Pour être punissables de peines délictuelles, les injures doivent avoir été proférées:

• Soit dans des réunions ou lieux publics;
• Soit en présence de plusieurs individus, dans un lieu non public, mais ouvert à un certain nombre de personnes ayant le droit de s’y assembler ou de le fréquenter;
• Soit dans un lieu quelconque, en présence de la personne offensée et devant témoins;
• Soit par des écrits imprimés ou non, des images ou des emblèmes affichés, distribués ou communiqués au public par quelque moyen que ce soit, y compris par la voie d’un média, vendus, mis en vente ou exposés aux regards du public;
• Soit enfin par des écrits, des images ou des emblèmes non rendus publics, mais adressés ou communiqués par quelque moyen que ce soit, y compris par la voie d’un média, à
  plusieurs personnes.

En l’occurrence, une personne avait rédigé des messages injurieux (le caractère injurieux des propos rédigés a été reconnu par la Cour) sur le mur d’un de ses amis sur Facebook. La personne visée par ces messages en a eu connaissance et a cité l’auteur de ceux-ci devant le Tribunal correctionnel par voie de citation directe. L’auteur a argumenté que l’accès au mur de son ami aurait été exclusivement réservé aux amis de ce dernier, de sorte que les messages y publiés n’auraient pas été accessibles au public. Le groupe de personnes ayant eu un accès à ses messages pourrait être qualifié de communauté d’intérêts et le contenu échangé par ce groupe conserverait un caractère privé. L’élément constitutif de la publicité exigé par l’article 444 du Code pénal ne serait dès lors pas donné.

Les juges du premier degré avaient suivi cette argumentation, en retenant qu’

En l’espèce, A) reste en défaut de prouver que le paramétrage du compte FACEBOOK de B) ne limitait pas la diffusion des messages aux seuls « amis » de cette dernière mais qu’il était accessible à d’autres personnes que le destinataire choisi ou quelques amis choisis, et qu’il était partant public.

La Cour d’appel a réformé cet arrêt en procédant à une analyse détaillée des différents moyens de publication proposés par le réseau Facebook:

Facebook est un service de réseau social en ligne sur Internet qui permet à toute personne disposant d’une adresse email, de se constituer un compte, de créer son profil et d’y publier des informations, dont elle peut contrôler la visibilité par les autres personnes, possédant ou non un compte. Le mur sur FACEBOOK est l’endroit qui recense toutes les publications, que ce soit des textes, des photos, des vidéos ou des messages personnels. Ces éléments publiés sur le mur sont alors visibles par les personnes du choix de l’utilisateur selon un paramétrage choisi. L’utilisateur peut sélectionner l’audience de son mur et choisir les personnes avec lesquelles les publications sur le mur peuvent être partagées sur quatre niveaux, en l’occurrence le niveau « public », le niveau « amis », le niveau « moi uniquement » ou le niveau « personnaliser » comprenant des groupes spécifiques, des clients, des listes d’amis que l’utilisateur a choisi d’inclure ou d’exclure. Si l’on effectue une publication sur le mur d’un autre utilisateur, c’est cette personne qui contrôle la diffusion de la publication (Réseau FACEBOOK, pages d’aide de Facebook, confidentialité).

Même si le mur sur FACEBOOK, par un paramétrage spécifique, ou d’autres zones sur FACEBOOK, telle p.ex. la messagerie électronique, peuvent constituer des sphères privées, cela n’exclut pas que la circonstance de l’alinéa 6 de l’article 444 du code pénal puisse être donnée, lorsque des écrits imprimés ou non, des images ou des emblèmes affichés sont, par la voie du réseautage FACEBOOK, distribués ou communiqués à plusieurs personnes.

