Hébergeur ou éditeur ?

Bonjour,

Note: ceci n'est pas de la programmation mais du droit informatique. Je ne savais pas trop où poster, alors je l'ai mis là par défaut parce que ce n'est en tout cas pas des sciences, ni du hardware; merci de bien vouloir déplacer ce sujet dans la section appropriée.

Je suis en train de développer un site web où l'utilisateur peut télécharger un framework de ma conception. Ce framework lui permet de créer du contenu localement, puis ensuite de l'uploader sur mon site afin que tout le monde puisse utiliser sa création. Théoriquement on n'est pas absolument obligé d'utiliser mon framework pour publier du contenu sur mon site, mais c'est quand même nettement plus simple et fortement recommandé.

Le framework est en JavaScript, est destiné aux développeurs qui maîtrisent ce langage, et le contenu créé est de nature active (du code JavaScript et des pages HTML). En d'autres termes le développeur télécharge mon framework, développe et teste en local, puis publie son app sur le site. A partir de là, n'importe quel utilisateur peut utiliser l'app présente sur le site.

Il s'agit de me protéger vis-à-vis des développeurs mal intentionnés, et bien évidemment de protéger tant que possible les utilisateurs qui utilisent les applications publiés par les développeurs; je ne voudrais bien sûr pas qu'il leur arrive malheur. J'aimerais évidemment éviter des problèmes au cas où un développeur peu scrupuleux publie du code malveillant ou du contenu contrefait sur mon site.

Je lis beaucoup de choses contradictoires à ce sujet et je ne suis pas juriste, alors je suis un peu embrouillé par toutes ces questions. Indépendament du pays où on se situe moyennant des détails, je comprends qu'il existe globalement deux régimes complètement différents qui peuvent s'appliquer: hébergeur, ou éditeur.

En bref, l'hébergeur :

• N'est par défaut pas responsable des contenus publiés par ses utilisateurs
• Ne fait aucun contrôle sur ce que les utilisateurs publient, i.e. les contenus ne sont pas modérés à postériori ou validés avant publication; et ceci est une condition obligatoire car dès qu'il y a une quelconque forme de contrôle, alors on devient éditeur
• Fonctionne sur plainte, c'est-à-dire qu'il n'est pas forcément censé savoir qu'un contenu illégal se trouve sur son site si personne ne le prévient; il doit y avoir une fonction de signalement facile à utiliser.
• Doit mettre hors ligne un contenu illégal aussitôt qu'il en a connaissance, et ce faisant, ne risque pas grand chose car peut se retourner contre le véritable auteur.

L'éditeur de son côté :

• Est entièrement responsable des contenus publiés
• Fait un contrôle strict de ce que les utilisateurs publient, i.e. les contenus sont modérés à postériori ou validés avant publication
• Est vraiment dans la merde si un contenu illégal passe les mailles du filet car il ne peut pas se retourner contre le véritable auteur

Aucun doute que, par exemple, ZDS agit comme un éditeur pour les tutoriels, car ils sont validés avant publication. Aucun doute non plus que facebook héberge des apps et non les édite, car il n'y a pas vraiment de vérification et on peut jouer au con, facebook supprime simplement l'app en cause dès qu'il aura été prévenu et lui-même ne risque absolument rien du tout, ni pour sa réputation, ni pour la société.

De mon côté, où est-ce que je me situe avec mon système ? Ou bien où est-ce que je devrais faire en sorte de me situer ?

JE pense que ce serait mieux si j'étais considéré comme un hébergeur et non comme un éditeur. Cela notamment parce que valider les contenus avant publication pose plusieurs problèmes que j'aimerais éviter :

• Ca prend énorméement de temps, et c'est tout du temps qu'on ne passe pas à améliorer le service
• C'est un boulot chiant à mourir
• C'est parfois loin d'être facile, surtout quand il s'agit de code et non pas simplement d'articles; il y a sûrement des moyens très facile de berner l'équipe de validation et faire en sorte qu'elle ne s'aperçoive de rien
• Ce n'est pas raisonnablement automatisable, ou en tout cas on ne peut pas se passer totalement de contrôle manuel

Cependant :

