Responsabilités hébergeur de données / responsable de traitement : un rappel des règles applicables par la Cour d'appel de Paris
La Cour d’Appel de Paris vient, dans un arrêt rendu le 1er mars 2019 (CA Paris, Pôle 1, ch. 8, 1er mars 2019, n°18-15084), de rappeler le périmètre de la responsabilité d’un hébergeur de données à caractère personnel, en la différenciant bien de celle d’un responsable de traitement.
La Cour d’Appel rappelle qu’aux termes de l’article 4 point 7 du règlement général sur la protection des données n° 2016/679 (dit « RGPD »), un responsable de traitement est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».
La Cour d’Appel précise également, à l’égard de l'hébergeur que, « n’étant pas responsable du traitement des données à caractère personnel, il ne lui incombe pas d’effectuer une quelconque démarche relative à l’exploitation des dits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via les dits sites internet, de sorte que nul trouble manifestement illicite ne peut être recherché de ces chefs ».
Dans ce contexte, il est rappelé que l’hébergeur d’un site internet ne peut pas être considéré comme un responsable de traitement des données à caractère personnel sur ce site ; l’hébergeur n’étant par définition pas responsable des contenus qu’il héberge, il n’est pas tenu de réaliser des contrôle ou modération des contenus qu’il héberge.
La Cour d’Appel vient par ailleurs repréciser utilement le rôle et la responsabilité de l’hébergeur, tels qu’ils ressortent des articles 6. I. 2 et 6. I. 3 de la Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique dite Loi « LCEN » qui dispose que « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible ».
Cela signifie qu’en ce qui concerne les contenus hébergés, un hébergeur ne peut voir sa responsabilité engagée qu’a posteriori, à la condition qu’à compter du moment où il a connaissance d’une problématique sur une publication (contenu illicite ou litigieux), il n’a pas agi promptement pour retirer ces informations ou en rendre l’accès impossible.