I – La suppression de l’information

157. Deux catégories d’intermédiaires – Il faut ici distinguer deux types d’acteurs. Les FAI, d’abord, offrent à leurs abonnés une porte d’entrée dans le réseau. À ce titre, ils transportent des données entre une multitude d’utilisateurs et de services sans lien les uns avec les autres. Les hébergeurs, ensuite, assurent un service précis de stockage, et parfois de mise en forme automatisée, des contenus fournis par leurs utilisateurs. Chacune de ces catégories d’opérateurs entretient donc un rapport distancié avec les publications finales, dont ils ne sont que les véhicules. Leur degré de passivité diffère toutefois. Il est plus élevé chez le FAI, qui gère les « tuyaux » à travers lesquels transitera toute l’information du monde. Il est moindre chez l’hébergeur, maître d’un service aux contours définis : il n’a certes pas une connaissance a priori des contenus publiés à l’aide de ses bons offices ; mais il n’a qu’un effort limité à accomplir s’il veut savoir. Ce rôle passif qu’ils ont en partage, cette communauté partielle de nature, appelle l’existence d’obligations communes aux deux catégories. Mais la nette différence de degré qui vient d’être exposée justifie par ailleurs l’existence de règles qui leur sont propres.

158. Règles communes – Ni les FAI, ni les hébergeurs ne sont soumis « à une obligation générale de surveiller les informations qu’[ils] transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites » 1. S’il leur fallait opérer un contrôle a priori des montagnes de données qui transitent par leurs services, par crainte d’être personnellement tenu responsable d’un défaut général de vigilance, la tâche serait écrasante.

Toutefois, le législateur apporte à cette position de principe un certain nombre de tempéraments. Il précise ainsi que l’autorité judiciaire est en droit de leur demander de procéder à des actions « de surveillance ciblée et temporaire » 2.

Il estime aussi et surtout que « compte de l’intérêt général attaché à la répression » de certaines infractions particulièrement odieuses, qui sont énumérées ils doivent « concourir » à lutter contre elles 3. Quelles formes concrètes cette lutte doit-elle emprunter ? Il leur faut avant tout proposer à leurs utilisateurs un dispositif de signalement facile d’accès, permettant de porter à leur connaissance l’illicéité manifeste qu’ils auraient repérée 4. La surveillance générale et automatique « par le haut » étant impossible, elle est remplacée par une surveillance humaine et au cas par cas, « par le bas ». Ce signalement opéré, les faits qui en sont à l’origine doivent être vérifiés par les services du professionnel. Si l’illicéité est confirmée par cet examen, aussi bien les FAI que les hébergeurs ont l’obligation de prendre « promptement » attache avec les autorités publiques compétentes 5. On relèvera que la loi prévoit, dans un alinéa spécifiquement dédié, un dispositif de signalement et de révélation aux autorités fonctionnant sur le même principe que celui qui vient d’être décrit, mais spécifique aux jeux d’argent illégaux en ligne 6. Il pourrait s’agir de l’amorce d’une législation par énumération, dont la lecture serait malaisée et les priorités indécelables.

La loi consacre encore, à la charge des FAI aussi bien que des hébergeurs, une obligation de « rendre publics les moyens qu’[ils] consacrent à la lutte contre ces activités illicites » 7. Il n’est pas certain qu’elle soit scrupuleusement respectée 8. Au fond, est-ce important ? L’essentiel n’est pas que les moyens soient rendus publics, mais qu’ils soient suffisants, ce que seuls des tests réalisés par une administration publique permettraient de révéler. De telles études de terrain officielles ont été conduites en Allemagne 9.

Il est affirmé par ailleurs : « L’autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 [les hébergeurs] ou, à défaut, à toute personne mentionnée au 1 [les FAI], toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne »  10. L’intérêt e ce texte, par rapport au droit commun des référés par exemple, est qu’il pose une hiérarchie entre les destinataires. L’ordre doit être donné par préférence aux hébergeurs et, seulement lorsque cela n’est pas possible, aux FAI 11.