En analysant comment les moyens de communication proposés par Facebook ont été concrètement mis en oeuvre par la citée directe, la Cour vient à la conclusion que les messages injurieux avaient bien été adressés ou communiqués à plusieurs personnes (hypothèse visée par l’article 444, alinéa 6 du Code pénal):

Or, si le paramétrage du mur de C) n’est certes pas connu, il ressort des pièces versées par la citée directe B) qu’il y a eu un partage des messages exprimés sur ce mur, un certain nombre de personnes ayant échangé des commentaires sur l’article publié par A) (…).

(…)

En mettant ses messages-commentaires sur le mur de C), B) avait conscience qu’elle s’exposait à ce que son message soit lu par les amis de C), amis qu’elle n’a pas choisis, ou que même tout autre individu puisse accéder à ces commentaires, de sorte que la condition de la communication à plusieurs personnes de l’alinéa 6 de l’article 444 du code pénal est remplie en ce que des écrits non rendus publics sont adressés ou communiqués par la voie d’Internet à plusieurs personnes, les échanges écrits étant susceptibles d’être lus par plusieurs personnes qui ne constituaient pas nécessairement une communauté d’intérêts. B) ne pouvait d’ailleurs ignorer le fonctionnement du site et la faculté de s’entretenir en privé avec C) ou d’autres amis.

Les propos de B) au sujet de A), qui constituent des injures de par les expressions méchantes utilisées et démontrent ainsi l’intention de son auteur de porter atteinte à l’honneur de la personne visée, tombent sous l’application de l’article 448 du code pénal.

Nous tenons également à signaler un jugement du Tribunal d’arrondissement de Diekirch du 29 mars 2012 (n° 312/2012) qui s’est basé sur le nombre important d’amis de l’auteur d’un message injurieux pour conclure que celui-ci a été communiqué à plusieurs personnes au sens de l’article 444, alinéa 6 du Code pénal:

En ce qui concerne la condition de publicité, pour que celle-ci soit remplie, il faut que l’injure ait connu une publicité provoquée par son auteur selon un des modes limitativement énumérés par l’article 444 du Code pénal.

Le cinquième mode de publicité énuméré par cet article est le suivant : « par des écrits, des images ou des emblèmes non rendus publics, mais adressés ou communiqués par quelque moyen que ce soit, y compris par la voie d’un média, à plusieurs personnes. »

Ce cinquième mode de publicité ne requiert donc pas que les écrits injurieux soient rendus publics, mais il suffit qu’ils soient adressés ou communiqués par quelque moyen que ce soit, donc également par internet, à plusieurs personnes.

Le commentaire injurieux a été publié par A) sur son profil Facebook, c’est-à-dire un réseau social virtuel dont l’un des buts premiers est de partager des informations, avis, commentaires avec d’autres personnes.

L’inscription à ce réseau social est aisée et ouverte à toute personne ayant une adresse électronique.

En l’espèce, il ressort du dossier répressif que A) avait 628 personnes enregistrées comme étant ses amis sur Facebook au moment des faits. Il n’est pas contesté par A) que toutes les personnes enregistrées comme étant ses amis sur Facebook, c’est-à-dire le nombre non négligeable de 628 personnes, avaient effectivement accès aux commentaires publiés par lui sur son profil.

Les 628 personnes ont donc pu se rendre sur son profil et y lire le commentaire le temps qu’il s’y trouvait, ce qui constitue d’ores et déjà une communication au sens du cinquième mode de publication de l’article 444 du Code pénal. Au surplus, la conception du réseau social virtuel Facebook est telle que les 628 personnes ont également automatiquement dû recevoir un message sur leur propre profil leur indiquant que A) venait de publier le commentaire en question sur le sien sans qu’elles ne soient obligées à cet effet de consulter le profil de ce dernier.

Dès lors, même si le commentaire injurieux laissé sur son profil n’a été communiqué qu’à ce cercle de personnes, leur nombre et le mode de communication remplissent à suffisance les critères du cinquième mode de publicité listé à l’article 444 du Code pénal.