• D'après certaines sources, je suis nécessairement éditeur, simplement parce que le framework que je propose aide le créateur à produire son oeuvre. Si je veux être hébergeur, je dois absolument laisser l'utilisateur se démerder tout seul du début à la fin et ne pas lui fournir d'aide, ni avec un logiciel, ni avec un système d'entraide genre forums (parce que c'est prévu). Je ne comprends pas trop pourquoi et qu'est-ce qu'il en est vraiment ?
• J'imagine que pour pouvoir être considéré comme hébergeur, je dois bien connaître mes utilisateurs et posséder des informations personnelles sûres à leur propos; un pseudo, une adresse e-mail et des données de paiement provenant d'une plateforme comme paypal ne sont probablement pas suffisants. Légalement, de quelles informations devrais-je disposer pour être couvert ?
• Que se passe-t-il si un utilisateur se ramasse un virus, ou pire, est victime de fishing, parce qu'un type à envoyé un script malveillant sur mon site ? Certes je supprimerai la mauvaise page et fermerai le compte fautif, mais comment faire comprendre à l'utilisateur que, même s'il a trouvé ça sur mon site, je ne suis pour rien, que ce n'est pas de ma faute, et que le connard c'est l'autre ?

Merci beaucoup pour tous les éclaircissements que vous pourrez m'apporter sur le sujet.

J'ai déplacé ton sujet dans le forum autres savoirs, qui est fait pour ça.

Je vais te répondre ici par rapport à la loi française, ne connaissant pas suffisamment les lois des autres pays ; de plus, le troisième point n'étant pas vraiment du pur droit, je vais laisser quelqu'un d'autre te répondre.

Partie 1 : Du statut d'hébergeur ou d'éditeur

Je vais me permettre de résumer un peu ce que tu dis ci-dessus, ainsi, de ce que j'ai compris, tu :

• est une personne physique ;
• mets à disposition du public en ligne des services de stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ;
• assure ce service à titre gratuit ;
• n'as pas accès avant hébergement à ces contenus, ils sont totalement hébergés sur demande des destinataires de ton service (=du public) ;
• ne prétends pas éditer un service de communication au public en ligne et, en ce sens, ne publie pas de contenu, ni ne modifie le contenu publié a posteriori.

Ainsi, découle des quatre premiers points que tu es un hébergeur de contenu, et du dernier point que tu ne peux être considéré comme éditeur des contenus postés par tes utilisateurs – et uniquement ceux-ci, les contenus que tu postes te restent imputables –, si l'un des points que je cite ci-dessus est totalement ou partiellement incorrect, il se peut que tu ne sois alors pas totalement un hébergeur, merci dans ce cas de le signaler.

Concernant le framework fourni, tu ne peux être considéré responsable des contenus réalisés avec celui-ci, a moins que tu t'y engages dans la licence concernant l'utilisation de celui-ci, dans tout les autres cas, la responsabilité vient de la personne produisant un contenu, c'est-à-dire, celle qui va écrire et surtout publier le code final ; concernant la création d'un forum, la responsabilité reste la même, tu réponds aux critères de l'hébergeur d'écrits et d'images, les contenus postés sur ce forum ne peuvent t'être reprochés – encore une fois, puisqu'on ne le dira jamais assez, sauf ceux que tu as postés –.

Partie 2 : Les caractéristiques de l'hébergeur

Un hébergeur ne peut :

• voir sa responsabilité civile engagée du fait des activités ou des informations stockées à la demande de l'utilisateur ;
• voir sa responsabilité pénale engagée du fait des activités ou des informations stockées à la demande de l'utilisateur ;
• être soumis à une obligation générale de surveiller les informations qu'il transmet ou stocke, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.

Toutefois, l'hébergeur doit :

• agir promptement pour retirer ou rendre impossible l'accès à des informations illicites dès lors que celles-ci sont portées à sa connaissance ;
• mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à sa connaissance des données ou informations illicites ;
• accéder à toute demande de surveillance ciblée et temporaire demandée par l'autorité judiciaire ;
• communiquer à tout utilisateur en faisant la demande ou indiquer dans ses mentions légales ses nom, dénomination ou raison sociale, et adresse ;
• détenir et conserver les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont ils sont prestataires.