159. La remise en cause de l’obligation commune de conservation des données – Enfin, il est imposé aux FAI et hébergeurs de conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » 12. Comme il a été longuement démontré, les producteurs d’information ont théoriquement à répondre, plus que les intermédiaires, de leurs publications illicites 13. Encore faut-il être en mesure d’imputer une éventuelle infraction pénale ou faute civile au bon individu, sans s’arrêter à l’apparence trompeuse qui peut résulter de l’usage d’un pseudonyme, ou de celui d’un nom véritable usurpé. La conservation exhaustive des adresses IP, reliées à l’historique des actions effectuées en ligne par l’abonné correspondant, sert à l’évidence un tel objectif. Mais une telle pratique n’est pas sans risque pour la vie privée des individus, en ce qu’elle crée un réservoir de données sensibles : qui parle à qui, combien de temps, qui professe tel discours en ligne, qui consulte telle information sur Internet. Le risque existe que cette manne soit exploitée au-delà du strict nécessaire à la lutte contre la délinquance. La Cour de justice de l’Union européenne a rendu deux arrêts qui traitent précisément de ces questions.

Le premier arrêt, connu sous le nom de Digital Rights Ireland, date de 2014 14. Il était question de la compatibilité d’une directive de 2006, qui constituait la source européenne de cette obligation de conservation des données, avec la Charte des droits fondamentaux 15. La Cour affirme d’abord que cette obligation constitue une ingérence dans le droit au respect de la vie privée et à la protection des données à caractère personnel 16. Une telle ingérence est possible lorsqu’elle répond à un objectif d’intérêt général, et qu’elle est proportionnée. Poursuivent bien un intérêt général des dispositions qui visent « à garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne. L’objectif matériel de cette directive est, dès lors, de contribuer à la lutte contre la criminalité grave et ainsi, en fin de compte, à la sécurité publique » 17. Restait à savoir si l’atteinte aux droits fondamentaux était proportionnée. Or, la Cour relève notamment que :

[…] la directive 2006/24 concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel 18.

[…] la directive 2006/24 ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi. Surtout, l’accès aux données conservées par les autorités nationales compétentes n’est pas subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire […] 19.

[…] s’agissant de la durée de conservation des données, la directive 2006/24 impose, à son article 6, la conservation de celles-ci pendant une période d’au moins six mois sans que soit opérée une quelconque distinction entre les catégories de données prévues à l’article 5 de cette directive en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées 20.

À la suite de cet arrêt, deux questions principales étaient posées 21. La première : une obligation de conservation des données qui conserverait un caractère général était-elle encore envisageable, à supposer qu’elle soit mieux encadrée du point de vue des délais de conservation, de la qualité des personnes autorisées à consulter les registres, de l’existence d’un contrôle administratif ou judiciaire ? On pouvait le croire. La deuxième question : les dispositions nationales pouvaient-elles survivre à l’invalidation de la directive ? En effet, « conformément à l’article 51 § 1 de la Charte, les dispositions de cette dernière sont applicables aux États membres uniquement lorsqu’ils mettent en œuvre le droit de l’Union, c’est-à-dire, selon la jurisprudence de la Cour, lorsqu’une réglementation nationale entre dans le champ d’application du droit de l’Union. Or, du fait de l’invalidité rétroactive de la directive n° 2006/24/CE, il n’était pas évident que les dispositions nationales qui prévoyaient la conservation des données de connexion aux fins de leur mise à disposition éventuelle des autorités publiques entraient toujours dans le champ d’application du droit de l’Union » 22.

Un second arrêt apporte des réponses claires, et prend le parti d’une forte protection de la vie privée des internautes. Rendu à la fin de l’année 2016, il est connu sous le nom de Tele2 Sverige AB 23. La Cour écrit d’abord que les réglementations nationales sur la conservation des données de connexion entrent bien dans le champ des directives 24. Il n’est donc plus possible d’affirmer qu’elles peuvent subsister sans le support du droit de l’Union, qui constitue tout au contraire leur nécessaire soubassement. C’est ensuite et surtout le principe même d’une conservation indifférenciée de l’ensemble des données relatives au trafic sur Internet qui est condamné. En effet, pour qu’une réglementation nationale soit valable :

Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire 25.

S’agissant de la délimitation d’une telle mesure quant au public et aux situations potentiellement concernés, la réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. Une telle délimitation peut être assurée au moyen d’un critère géographique lorsque les autorités nationales compétentes considèrent, sur la base d’éléments objectifs, qu’il existe, dans une ou plusieurs zones géographiques, un risque élevé de préparation ou de commission de tels actes 26.