Le fait qu’il était possible à A) de restreindre l’accès à son profil aux seuls amis acceptés par lui sur Facebook est indifférent à cet égard au vu des termes de l’article 444 du Code pénal dont le cinquième mode de publicité n’exige pas la communication à un public en tant que tel mais simplement à plusieurs personnes.

Les analyses de la Cour d’appel et du Tribunal d’arrondissement de Diekirch illustrent le partage de messages sur les réseaux sociaux. En fonction des critères de confidentialités choisis par l’auteur d’un message, la communauté du réseau concourt à la propagation de celui-ci. Ainsi, en commentant ou en signalant un message par les fameux « Like », les membres du réseau peuvent rendre le message originaire, avec les commentaires et « Like », accessible à leur communauté.

Un autre facteur qui concourt à la publicité des messages postés sur les réseaux sociaux est le nombre généralement important de connaissances (les « amis » sur Facebook) dont disposent les différents membres. La notion d’ « ami » prend en effet une signification très large sur les réseaux, de sorte qu’il est fréquent de rencontrer des profils qui comptent plusieurs centaines d’ « amis ». Un message publié sur son propre mur ou sur celui d’un « ami » qui compte des centaines d’ « amis » connaît dès lors – par la force des choses – d’une publicité très importante.

Nous tenons à souligner que la grande publicité attachée aux messages postés sur les réseaux sociaux peut non seulement poser des problèmes au niveau pénal, mais également en matière de droit du travail. Des propos non mesurés trouvent en effet, de plus en plus souvent, leur chemin vers l’employeur (voir notamment: K. ROSIER: Réflexions sur le droit au respect de la vie privée et la liberté d’expression sur Facebook dans le cadre des relations de travail, RDTI n° 46 – 1/2012, p. 90).

Il y a lieu de préciser que l’arrêt de la Cour d’appel du 8 janvier 2013 (n° 24/13 V) peut encore faire l’objet d’un pourvoi en cassation.

Dans la mesure où la création de profils ou comptes d’utilisateur est particulièrement facile sur les réseaux sociaux, il arrive que des personnes ouvrent des profils sous de fausses identités. Il y a d’un côté le recours à des pseudonymes, de l’autre l’utilisation de l’identité d’autrui. C’est surtout cette deuxième hypothèse qui pose problème, en ce qu’elle peut aboutir à une véritable usurpation d’identité (I).

A côté de la création d’un profil en utilisant le nom d’autrui, on peut constater de plus en plus d’accès frauduleux au profil créé par son propriétaire légitime. Ces accès frauduleux peuvent aboutir à une véritable reprise de l’identité numérique d’autrui (II).

Dans la présente note, nous nous limitons à analyser les infractions directement liées aux créations et utilisations frauduleuses de profils de réseaux sociaux. En fonction des actes commis par l’auteur, d’autres infractions peuvent également être constituées. Nous pensons notamment aux calomnies, diffamations, injures et atteintes à la vie privée.

I. La création d’un profil au nom d’autrui

Pour pouvoir s’inscrire sur un réseau social, il faut généralement disposer d’une adresse e-mail valable. Les autres informations peuvent être librement renseignées par l’utilisateur. Ce système d’inscription – avantageux de par sa simplicité – présente l’inconvénient qu’il ne permet qu’une identification incomplète des utilisateurs. La création d’un profil frauduleux est dès lors particulièrement facile, d’autant plus que de nombreux fournisseurs proposent des adresses e-mail gratuites qui peuvent également être ouvertes très facilement.

La création d’un profil au nom d’autrui peut aller d’une simple mauvaise blague à un véritable vol d’identité. Par cette notion, on entend « l’utilisation de données d’identification personnelles, par exemple un numéro de carte de crédit, pour commettre d’autres infractions »^[2]. Il suffit en effet de s’imaginer un profil créé au nom d’une personne qui n’utilise pas les réseaux sociaux. Au fil du temps, une véritable identité numérique se crée au sujet de cette personne sur les réseaux sociaux, sans que celle-ci ne s’en rende compte. Dans ce cas, le pirate informatique maîtrise l’identité sur les réseaux de cette personne. Il peut non seulement communiquer au nom de cette personne, mais également profiter de données confidentielles destinées à celle-ci.

