux, ne seraient pas soumis contractuellement à un mécanisme de surveillance. Cette disparité entre les obligations de chacun peut mener à des situations délicates qu’il n’est nécessaire de prévenir, par exemple avec des clauses back-to-back.

Il serait étonnant que ces clauses contractuelles aient pour effet d’engager la responsabilité des hébergeurs sur le fondement du DSA. Il semble plus pertinent d’affirmer que seule leur responsabilité contractuelle peut être touchée, ce qui peut toutefois mener à des conséquences néfastes sur divers plans.

La possible extension de la responsabilité des hébergeurs par des clauses contractuelles impose dès lors de revoir et, si nécessaire, renégocier les contrats susceptibles de faire l’objet de telles clauses.

                                                                Lucie MANILLER                                                                           Arnaud BOUTON              
                                                                       Avocate collaboratrice                                                                   Avocat associé 

                                                                                                                               

KIRON AVOCATS
28 rue mansard
69100 VILLEURBANNE

contact@kiron-avocats.com

04 28 38 64 00

© 2024 KIRON AVOCATS | Création de l’agence Arxama | Mentions légales

Linkedin
Contact