La Cour ajoute ensuite des exigences relatives, notamment, aux conditions d’accès par les autorités aux données ainsi enregistrées 27. Mais il s’agit cette fois-ci clairement d’un temps distinct du raisonnement, de sorte qu’un encadrement rigoureux sur ce point ne sauverait pas l’obligation de conservation générale des données, qui a auparavant été condamnée dans son principe même.

Il est donc clair que le droit français sur ce point n’est pas conforme à la jurisprudence de la CJUE, et qu’il devra rapidement évoluer.

Les règles communes aux FAI et aux hébergeurs ayant été présentées, il faut à présent aborder les dispositions spécifiques à chacune de ces deux catégories d’intermédiaires techniques.

160. Règles spéciales – Au rôle différent qu’ils assument dans la diffusion des informations en ligne répondent des obligations différentes lorsqu’il s’agit de faire disparaître des contenus manifestement illicites. Les intermédiaires techniques doivent, fréquemment, retirer des publications qui leur ont été signalées (A). Les FAI doivent, dans des cas exceptionnels, organiser l’impossibilité pure et simple d’entrer en contact avec certains sites Internet (B).

A – Le retrait de contenus par les intermédiaires techniques après signalement

161. Un régime spécial de responsabilité – Il est difficile d’obtenir une régulation satisfaisante de la liberté d’expression lorsque seuls les producteurs d’information sont punis pour leurs abus. À s’en tenir même aux violations les plus manifestes de la liberté d’expression, le nombre et l’anonymat des auteurs constituent, on l’a dit, autant de freins à des sanctions efficaces 28. Les intermédiaires, en revanche, sont — relativement — peu nombreux, identifiés, solvables. Il est ainsi plus aisé de faire peser sur eux des obligations en matière de lutte contre les expressions illicites, et de rechercher leur responsabilité civile ou pénale en cas de défaillance. Qui sont-ils, et que peut-on attendre d’eux ? La loi sur la confiance dans l’économie numérique, transposant une directive européenne, apporte une réponse en matière de responsabilité civile 29.

Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible 30.

L’alinéa suivant du même texte pose de semblables conditions et obstacles à la responsabilité pénale. Une autre loi adopte la même solution s’agissant des sites à contenu hybride : ceux dont une partie ne fait pas l’objet d’un contrôle a priori, par exemple un espace de commentaires offert aux lecteurs 31.

Qui sont les personnes visées par ces textes ? Il s’agit de tout intermédiaire qui fait apparaître en ligne des données fournies par des tiers, sans en prendre connaissance au préalable. C’est le cas des sociétés hébergeant les sites Internet conçus par leurs clients, des réseaux sociaux et sites communautaires 32, de moteurs de recherche 33 ou encore de plateformes vidéo 34. Le fait que des algorithmes manipulent les contenus sans intervention humaine, afin d’en assurer la publication, ne suffit pas à ce que l’on considère que ces contenus ont été portés à la connaissance de l’intermédiaire 35. En revanche, dès lors que l’intermédiaire prétendu a assumé un rôle de conseil qui suppose qu’il ait pris connaissance du contenu proposé par le tiers, il perd le bénéfice de ces immunités civiles et pénales 36.