En droit pénal luxembourgeois, l’utilisation du nom appartenant à autrui est réprimée par l’article 231 du Code pénal^[3]. Pour que l’infraction de port public de faux nom soit donnée, il faut que l’auteur prenne publiquement un nom qui ne lui appartient pas.

Le faux nom est un autre nom que celui qui figure dans l’acte de naissance. La loi punit tout changement, toute altération, toute modification du nom patronymique qui est légalement celui de l’auteur. Le port public d’un faux prénom, pris comme tel, n’est toutefois pas réprimé par l’article 231 du Code pénal^[4].

La publicité exigée par l’article 231 du Code pénal existe si la prise de faux nom se réalise verbalement ou se manifeste dans un écrit ou un imprimé. « Le législateur se contente (…) à cet égard d’une publicité relative, le port du faux nom devant se faire ostensiblement »^[5].

La jurisprudence a notamment retenu que l’utilisation du nom indiqué sur une carte de crédit volée pour effectuer des achats sur Internet tombe sous l’infraction prévue par l’article 231 du Code pénal^[6]. Il en va de même pour l’inscription sous le nom d’autrui pour ouvrir des boîtes de courrier électronique^[7].

A l’heure actuelle, les paramètres de confidentialité des réseaux sociaux sont configurés pour permettre une communication très large des noms attribués aux profils. Autrement dit, le nom choisi pour un profil constitue l’élément clé pour rechercher (et retrouver) celui-ci. En pratique, il y a lieu de constater que les personnes qui créent des profils au nom d’autrui en font un usage très étendu. Ils se créent notamment des listes d’amis sur Facebook et entrent ainsi en contact avec les connaissances de la personne dont ils ont pris l’identité.

Il faut en conclure que l’utilisation du nom d’autrui se fait de façon ostensible sur les réseaux sociaux, de sorte que la condition de la publicité exigée par l’article 231 du Code pénal est donnée^[8].

Pour ce qui est de l’élément intentionnel, la jurisprudence retient que « le port incriminé est punissable par le seul fait que son auteur a pris un faux nom avec l’intention de faire croire ou de laisser croire que c’était réellement le sien, quand bien même son acte serait dépourvu de toute autre intention de tromper ou de nuire »^[9]. Le mobile est indifférent^[10].

II. Le piratage du profil d’autrui

Un individu peut également être amené à vouloir accéder au profil créé par son propriétaire légitime. Cette manœuvre est plus complexe, en ce qu’elle exige la connaissance du mot de passe choisi par celui-ci.

L’accès frauduleux peut être utilisé pour consulter des informations normalement réservées au propriétaire légitime du profil (A), mais également pour créer, modifier ou effacer des informations de ce profil (B).

A. L’accès ou le maintien frauduleux à un profil

L’article 509-1, alinéa 1^er du Code pénal réprime « quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d’un système de traitement ou de transmission automatisé de données sera puni d’un emprisonnement de deux mois à deux ans et d’une amende de 500 euros à 25.000 euros ou de l’une de ces deux peines ».

Par des systèmes de traitement ou de transmission automatisé de données, il y a lieu d’entendre un « ensemble composé d’une ou de plusieurs unités de traitement automatisé de mémoire, de logiciel, de données, cet ensemble étant protégé ou non par un dispositif de sécurité »^[11]. Autrement dit, l’article 509-1, alinéa 1^er du Code pénal vise les systèmes informatiques. Les serveurs qui stockent des pages Internet (donc également des réseaux sociaux) tombent naturellement sous cette qualification^[12].

En visant tout accès ou maintien frauduleux à des systèmes informatiques, l’article 509-1, alinéa 1^er du Code pénal a un champ d’application très large. L’accès et le maintien frauduleux sont sanctionnés indépendamment du fait qu’ils ne représentent que la première phase d’une fraude plus grave ou qu’ils ne causent aucun préjudice^[13]. L’infraction n’exige ni intention de lucre, ni intention de nuire^[14]. L’accès doit toutefois se faire de façon volontaire^[15].

