Hébergeur et responsable de traitement de données personnelles : deux entités distinctes !

Hébergeur et responsable de traitement de données personnelles : deux entités distinctes !

Par Alric HURSTEL et Alexandre LOBRY

Véritable acteur depuis l’entrée du Règlement Général de la Protection des Données (RGPD), le responsable de traitement est celui qui œuvre pour la mise en conformité des données personnelles.

Cependant, d’autres acteurs traitent également des données personnelles, tels que l’hébergeur d’un site Internet.

A ce titre, peut-on considérer que l’hébergeur est un responsable de traitement ou un simple sous-traitant ? Face à cette interrogation, la Cour d’appel de Paris a rappelé dans une espèce récente que l’hébergeur et le responsable de traitement sont deux entités distinctes.

Revenons sur ce cas concret à travers l’arrêt du 1er mars 2019 de la Cour d’appel de Paris[1].

1. Le contexte

Dans cette espèce, un avocat avait constaté que les fiches avocats de deux sites comportant son nom et ses coordonnées renvoyaient vers des numéros surtaxés. Il a notifié ces faits à la société O hébergeur des deux sites et a assigné ensuite l’éditeur des contenus en cause.

Par la suite, l’avocat a assigné l’hébergeur à raison du caractère illicite des fiches le concernant sur les sites internet. En effet, il sollicitait devant le juge des référés la condamnation de la société O à retirer l’ensemble de ses informations personnelles sur les sites en question et le versement d’une provision de 20.000 euros.

C’est ainsi qu’il a été jugé que "l’hébergeur n’était pas responsable du traitement des données à caractère personnel, il ne lui incombait pas d ‘effectuer une quelconque démarche relative à l’exploitation des dits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via les dits sites internet". 

2. Le rôle du responsable de traitement des données

Tout d’abord, les juges ont rappelé que le responsable de traitement était défini au sens de l’article 3 de la loi du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés comme « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens d’un traitement de données »[2].

En effet, le responsable de traitement dispose donc de diverses obligations, parmi lesquelles :

  • Une obligation de licéité qui signifie que le responsable de traitement doit traiter les données de manière loyale, licite et transparente ;
  • Une obligation d’information qui se traduit par l’information des personnes concernées et sur la catégorie des données collectées, leurs utilisations et les finalités du traitement ;
  • Une obligation de sécurité qui concerne la mise en place de mesures permettant la sécurité des données traitées ;
  • Une obligation de prise en compte des droits des personnes, c’est-à-dire, le responsable de traitement doit faciliter l’exercice des droits pour la personne concernée.

Cette espèce rappelle donc qu’il n’appartient pas à l’hébergeur d’effectuer de quelconque démarche relative à l’exploitation desdits sites internet, ou à celle des services de mise en relation telles que les formalités Cnil, l’éventuel recueil du consentement, les informations relatives aux activités de commerce électronique via lesdits sites internet, les mentions légales sur lesdits sites internet, etc.

Le responsable de traitement est donc l’entité qui exerce une influence de droit ou de fait sur les finalités et les moyens du traitement. Dès lors que ce dernier ne remplit pas les obligations, il s’expose à des sanctions financières conséquentes. Le moteur de recherche Google en est le parfait exemple, puisque récemment la CNIL l’a condamné pour manquement d’information et défaut de consentement en tant que responsable de traitement[3].

3. La responsabilité spécifique de l’hébergeur 

L’hébergeur est « la personne physique ou morale qui assure, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services »[4].

Dans les faits, la qualité d’hébergeur de la Société O défenderesse n’était pas contestée.

En la matière, la jurisprudence française considère que l’hébergeur ne joue aucun rôle actif dans le traitement des données ; ce dernier a simplement un rôle purement technique[5].

De surcroît, les juges ont considérés que la responsabilité de l’hébergeur ne peut être engagée que du seul fait des activités ou des informations stockées à la demande d’un destinataire de ces services, seulement si ce dernier n’avait pas effectivement connaissance du caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment il a eu cette connaissance, il a agi promptement pour retirer ces données ou en rendre l’accès impossible.

Ainsi la responsabilité de l’hébergeur ne peut être engagée que lorsque plusieurs conditions cumulatives sont réunies :

  • Le contenu litigieux doit être manifestement illicite ;
  • La personne qui souhaite faire retirer le contenu s ‘adresse à l‘auteur ou à l’éditeur du site et ;
  • Sollicite en motivant sa demande de retrait.

En cas d’absence de réponse positive, la personne peut s’adresser à l ‘hébergeur en lui notifiant les démarches accomplies, la copie du courrier adressé à l’éditeur ou à l’auteur en lui fournissant les informations prévues à l’article 6-1-5 de la loi LCEN.

Aucune responsabilité ne peut non donc être recherchée à l’encontre de l’hébergeur sur le fondement de la législation sur la protection des données à caractère personnel.

Certes cette décision a été rendue avant la mise en place du RGPD. Cependant cette dernière est salutaire puisqu’elle rappelle par la même occasion que le responsable de traitement des données est la clé de voûte de la conformité. Au regard de cette législation, il n’est donc plus à l’abri de sanctions financières importantes en cas de manquement à ses obligations.

Vous vous demandez si vous êtes un responsable de traitement de données ? Vous vous interrogez sur vos obligations en la matière ? Le traitement des données personnelles et la mise en conformité constituent désormais des objectifs essentiels au regard de la législation française.

Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements. En savoir plus sur notre compétence en la matière en cliquant ici

 

 

[1] https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-1-ch-8-arret-du-1er-mars-2019/

[2] https://www.avocat-rgpd.com/single-post/2019/03/12/Qu’est-ce-qu’un-responsable-de-traitement-au-sens-du-RGPD-

[3] http://info.haas-avocats.com/droit-digital/rgpd-la-cnil-inflige-une-amende-%C3%A0-google-pour-manque-dinformation-et-d%C3%A9faut-de-consentement

[4] Article 6 I 2° de la loi n° 2004-575 du 21.06. 2004 pour la confiance dans l'économie numérique (LCEN) 

[5] https://www.haas-avocats.com/actualite-juridique/justice-precise-statut-hebergeur-internet-procedure-suivre-engager-responsabilite/

Alric Hürstel

Auteur Alric Hürstel

Suivez-nous sur Linkedin

Catégories

Derniers tweets

Besoin d'une réponse
à vos questions juridiques ?

Demande de devis

Consultation téléphonique