162. Une efficacité insuffisante en pratique ? – Ces immunités cèdent lorsque les intermédiaires avaient connaissance des contenus soit dès leur publication — un exemple vient d’en être donné — soit postérieurement, parce qu’ils ont été signalés par d’autres utilisateurs comme manifestement illicites et que l’intermédiaire n’a pas réagi « promptement ». Ces dispositions sont-elles d’une sévérité suffisante ? Dans un courrier interne à l’entreprise, mais dont la presse a eu connaissance, le PDG de Twitter reconnaissait que son entreprise avait été « nulle » en matière de prise en compte des signalements, notamment dans la lutte contre le harcèlement en ligne 37. De tels propos laissent craindre que les plateformes, lorsqu’elles suivent leur pente naturelle, ne soient pas suffisamment diligentes en la matière. Il reviendrait alors au droit de combattre, par des dispositions sévères, cette coupable inertie. Récemment, le débat public allemand est allé en ce sens. Le droit allemand connaît le même type d’obligations à la charge des intermédiaires de la communication en ligne, puisqu’il a été rappelé qu’elles ont une origine européenne. Le Ministère fédéral de la Famille et le Ministère fédéral de la Justice et de la Protection des consommateurs ont réalisé une série de tests, en signalant à ces opérateurs plusieurs centaines de contenus manifestement illicites et en examinant leur réaction 38. Si YouTube avait opéré plus de 90% de suppressions, le chiffre n’était plus que de 39% pour Facebook, et de moins de 1% pour Twitter. Du moins s’agissait-il des résultats obtenus lorsqu’un utilisateur ordinaire avait opéré le signalement. Ces chiffres s’amélioraient lorsque c’était un compte « vérifié » qui s’en était chargé — il s’agit d’un compte dont la plateforme a contrôlé l’identité par une prise de contact direct hors-ligne -, et plus encore lorsque le signalement a lieu par courrier électronique 39. Estimant ces résultats insuffisants, le ministre de la Justice allemand Heiko Maas a mis au point un projet de loi, dont la première version était particulièrement sévère, dans le but affiché de nettoyer les écuries d’Augias. Les contenus manifestement illicites devaient être supprimés dans les 24 heures, et les contenus dont l’illicéité nécessitait un examen plus approfondi, dans les 7 jours 40. En cas de manquement, une sanction personnelle allant jusqu’à 5 millions d’euros pouvait frapper le responsable des signalements au sein de l’entreprise, quand l’amende infligée à la société elle-même était susceptible d’atteindre 50 millions d’euros. À première vue, la France aurait tout intérêt à suivre le même chemin. Et pourtant, les options draconiennes de M. Maas ne sont pas sans danger.

163. Une police privée de la liberté d’expression – La jurisprudence européenne reconnaît aux personnes physiques, dans certains cas, le droit d’obtenir que soient retirés d’un moteur de recherche certains résultats obsolètes, intrusifs et qui ont perdu leur pertinence 41. Il nous avait semblé inquiétant que les moteurs aient à prendre la décision de première ligne consistant à accepter ou à refuser d’occulter une information – et qu’ils soient même les seuls à connaître du dossier lorsqu’ils donnent une suite favorable à la demande qui leur est présentée.

Le même danger existe, ici, que se constitue une police privée des contenus. Le projet allemand semble excessif, aussi bien dans la substance des obligations qu’il met à la charge des plateformes que dans les sanctions qu’il fulmine pour assurer leur exécution.

D’abord, les obligations envisagées sont dangereuses, en ce qu’elles ne limitent pas le champ d’intervention des intermédiaires à ce qui est manifestement illicite. Moyennant un délai plus long, ces sociétés privées ont vocation à se prononcer, de l’aveu même du projet de loi, sur des situations dans lesquelles la licéité de l’expression visée fait débat. La loi française pour la confiance dans l’économie numérique semble tomber dans le même travers, lorsqu’elle vise le caractère simplement « illicite » des contenus signalés. Bien heureusement, le Conseil constitutionnel a posé une très importante réserve d’interprétation.

Considérant que les 2 et 3 du I de l’article 6 de la loi déférée ont pour seule portée d’écarter la responsabilité civile et pénale des hébergeurs dans les deux hypothèses qu’ils envisagent ; que ces dispositions ne sauraient avoir pour effet d’engager la responsabilité d’un hébergeur qui n’a pas retiré une information dénoncée comme illicite par un tiers si celle-ci ne présente pas manifestement un tel caractère ou si son retrait n’a pas été ordonné par un juge […] 42.

L’idée est claire, et il est étonnant qu’elle ait été perdue de vue en France comme en Allemagne : seuls des propos dont l’illégalité crève les yeux peuvent faire l’objet d’une forme de censure privée. Lorsque naît l’hésitation, lorsqu’il existe une possibilité même infime que le propos visé soit par exemple une forme d’humour — même de mauvais goût — ou de contribution au débat public — même pauvre dans la forme et fruste sur le fond — il ne peut être question d’en exiger ni même d’en admettre le retrait par quelques salariés d’une compagnie américaine. C’est au juge, doté de moyens suffisants par l’État, qu’il appartient de procéder à ces arbitrages vitaux dans une société démocratique.