Le caractère frauduleux d’un accès peut être déduit des moyens employés par l’auteur :

• un individu qui tente de deviner le mot de passe protégeant l’accès à un profil est bien conscient que cet accès est limité à son propriétaire légitime,

• il en va de même de l’emploi de techniques permettant de déceler ce mot de passe ou de contourner le système de sécurité mis en place.

On peut notamment citer l’utilisation d’un mot de passe obtenu par hameçonnage (« phishing ») ^[16].

Un autre type d’accès frauduleux consiste à utiliser des données d’accès obtenues légitimement, mais de les utiliser à des fins autres que celles autorisées.

On peut notamment s’imaginer le titulaire d’un profil qui donne ses données d’accès à un ami pour effectuer un acte précis (p.ex. vérifier la messagerie interne liée au profil). L’accès au profil est alors uniquement légitime pour cet acte précis, mais devient frauduleux pour d’autres actes.

Il est encore fréquent de voir des accès frauduleux à des profils (généralement de Facebook) par un ex-conjoint, après la séparation du couple. Des données d’identification, obtenues grâce à la confiance ayant régné au sein du couple, sont alors utilisées pour surveiller ou pour nuire à l’ex-conjoint^[17]. Ces accès tombent sous l’infraction de l’article 509, alinéa 1^er du Code pénal.

B. La création, modification ou suppression de données du profil

L’article 509-3 du Code pénal dispose que « quiconque aura, intentionnellement et au mépris des droits d’autrui, directement ou indirectement, introduit des données dans un système de traitement ou de transmission automatisé ou supprimé ou modifié les données qu’il contient ou leurs modes de traitement ou de transmission, sera puni d’un emprisonnement de trois mois à trois ans et d’une amende de 1.250 euros à 12.500 euros ou de l’une de ces deux peines ».

L’article 509-3 du Code pénal vise à protéger l’intégrité des données contenues sur un système informatique. Il vise les atteintes intentionnelles aux données.

Le texte permet de réprimer la création, modification ou suppression de données sur le profil d’autrui. L’infraction est notamment donnée si ces actes se font suite à un accès frauduleux au profil au sens de l’article 509-1, alinéa 1^er du Code pénal (hypothèse visée au point A. ci-dessus).

Elle l’est également si l’auteur publie des messages sur le profil qu’il a créé lui-même en utilisant l’identité d’autrui (voir l’hypothèse visée au point. I ci-dessus)^[18]. Dans ce cas, l’auteur insère en effet des données dans le système informatique du réseau social au détriment des droits d’autrui.

Par la création ou l’insertion de données, on entend notamment l’envoi de messages^[19], d’images, de vidéos ou d’autres contenus. On peut admettre que l’article 509-3 du Code pénal réprime toute utilisation frauduleuse d’un profil qui engendre la création de données (à notre avis, il vise également l’ajout d’amis sur un compte Facebook).

Nous tenons encore à signaler que les créations, modifications et suppressions accidentelles de données, qui résultent d’un accès frauduleux au système informatique sont également réprimées (article 509-1, alinéa 2 du Code pénal).

Le piratage de profils de réseaux sociaux : infractions à envisager – Version PDF

La réponse apportée par les Juges communautaires prend en considération les directives

• 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (ci-après: la « Directive sur le commerce électronique »)
• 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information;
• 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle;
• 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et
• 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Dans le cadre de la présente note, nous nous pencherons plus particulièrement sur l’interprétation de la Directive sur le commerce électronique, transposée en droit luxembourgeois par la loi du 14 août 2000 relative au commerce électronique (ci-après: la « Loi relative au commerce électronique »). Les dispositions concernées par la décision du 16 février 2012 sont les articles 62 et 63 du texte luxembourgeois.