Pour préciser le dernier point, il est en pratique conseillé pour un hébergeur de détenir les noms et prénoms ainsi que l'adresse postale des personnes physiques qu'il héberge, toutefois, pour de nombreux hébergeurs gratuits, seule l'adresse IP est conservée pour garantir l'identification ; dans tous les cas, l'IP doit être conservée pendant 1 an après la dernière connexion pour éviter les fausses informations postales ou patronymiques données par l'utilisateur.

Enfin, pour ce qui est du point numéro deux, le dispositif doit enregistrer – et je vais simplement copier / coller la loi - :

• la date de la notification ;
• si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ;
• les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ;
• la description des faits litigieux et leur localisation précise ;
• les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
• la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

Pour plus de précisions, si tu n'as pas peur de lire des textes obscurs, je te renvoie vers le chapitre deux de la loi pour la confiance dans l'économie numérique, que je paraphrase parfois honteusement dans ce message.

Si tu as d'autres requêtes ou nécessite des précisions, je serais ravi de te répondre à nouveau.

Bonjour,

Je te remercie pour ta réponse détaillée et complète. JE suis suisse mais je ne pense pas que la loi diffère beaucoup de la France sur ces sujets. ET puis n'importe qui dans le monde pourra utiliser mon service.

si l'un des points que je cite ci-dessus est totalement ou partiellement incorrect, il se peut que tu ne sois alors pas totalement un hébergeur, merci dans ce cas de le signaler.

JE vais reprendre point par point pour être sûr :

• est une personne physique ;

Oui. En tout cas pour le moment. Est-ce que ça change beaucoup si c'était une entreprise ou une association ?

• mets à disposition du public en ligne des services de stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ;

JE ne sais pas ce que tu entends exactement par « de toute nature ». Vu que je ne prévois pas de contrôle, effectivement, on peut techniquement publier tout ce qu'on veut sans restriction.

Par contre le site a une thématique précise et donc se pose la question des contenus qui sont clairement hors sujet. Je ne dois pas faire un quelconque contrôle sur ce que les utilisateurs publient, sinon je deviens éditeur, ça m'a paru assez évident. Mais si je fonctionne sur signalement, est-ce que j'ai le droit de mettre hors ligne un contenu qui a été signalé comme hors sujet uniquement pour cette raison, même si légalement parlant il n'est en rien contrevenant ?

Exemple bidon, on site est sur les chats. Quelqu'un publie un article sur la F1. ON me signale ce contenu comme inapproprié. J'ai le droit de le supprimer ?

L'exemple est vraiment décâlé car en réalité, c'est des applications que je vais héberger, et on peut faire des applications à peu près sur n'importe quel sujets, les possibilités sont vastes; mais il ne faudrait pas non plus que quelqu'un n'utilise son compte sur mon site comme il utilise dropbox et que son contenu ne soit pas réellement une app utilisable, si tu vois ce que je veux dire. C'est comme si je prenais un hébergement mutualisé chez OVH mais que j'utilisais mon espace comme pur stockage, sans avoir jamais réellement eu l'intention de faire un site web. Mauvais exemple étant donné que ce serait cher pour cet usage et vu qu'il existe HubiC, mais je pense que tu vois l'idée.

C'est sur ce point que j'ai des gros doutes sur mon statut, ou comment orienter mon service pour qu'il penche plutôt vers l'hébergeur que l'éditeur.

• assure ce service à titre gratuit ;

Non. Les utilisateurs pourront accéder aux contenus gratuitement, mais les développeurs devront payer pour publier leur app.

• n'as pas accès avant hébergement à ces contenus, ils sont totalement hébergés sur demande des destinataires de ton service (=du public) ;

Effectivement, puisqu'ils développent d'abord en local et envoient leur création terminée

• ne prétends pas éditer un service de communication au public en ligne et, en ce sens, ne publie pas de contenu, ni ne modifie le contenu publié a posteriori.

En effet.

Concernant le framework fourni, tu ne peux être considéré responsable des contenus réalisés avec celui-ci, a moins que tu t'y engages dans la licence concernant l'utilisation de celui-ci, dans tout les autres cas, la responsabilité vient de la personne produisant un contenu, c'est-à-dire, celle qui va écrire et surtout publier le code final ;

Ouf, ça me rassure.