Si l’insuffisante réactivité des plateformes face aux contenus haineux est un problème, un excès de zèle serait tout aussi inquiétant. L’enquête allemande, qui présente YouTube comme un bon élève, n’a pas cherché à savoir si cet opérateur supprimait avec la même vigueur des contenus dont la licéité portait à discussion, voire dont l’extrême mauvais goût était clairement compatible avec la liberté d’expression. Il serait pourtant intéressant de le savoir. Un renforcement très net des sanctions pesant sur sociétés exploitant ces outils de communication, voire sur les responsables des réseaux sociaux pris à titre personnel, présenterait en tous les cas un risque majeur de les pousser à pratiquer une censure excessive. Le responsable de la politique de modération du groupe aura rapidement arbitré entre le risque de se voir infliger une amende personnelle en millions d’euros, et celui de mécontenter un utilisateur en retirant un message pourtant licite. Aucune infraction pénale ne semble être commise par une plateforme trop diligente dans ses suppressions. Le seul risque est d’engager sa responsabilité civile à l’égard de l’utilisateur censuré. Constituera-t-il avocat pour obtenir en justice, des mois plus tard, que son message réapparaisse en ligne, à une date à laquelle il ne figurera plus dans les fils d’actualité de lecteurs 43 ? La réponse est évidemment négative, et le seul frein à une politique trop conciliante d’un réseau social vis-à-vis des demandes de retrait est donc constitué par l’éventuelle mauvaise réputation que cela lui attirerait auprès de ses utilisateurs les plus attachés à la liberté d’expression.

Ces dangers ont été portés à l’attention du ministre allemand de la Justice, qui a décidé d’amender son projet. Il envisage notamment que les plateformes ne soient sanctionnées que s’il est démontré qu’elles ont été négligentes à plusieurs reprises 44.

164. Une nouvelle infraction pénale ? – S’il a pu pêcher par excès de sévérité dans sa version initiale, le projet allemand n’est pas dépourvu d’intérêt pour le juriste français. Imaginons en effet qu’un intermédiaire technique manque à plusieurs reprises à ses obligations de retirer des contenus manifestement contraires à la loi, malgré des signalements. Sa responsabilité pénale peut-elle réellement être recherchée ? Sur quel fondement ? La loi sur la confiance dans l’économie numérique institue une immunité de responsabilité civile et pénale, assortie d’exceptions. On ne peut poursuivre l’intermédiaire, sauf s’il connaissait dès l’origine l’illicéité du contenu publié ou que cette illicéité a été portée à sa connaissance et qu’elle a tardé à réagir promptement. Cette exception au principe d’immunité pourrait sans difficulté être reformulée en une obligation positive, celle de réagir rapidement et de retirer les contenus signalés. Pour que l’on soit en présence d’une nouvelle infraction pénale, autonome, il faudrait non seulement que la loi soit ainsi formulée, mais encore qu’une peine ait été prévue en cas de manquement, ce qui n’est pas le cas 45. Dès lors, la doctrine pénaliste estime qu’il s’agit d’un « nouveau mode de participation par abstention à l’infraction d’autrui » 46. En ne supprimant pas un contenu appelant à la haine raciale, par exemple, Facebook se rendrait coupable de la même infraction que l’auteur du propos. Se pose alors un problème de temporalité, puisque les délits de presse sont commis instantanément lors de la publication, alors que le défaut de réaction de la plateforme est par hypothèse postérieur de plusieurs heures, jours, semaines ! On ne voit pas comment on pourrait être coauteur ou complice d’une infraction déjà entièrement consommée 47.

L’approche allemande, qui consiste à ériger le défaut de réponse aux signalements en une infraction autonome, résout cette difficulté. Une fois le principe de cette infraction admis, il faut en affiner les éléments constitutifs et fixer la peine encourue.