1) Les faits

Une société de gestion de droits d’auteur (« SABAM ») reprochait à une plateforme de réseau social (NETLOG) de donner la possibilité à ses utilisateurs de faire usage, par l’intermédiaire de leur profil, d’œuvres musicales et audiovisuelles du répertoire de SABAM en mettant ces œuvres à la disposition du public de telle manière que d’autres utilisateurs dudit réseau puissent y avoir accès, et ce sans l’autorisation de SABAM et sans que NETLOG ne verse une redevance à ce titre.

Dans un premier temps, SABAM s’était adressée à NETLOG, en vue de conclure une convention relative au versement d’une redevance pour l’utilisation des œuvres protégées reprises dans le répertoire SABAM. Les parties n’ayant pas pu trouver d’accord, SABAM a fait citer NETLOG devant le Président du Tribunal de première instance de Bruxelles dans le cadre d’une action en cessation. Elle a notamment demandé à ce qu’il soit enjoint à NETLOG de cesser immédiatement toute mise à disposition illicite des œuvres musicales ou audiovisuelles du répertoire de SABAM.

La société NETLOG a notamment soutenu qu’une telle injonction reviendrait à lui imposer une obligation générale de surveillance, interdite par l’article 15, paragraphe 1, de la Directive sur le commerce électronique. Elle a argumenté que le succès d’une telle action pourrait aboutir à lui enjoindre de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, à ses frais et sans limitation dans le temps, un système de filtrage de la plus grande partie des informations stockées sur ses serveurs, en vue d’y repérer des fichiers électroniques contenant des œuvres musicales, cinématographiques ou audiovisuelles sur lesquelles SABAM prétend détenir des droits et d’en bloquer ensuite l’échange.

2) La question préjudicielle

Le Président du Tribunal de première instance de Bruxelles a décidé de surseoir à statuer et de saisir la Cour de justice d’une question préjudicielle.

En substance, la Cour de justice a été appelée à juger si les directives 2000/31, 2001/29, 2004/48, 95/46 et 2002/58, lues ensemble et interprétées au regard des exigences résultant de la protection des droits fondamentaux applicables, doivent être interprétées en ce sens qu’elles s’opposent à une injonction faite par un juge national à un prestataire de services d’hébergement de mettre en place un système de filtrage

• des informations stockées sur ses serveurs par les utilisateurs de ses services;
• qui s’applique indistinctement à l’égard de l’ensemble de ces utilisateurs;
• à titre préventif;
• à ses frais exclusifs, et
• sans limitation dans le temps,

capable d’identifier des fichiers électroniques contenant des œuvres musicales, cinématographiques ou audiovisuelles sur lesquelles le demandeur prétend détenir des droits de propriété intellectuelle, en vue de bloquer la mise à disposition du public desdites œuvres qui porte atteinte au droit d’auteur.

3) La réponse apportée par la Cour

3.1) La qualification juridique de l’exploitant d’une plateforme de réseau social

La Directive sur le commerce électronique définit différentes catégories de prestataires de la société de l’information. La qualification retenue pour un prestataire est fondamentale, en ce qu’elle détermine les responsabilités civiles et pénales qui lui incombent.

La Cour de justice retient qu’un exploitant d’une plateforme de réseau social, qui stocke sur ses serveurs des informations fournies par ses utilisateurs est un prestataire de services d’hébergement au sens de l’article 14 de cette directive. L’hébergeur est défini par l’article 62 de la Loi relative au commerce électronique comme

le prestataire qui fournit un service de la société de l’information consistant dans le stockage des informations fournies par un destinataire du service.

Il y a lieu de rappeler que l’hébergeur bénéficie d’un régime de limitation de responsabilité à condition que:

a) le prestataire n’ait pas effectivement connaissance que l’activité ou l’information est illicite et, en ce qui concerne une action en dommages et intérêts, qu’il n’ait pas connaissance de faits ou de circonstances selon lesquels le caractère illicite de l’activité ou de l’information est apparent; ou

b) le prestataire, dès le moment où il en a une telle connaissance, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible .

