CJUE, 3 octobre 2019, Eva Glawischnig-Piesczek c. Facebook Ireland Limited, C-18/18.
Mise en cause dans un article de presse relayé par un utilisateur de Facebook, qui l’a accompagné de commentaires auxquels il était reproché d’être constitutifs de diffamation, une personne, de nationalité autrichienne, a sollicité et obtenu une première décision de justice enjoignant à l’hébergeur le retrait des propos litigieux. La juridiction d’appel ayant partiellement confirmé la première décision, l’affaire fut portée devant la Cour suprême du pays. Considérant que le litige soulève des questions d’interprétation du droit de l’Union européenne, et notamment des articles 14 et 15 de la directive 2000/31/CE, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, déterminant les conditions dans lesquelles peut être engagée la responsabilité des prestataires de services d’hébergement, la Cour suprême autrichienne adressa à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle relative aux conditions et à la portée de l’obligation de contrôle des contenus reprochés, pesant, en sa qualité d’hébergeur, sur l’exploitant d’une plateforme de réseau social.
En réponse aux questions ainsi soulevées, la CJUE se prononce, sur la base de la directive, sur l’obligation de suppression de l’accès au message litigieux pesant sur l’hébergeur et sur la portée territoriale de cette obligation.
Obligation de suppression de l’accès
Déterminant les conditions restrictives d’une possible mise en jeu de la responsabilité des fournisseurs d’hébergement, du fait de contenus mis en ligne par les internautes utilisateurs du service, les articles 14 et 15 de la directive du 8 juin 2000, très justement interprétés en cette affaire par la CJUE, fondent une absence d’obligation générale de surveillance et de contrôle des messages pesant sur l’hébergeur, mais la possibilité qu’il soit soumis à une obligation spéciale à cet égard.
L’article 15 de ladite directive dispose que « les États membres ne doivent pas imposer aux prestataires » de services, tels que les fournisseurs d’hébergement, « une obligation générale de surveiller les informations qu’ils […] stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ».
Aux termes de l’article 14, « les États membres veillent à ce que, en cas de fourniture d’un service […] consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées […] à condition que […] le prestataire n’ait pas effectivement connaissance de […] l’information illicite » ou que, « dès le moment où il a de telles connaissances », il « agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible ».
Pour la Cour de justice ressort de ces dispositions, « la possibilité, pour les juridictions ou les autorités administratives nationales, d’exiger de l’hébergeur concerné », et ainsi informé, « qu’il mette un terme à une violation ou qu’il prévienne une violation, y compris en supprimant les informations illicites ou en rendant l’accès à ces dernières impossible ». Peuvent être ainsi visées non seulement « une information déclarée illicite précédemment » ou ayant fait l’objet d’une injonction à en bloquer l’accès, mais également des « informations de contenu équivalent » qui, « tout en véhiculant en substance le même message, est formulé de manière légèrement différente, en raison des mots employés ou de leur combinaison, par rapport à l’information dont le contenu a été déclaré illicite ».
La CJUE en conclut qu’une injonction de suppression de l’accès à un message litigieux peut, dans ces conditions, être adressée à l’hébergeur.
Portée territoriale de l’obligation
Ordonnée par une autorité nationale à l’hébergeur d’un réseau social de dimension mondiale, quelle peut être la portée territoriale d’une telle obligation de suppression de l’accès au message litigieux ? Peut-elle « produire des effets s’étendant à l’échelle mondiale », ou seulement dans le cadre de l’Union européenne, ou même sur le seul territoire du pays dont relève cette autorité ?
Le présent arrêt considère que « la directive 2000/31 ne s’oppose pas à ce que lesdites mesures d’injonction produisent des effets à l’échelle mondiale », sous la seule condition « d’assurer la cohérence des règles de l’Union dans ce domaine avec les règles applicables au niveau international ». Ladite directive ne comportant aucune disposition à cet égard, la Cour de justice pose qu’« il est du ressort des États membres de veiller à ce que les mesures qu’ils adoptent et qui produisent des effets à l’échelle mondiale tiennent dûment compte de ces dernières règles ».
La CJUE conclut, en cette occurrence, que les dispositions européennes ne s’opposent pas à ce qu’une juridiction d’un État membre puisse « enjoindre à un hébergeur de supprimer les informations visées par l’injonction ou de bloquer l’accès à celles-ci au niveau mondial, dans le cadre du droit international pertinent ». Qu’il autorise ou qu’il interdise, le droit européen peut-il prétendre ainsi à une application mondiale ?
Une telle décision ne va-t-elle pas, sur ce point, à l’encontre d’un arrêt rendu, quelques jours plus tôt, par la même Cour (CJUE, 24 septembre 2019, Google c. Cnil, C-507/17 – voir supra) ? À propos d’une demande de déréférencement de données personnelles d’un moteur de recherche, elle a en effet considéré qu’il « ne ressort aucunement » des dispositions en vigueur que le législateur de l’Union « aurait fait le choix de conférer », au droit à la protection des données à caractère personnel, « une portée qui dépasserait le territoire des États membres et qu’il aurait entendu imposer à un opérateur », tel Google, « une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres ». Elle en a conclu que, « en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement […] pas d’obligation, découlant du droit de l’Union, de procéder à un tel déréférencement sur l’ensemble des versions de son moteur » et, en conséquence, que l’exploitant concerné « est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur », partout à travers le monde, mais seulement « sur les versions de celui-ci correspondant à l’ensemble des États membres ».
De la présente décision, il ressort que, conformément aux dispositions de la directive du 8 juin 2000, les exploitants de réseaux sociaux ne sont pas tenus à une obligation générale de surveillance des contenus qu’ils hébergent et qu’ils ne peuvent en être responsables que s’ils ont « effectivement connaissance » des messages litigieux ou de leurs équivalents, à la suite d’une notification qui leur en a été faite par une personne intéressée ou à une injonction, émanant d’une autorité nationale, d’avoir à en empêcher l’accès. Peut-il cependant être prétendu, comme le fait ici la Cour de justice, et contrairement à une autre récente décision rendue par elle, dans un domaine voisin, à une application mondiale du droit européen ?