Du point de vue des éléments constitutifs, il faut décider quels types de signalements sont pris en compte, et combien de temps ils doivent être restés sans réponse. S’agissant du « type de signalement », l’étude allemande démontre que les plateformes ne réagissent pas de la même manière selon qu’elles sont saisies au moyen d’un bouton ad hoc de signalement par un utilisateur ordinaire, par un utilisateur identifié, ou que les faits sont portés à sa connaissance moyennant un courrier – électronique ou papier. Le comportement de Twitter, qui supprime moins de 1% des contenus signalés par un utilisateur ordinaire, n’est pas si choquant une fois rappelés quelques éléments de contexte. Signaler un contenu par l’intermédiaire du bouton dédié est, sur ce réseau social, l’affaire de quelques instants. Il est fréquent de lire des propos d’utilisateurs qui se vantent d’avoir dénoncé un message uniquement parce qu’il contenait une option politique opposée aux leurs, ou parce qu’il provoquait leur agacement pour un motif quelconque. Pourtant, la loi fait du signalement d’un propos que l’on sait licite une infraction pénale, mais on ne trouve pas trace jusqu’ici de poursuites sur ce fondement 48. Dès lors, faire examiner l’ensemble des messages ayant recueilli un unique signalement par une équipe d’opérateurs humains requiert une débauche de moyens – sauf à adopter une politique de censure très large, dont la nocivité pour une société démocratique a déjà été dénoncée. Il peut sembler raisonnable alors de fixer un nombre minimal de signalements — avec tout l’arbitraire propre aux effets de seuils : deux, trois, cinq ? – avant que la plateforme n’ait l’obligation d’examiner le contenu. Toutefois, les utilisateurs « ordinaires » pourraient provoquer seuls l’examen du contenu en usant d’un moyen décourageant davantage les signalements fantaisistes, par exemple en remplissant un formulaire en ligne rappelant les sanctions encourues en cas de mensonge, auquel il faudrait attacher une copie d’une pièce d’identité. Quant aux utilisateurs de comptes identifiés, ils auraient chacun la capacité de provoquer, à eux seuls, l’examen du cas 49. Il reste à fixer le délai dont disposera la plateforme pour réagir avant d’être en faute, plutôt que de faire appel à la notion de « prompte réaction », dont le flou est difficilement compatible avec le principe de légalité des délits et des peines. Rappelons ici que le projet allemand fixait ce délai à 24 heures.

Reste alors à définir une juste sanction. Tenir la plateforme pour coauteur des délits commis par les auteurs de contenus est non seulement techniquement difficile, comme cela a été démontré, mais de surcroît totalement inopportun. Les peines encourues pour un unique manquement seraient trop lourdes, et seraient prononcées à l’issue de procédures trop longues. Des amendes infligées aux intermédiaires par une autorité administrative semblent plus adaptées. La sanction pourrait être rapide – avec, bien sûr, des possibilités de recours devant le juge administratif. On peut imaginer un système dans lequel cette autorité reçoit copie électronique de tous les signalements ayant franchi les barrières imaginées précédemment (signalements collectifs d’utilisateurs ordinaires et signalements de « super-utilisateurs ») et restés sans réponse au bout de 24 heures. Sur simple constat de ce que certains contenus non filtrés étaient manifestement illicites, elle pourrait infliger une amende relativement légère par infraction constatée, tandis qu’une sanction plus lourde serait encourue après un certain nombre de manquements en une année. On songe ici non seulement à une amende d’un montant tout à fait dissuasif — calculée, par exemple, en proportion du chiffre d’affaires de l’entreprise -, mais aussi à une publication de sa condamnation auprès de l’ensemble de ses utilisateurs. L’autorité administrative chargée d’une telle mission reste à définir, car ni la CNIL, gardienne des données personnelles, ni le CSA, en charge de l’audiovisuel, n’ont vocation à l’assumer en l’état du droit. L’ensemble du système ainsi décrit permettrait que des sanctions effectives frappent les plateformes anormalement peu diligentes dans la lutte contre les contenus troublant gravement l’ordre social, sans pour autant noyer les juridictions.

C’est une chose de demander aux intermédiaires de la communication en ligne de retirer, de manière chirurgicale, les contenus illicites qui leur sont signalés sans toucher à la masse écrasante des publications conformes à la loi. C’en est une autre d’ordonner le blocage d’un site dans son entier.