Ces limitations de responsabilité n’étaient pas en cause dans l’affaire soumise à la Cour de justice.

3.2) Rappel de l’absence d’une obligation de surveillance générale pesant sur l’hébergeur

La question à analyser par la Cour était de déterminer les diligences pesant sur l’hébergeur pour prévenir la mise en ligne d’œuvres protégées par les droits d’auteur sur ses services. A ce sujet, la SABAM exigeait la mise en place d’un système de filtrage. La Cour de justice a estimé que ce système supposerait

• que le prestataire de services d’hébergement identifie tout d’abord, au sein de l’ensemble des fichiers stockés sur ses serveurs par tous les utilisateurs de ses services, les fichiers qui sont susceptibles de contenir des œuvres sur lesquelles les titulaires de droits de propriété intellectuelle prétendent détenir des droits;
• qu’il détermine, ensuite, lesquels parmi ces fichiers sont stockés et mis à la disposition du public de manière illicite, et
• qu’il procède, enfin, au blocage de la mise à disposition de fichiers qu’il a considérés comme étant illicites.

Dans un premier temps, la Cour retient que les exigences pesant sur l’hébergeur doivent respecter l’article 15, paragraphe 1, de la Directive sur le commerce électronique, qui interdit aux autorités nationales d’adopter des mesures obligeant l’hébergeur à procéder à une surveillance générale des informations qu’il stocke. En droit luxembourgeois, cette règle est reprise à l’article 63 (1) de la Loi relative au commerce électronique suivant lequel

pour la fourniture des services visés aux articles 60 à 62, les prestataires ne sont pas tenus d’une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ni d’une obligation générale de rechercher des faits ou circonstances indiquant des activités illicites.

A cet égard, les Juges européens rappellent la solution retenue dans un arrêt du 12 juillet 2011 (L’Oréal c/ Ebay, n° C-324/09), suivant lequel

il résulte de l’article 15, paragraphe 1, de la directive 2000/31, lu en combinaison avec l’article 2, paragraphe 3, de la directive 2004/48, que les mesures exigées de la part du prestataire du service en ligne concerné ne peuvent consister en une surveillance active de l’ensemble des données de chacun de ses clients afin de prévenir toute atteinte future à des droits de propriété intellectuelle via le site de ce prestataire. Par ailleurs, une telle obligation de surveillance générale serait incompatible avec l’article 3 de la directive 2004/48, qui énonce que les mesures visées par cette directive doivent être équitables et proportionnées et ne doivent pas être excessivement coûteuses.

La Cour de justice rappelle également que

la protection du droit fondamental de propriété, dont font partie les droits liés à la propriété intellectuelle, doit être mise en balance avec celle d’autres droits fondamentaux. Ainsi, il incombe aux autorités et aux juridictions nationales, dans le cadre des mesures adoptées pour protéger les titulaires de droits d’auteur, d’assurer un juste équilibre entre la protection de ce droit et celle des droits fondamentaux de personnes qui sont affectées par de telles mesures.

Les autorités et les juridictions nationales doivent notamment assurer un juste équilibre entre la protection du droit de propriété intellectuelle, dont jouissent les titulaires de droits d’auteur, et celle de la liberté d’entreprise dont bénéficient les opérateurs tels que les hébergeurs. La Cour de justice en conclut que l’injonction de mettre en place un système de filtrage tel que demandé par la SABAM entraînerait une atteinte caractérisée à la liberté d’entreprise de l’hébergeur puisqu’elle l’obligerait à mettre en place un système informatique complexe, coûteux, permanent et à ses seuls frais, ce qui serait contraire aux conditions prévues à l’article 3, paragraphe 1, de la directive 2004/48, qui exige que les mesures pour assurer le respect des droits de propriété intellectuelle ne soient pas inutilement complexes ou coûteuses.