Pour préciser le dernier point, il est en pratique conseillé pour un hébergeur de détenir les noms et prénoms ainsi que l'adresse postale des personnes physiques qu'il héberge, toutefois, pour de nombreux hébergeurs gratuits, seule l'adresse IP est conservée pour garantir l'identification ; dans tous les cas, l'IP doit être conservée pendant 1 an après la dernière connexion pour éviter les fausses informations postales ou patronymiques données par l'utilisateur.

ON parle bien de l'IP qui a été utilisée au moment de la publication du contenu ? Donc par exemple si on upload par FTP, c'est le serveur FTP qui doit stocker les IP des connexions, pas le serveur web ? Est-ce que les logs habituels, p.ex. logs apache, sont suffisants, ou a-t-on besoin d'autre choses en plus ?

JE vais toutefois demander systématiquement le vrai nom et adresses à la création d'un compte développeur, pour être sûr. Tout en sachant qu'on peut toujours introduire des fausses informations et qu'il n'y a aucun moyen d'être sûr à 100%.

Enfin, pour ce qui est du point numéro deux, le dispositif doit enregistrer – et je vais simplement copier / coller la loi - :
…
…

Ah oui ! Donc un simple bouton « signaler un contenu inapproprié » comme on en croise parfois n'est clairement pas suffisant et n'a quasiment aucune valeur. JE suppose donc qu'en pratique on n'entre en matière que sur injonction écrite traditionnelle, p.ex. recommandé.

• est une personne physique ;

Oui. En tout cas pour le moment. Est-ce que ça change beaucoup si c'était une entreprise ou une association ?

Quelques changements de niveau administratif mais pour ce qui est de la responsabilité, elle est la même.

• mets à disposition du public en ligne des services de stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ; Mais si je fonctionne sur signalement, est-ce que j'ai le droit de mettre hors ligne un contenu qui a été signalé comme hors sujet uniquement pour cette raison, même si légalement parlant il n'est en rien contrevenant ?

Il suffit que tu le précise dans les conditions générales d'utilisation, et tu aura le droit de le faire à coup sûr.

• assure ce service à titre gratuit ;

Non. Les utilisateurs pourront accéder aux contenus gratuitement, mais les développeurs devront payer pour publier leur app.

On est bon aussi, mais attention, tu ne pourra pas rester anonyme dans ce cas, et tu sera obligé de créer une structure légale, type entreprise, pour pouvoir gérer de l'argent, sinon, se sera considéré comme du travail au noir, en tout cas au niveau de la loi française.

Pour préciser le dernier point, il est en pratique conseillé pour un hébergeur de détenir les noms et prénoms ainsi que l'adresse postale des personnes physiques qu'il héberge, toutefois, pour de nombreux hébergeurs gratuits, seule l'adresse IP est conservée pour garantir l'identification ; dans tous les cas, l'IP doit être conservée pendant 1 an après la dernière connexion pour éviter les fausses informations postales ou patronymiques données par l'utilisateur.

ON parle bien de l'IP qui a été utilisée au moment de la publication du contenu ? Donc par exemple si on upload par FTP, c'est le serveur FTP qui doit stocker les IP des connexions, pas le serveur web ? Est-ce que les logs habituels, p.ex. logs apache, sont suffisants, ou a-t-on besoin d'autre choses en plus ?

Oui, ce sont les logs FTP à ton niveau, puisque ton hébergeur stocke déjà les IP des clients, normalement, attention au niveau d'avertissement qui doit être élevé dans la configuration si tu choisis cette solution et les logs doivent être stockés 1 an, ça pèse très lourd sur un disque dur si tu as beaucoup de clients.

Enfin, pour ce qui est du point numéro deux, le dispositif doit enregistrer – et je vais simplement copier / coller la loi - :
…
…

Ah oui ! Donc un simple bouton « signaler un contenu inapproprié » comme on en croise parfois n'est clairement pas suffisant et n'a quasiment aucune valeur. JE suppose donc qu'en pratique on n'entre en matière que sur injonction écrite traditionnelle, p.ex. recommandé.