B – Le blocage d’un site Internet par les fournisseurs d’accès

165. Une mesure exceptionnelle – Lorsqu’un propos franchissant nettement les limites de la liberté d’expression est présent sur les pages d’un réseau social ou d’un moteur de recherche, au milieu d’informations parfaitement licites et ayant d’autres auteurs, la juste solution consiste à en exiger le retrait par la plateforme, à défaut d’avoir obtenu de l’auteur lui-même qu’il y procède. Mais laissons les plateformes de côté et considérons à présent un site Internet classique : un individu ou un groupe d’individus a la maîtrise de son contenu, qu’on supposera gravement illicite. Il peut arriver que les auteurs et éditeurs échappent à l’imperium de la justice française, par exemple parce qu’ils ont réussi à s’assurer un anonymat qui résiste aux investigations, ou qu’ils se situent dans un pays dont le système judiciaire ne coopère pas avec le nôtre. Il faut encore imaginer que l’hébergeur lui-même est hors d’atteinte, car à défaut il suffirait de lui signaler l’illicéité manifeste pour qu’il soit tenu de réagir, en vertu des principes précédemment décrits. Il sera toujours possible d’obtenir le déréférencement dans les grands moteurs de recherche qui, eux, ne peuvent se soustraire à notre système juridique – du moins s’agissant des consultations effectuées depuis notre territoire 50. Mais cela ne fera qu’accroître la difficulté à trouver les contenus, sans empêcher leur consultation par ceux qui disposent au préalable de leur adresse . Dans un tel cs de figure, le dernier recours consiste à exercer une contrainte sur les FAI : eux sont soumis à la juridiction française, et constituent un point de passage obligatoire entre leurs abonnés et le réseau. D’un point de vue technique, il s’agit d’obliger les FAI à intervenir sur leurs serveurs Domain Name System (le DNS) 51. Lorsqu’un internaute tape une adresse sous forme de lettres dans son navigateur (par exemple www.u-picardie.fr), le serveur DNS consulte sa base de données pour savoir à quelle adresse IP chiffrée cela correspond (par exemple 193.49.184.17). Il fournit ensuite cette information au navigateur, qui peut alors établir la connexion. Le DNS est donc une sorte d’annuaire, dont il est possible de fausser le contenu pour qu’il guide l’internaute à la recherche d’un site djihadiste, par exemple, vers une page l’avertissant de ce que ce site a été interdit d’accès. La mesure peut être contournée, mais elle rend l’accès à ces contenus pénible et difficile 52.

166. Les blocages judiciaires – On se souvient qu’au nombre des dispositions communes aux FAI et aux hébergeurs, il fallait compter celle-ci : « L’autorité judiciaire peut prescrire en référé ou sur requête […] toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne » 53. Le Code de procédure civile ne fournissait-il pas à lui seul toutes les ressources nécessaires, par exemple en posant que :  Le président peut toujours, même en présence d’une contestation sérieuse, prescrire en référé les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite » 54 ? Mais le texte de la loi pour la confiance dans l’économie numérique apporte cette précision fondamentale : le juge ne pourra s’adresser au FAI qu’à défaut de possibilité de contraindre l’hébergeur 55. La disposition spéciale l’emporte sur la disposition générale et cette subsidiarité devra donc être respectée 56. Des textes plus spéciaux encore prévoient l’arrêt judiciaire d’un service de communication en ligne : la loi de 1881 57 ou encore la loi sur les jeux d’argent en ligne 58.

167. Les blocages administratifs – Alors même que les procédures en référé ou sur requête se caractérisent, en principe, par leur célérité et leur efficacité, le choix a été fait par les pouvoirs publics d’autoriser les blocages de sites par la seule autorité administrative, en certains contextes. En matière de lutte contre la provocation à des actes terroristes, contre l’apologie de tels actes et contre la diffusion de contenus à caractère pédopornographique, la loi prévoit ainsi une procédure particulière 59. L’autorité administrative doit adresser sa demande de retrait aux éditeurs ou hébergeurs du site concerné. Elle informe simultanément les FAI de cette démarche, qui se tiennent prêts pour l’éventuelle étape suivante. En l’absence de retrait des contenus litigieux dans un délai de 24 heures, en effet, le blocage administratif sera imposé aux fournisseurs d’accès, qui doivent alors obéir « sans délai ». Si le site Internet ne précise pas, ainsi que la loi l’exige pourtant, l’identité des responsables de la publication, l’autorité contactera les FAI sans attendre. Les moteurs de recherche et annuaires peuvent être sommés de cesser le référencement des adresses électroniques concernées 60. Enfin, une personne qui dupliquerait les contenus du site bloqué afin de les rendre à nouveau accessibles, en connaissance de cause, commettrait une infraction pénale spécifique, durement réprimée 61.

L’abus de telles procédures ne serait pas sans danger, dans une société démocratique. Pour se prémunir contre ces critiques, le législateur a prévu que la CNIL devrait désigner, en son sein, une personnalité qualifiée pour qu’elle soit destinataire d’une copie des demandes de retrait 62. Cette personnalité peut recommander à l’autorité administrative de mettre fin à une procédure qui lui semblerait irrégulière et, à défaut d’être entendue, saisir le juge administratif. Elle rédige chaque année un rapport « sur les conditions d’exercice et les résultats de son activité, qui précise notamment le nombre de demandes de retrait, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l’autorité administrative » 63. Celui-ci est rendu public, mais aussi remis au Gouvernement et au Parlement 64.

168. Blocages de sites et libertés fondamentales – Le dispositif français, en particulier la possibilité offerte à l’administration d’obtenir directement que des sites soient rendus inaccessibles, porte-t-il une atteinte excessive aux libertés publiques ? Le Conseil constitutionnel ne semble pas le penser. Le consensus parlementaire relatif à la législation antiterroriste a conduit à ne pas déférer la loi de novembre 2014 aux Sages dans le cadre de leur contrôle a priori – une QPC pourrait être posée à l’avenir. En revanche, le blocage administratif des sites à caractère pédopornographique avait été soumis à son examen 65.

Considérant, en second lieu, que les dispositions contestées ne confèrent à l’autorité administrative que le pouvoir de restreindre, pour la protection des utilisateurs d’Internet, l’accès à des services de communication au public en ligne lorsque et dans la mesure où ils diffusent des images de pornographie infantile ; que la décision de l’autorité administrative est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente, le cas échéant en référé ; que, dans ces conditions, ces dispositions assurent une conciliation qui n’est pas disproportionnée entre l’objectif de valeur constitutionnelle de sauvegarde de l’ordre public et la liberté de communication garantie par l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 66 […].

Quant à la jurisprudence de la Cour européenne des Droits de l’Homme, elle a pu sanctionner des blocages trop grossiers survenus en Turquie, qui touchaient des plateformes entières – par exemple, l’ensemble de YouTube, un hébergeur de vidéos, ou l’ensemble de Google Sites, un hébergeur de milliers de sites Internet 67. La France échappe sans doute à de telles critiques.

Mais ce n’est pas parce que le dispositif français échappe aux griefs d’inconstitutionnalité et d’inconventionnalité qu’il échappe à la critique. Dans un avis, le Conseil national du numérique a fait part de ses vives réserves. Il conteste l’utilité même des blocages : «  dans un contexte de lutte contre les stratégies de diffusion d’idéologies radicales, le recours au blocage peut avoir un effet contreproductif en attisant l’envie de consulter les contenus bloqués » 68. Il est difficile au juriste de se prononcer sur le bien-fondé d’une accusation qui dépasse de loin son champ disciplinaire. En revanche, une autre critique du CNNum, spécifiquement dirigée contre les blocages administratifs mérite l’attention :

Les consultations conduites par le Conseil ont mis en évidence que le nombre de sites de recrutement se limite à une fourchette comprise entre une dizaine et une centaine, selon les experts. Au regard de ces chiffres, le risque de surcharge des tribunaux parfois évoqué n’est pas caractérisé et il n’apparait pas raisonnable de créer un dispositif spécifique contournant l’autorité judiciaire au profit de l’autorité administrative 69.

Cette remarque est parfaitement convaincante. En ces temps d’état d’urgence, le juge judiciaire semble peu à peu dépossédé de son rôle traditionnel de gardien des libertés publiques. L’administration, qui traine dans son sillage sa propre justice, serait seule apte à mener des combats efficaces contre les plus violents agresseurs de notre société. Ce postulat inquiète, et il n’est pas démontré.

Les obligations des intermédiaires techniques en matière de suppression des contenus illicites ayant été envisagées, il est temps d’examiner le rôle fondamental qu’ils jouent dans la mise en forme de l’information (II).