Au niveau de la loi, il te faut ces informations pour te prémunir et pouvoir porter plainte contre la personne si elle réalise un faux signalement ; en pratique, un bouton signaler est largement suffisant mais tu prends la responsabilité de la suppression du contenu, s'il est manifestement illégal, c'est bon, si il y a un doute, tu pourra être condamné pour censure abusive en cas de plainte devant un tribunal ; attention toutefois, il y a un gros problème à ce niveau, si quelqu'un te signale le contenu sans révéler son identité, tu en as connaissance, et donc, aux yeux de la loi tu es responsable.

On est bon aussi, mais attention, tu ne pourra pas rester anonyme dans ce cas

JE n'ai jamais dit que j'allais moi-même rester anonyme; c'est une évidence dès le moment où il y a de l'argent en jeu. Je n'ai pas encore réfléchi pour écrire une page informations légales, mais je sais que je devrai le faire.

JE pense que tu as répondu à toutes mes questions. Merci beaucoup pour tes explications.

Reste encore ma dernière question que tu as mis de côté.

Je sais pas si ça recoupe, mais je viens de tomber sur ça http://lauremarino.blogspot.fr/2016/06/responsabilite-civile-et-penale-FAI-hebergeurs-.html

Pour compléter un petit peu, j'ai croisé hier après-midi une de mes connaissances en « Master de droit européen comparé à finalité recherche » à Panthéon-Assas, celle-ci m'as confirmé que le droit suisse à ce niveau était le même que le droit français à quelques détails près :

• au sens du droit fédéral suisse, tu es – comme en France, sauf que ce n'est pas la même dénomination – un fournisseur d'hébergement, en ce sens, tu ne doit être ni auteur de ce qui est publié, ni y exercer un contrôle, ni être responsable de sa publication, un terme vachement flou qui dépends beaucoup du juge, mais on m'a confirmé que tu ne pouvais pas non plus être considéré responsable de la publication si tu ne publiait rien que l'auteur n'ait pas publié lui-même, c'est subtil, mais ça semble être bon de ce que j'ai compris de ton premier message ;
• le droit suisse considère, et je trouve ça plutôt surprenant, que tu ne doit pas surveiller tout ce que tu héberge, non pas, comme en droit français, pour le respect de la vie privée des utilisateurs, mais plus simplement parce qu'il est impossible pour toi de tout surveiller, cela inclus une différence fondamentale, comme tu es sur la chaîne de diffusion du contenu incriminé, ta responsabilité ne peut pas être écartée a priori, mais dépends toutefois de l'avis du juge, si celui-ci considère que tu était en mesure de soupçonner une utilisation frauduleuse, délictueuse ou criminelle du service, tu peut être incriminé au sens de l'article 322bis du Code Pénal pour défaut d'opposition à une publication constituant une infraction, rassure-toi, en pratique, si tu n'avais absolument pas connaissance du contenu, tu ne pourra être condamné ;
• du point précédent découle qu'un bouton « Signaler » n'est pas obligatoire en Suisse, mais que tout contenu qui te sera signalé – par le bouton si tu en mets un, par mail, par courrier, etc – devra être vérifié par tes soins puisque s'il est constitutif d'une infraction, tu pourra à partir du moment où il t'a été signalé, être incriminé ;
• attention aux dénonciations abusives, toutefois, puisque la suppression d'un contenu non contraire à la loi fédérale, locale ou aux CGU sera considéré comme de la censure privée, absolument interdite, en France comme en Suisse ;
• pour préciser à nouveau le point 2, je ne suis pas du tout en train de dire que tu as un devoir de surveillance, l'Office fédéral de la Justice, considère ainsi que « le fournisseur d’accès n’a aucun devoir de surveillance préventif quant au contenu des données dont il assurerait l’accès », précisant qu'« un tel devoir ne naîtrait que s'il dispose d’une information concrète et fiable se rapportant au caractère illicite d’un contenu déterminé » ;
• enfin, essaie de disposer de suffisamment d'informations personnelles sur tes utilisateurs, puisque tu ne facilite pas le travail de la justice suisse si tu n'en as pas, ce n'est pas grandement condamnable, mais tu pourrait prendre une peine d'amende pour avoir fait obstruction à la justice.

Voilà, je crois que j'ai tout résumé.

Merci beaucoup pour toutes tes précisions. JE vais donc mettre ce sujet en résolu, je crois qu'on en a fait le tour.