Elle constate également que ladite injonction ne se limiterait pas au prestataire de services d’hébergement, le système de filtrage litigieux étant également susceptible de porter atteinte aux droits fondamentaux des utilisateurs des services de ce prestataire, à savoir à leur droit à la protection des données à caractère personnel ainsi qu’à leur liberté de recevoir ou de communiquer des informations.

Ainsi, l’injonction litigieuse impliquerait, d’une part, l’identification, l’analyse systématique et le traitement des informations relatives aux profils créés sur le réseau social par les utilisateurs de ce dernier, les informations relatives à ces profils étant des données protégées à caractère personnel, car elles permettent, en principe, l’identification desdits utilisateurs.

D’autre part, elle risquerait de porter atteinte à la liberté d’information, puisque ce système risquerait de ne pas suffisamment distinguer entre un contenu illicite et un contenu licite, de sorte que son déploiement pourrait avoir pour effet d’entraîner le blocage de communications à contenu licite. Il faut en effet constater que les règles en matière de droits d’auteur varient d’un État membre à l’autre. En outre, certaines œuvres peuvent relever, dans certains États membres, du domaine public ou elles peuvent faire l’objet d’une mise en ligne à titre gratuit de la part des auteurs concernés (résumé par extraits de la motivation de la Cour de justice).

La Cour de justice en conclut que

les directives:

• 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»);
• 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, et
• 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle,

lues ensemble et interprétées au regard des exigences résultant de la protection des droits fondamentaux applicables, doivent être interprétées en ce sens qu’elles s’opposent à une injonction faite par un juge national à un prestataire de services d’hébergement de mettre en place un système de filtrage:

• des informations stockées sur ses serveurs par les utilisateurs de ses services;
• qui s’applique indistinctement à l’égard de l’ensemble de ces utilisateurs;
• à titre préventif;
• à ses frais exclusifs, et
• sans limitation dans le temps,

capable d’identifier des fichiers électroniques contenant des œuvres musicales, cinématographiques ou audiovisuelles sur lesquelles le demandeur prétend détenir des droits de propriété intellectuelle, en vue de bloquer la mise à disposition du public desdites œuvres qui porte atteinte au droit d’auteur.

Nous tenons à préciser que la décision du 16 février 2012 reprend et rappelle plusieurs principes dégagés par un arrêt du 24 novembre 2011, Scarlet Extended, C-70/10.

Cet article dispose désormais que:

Sera puni d’un emprisonnement d’un mois à trois ans et d’une amende de 251 à 50.000 euros, quiconque aura sciemment détenu ou consulté des écrits, imprimés, images, photographies, films ou autres objets à caractère pornographique impliquant ou présentant des mineurs.

La confiscation de ces objets sera toujours prononcée en cas de condamnation, même si la propriété n’en appartient pas au condamné ou si la condamnation est prononcée par le juge de police par l’admission de circonstances atténuantes.

Avant les modifications législatives apportées par la loi du 16 juillet 2011, l’article 384 réprimait uniquement la « détention » de matériel pédopornographique. Des prévenus qui avaient « consulté » ce type de matériel sur Internet avaient argumenté que leur comportement n’était pas répréhensible, en ce qu’ils avaient uniquement regardé ce matériel, sans le détenir. La jurisprudence était divisée sur la question. Un courant de jurisprudence a retenu que la consultation du matériel pédopornographique sur Internet engendrait un stockage, du moins temporaire, de ce matériel sur l’ordinateur du prévenu (notamment dans les fichiers temporaires du navigateur Internet) et a décidé qu’il y avait partant détention au sens de l’article 384 du Code pénal. En se référant à un arrêt de la Cour de cassation française du 5 janvier 2005, un autre courant a retenu que « la simple consultation de sites pornographiques mettant en scène des mineurs ne suffit pas à caractériser le délit prévu par l’article 227-23, alinéa 4 du code pénal français qui est de même teneur que l’article 384 du code pénal luxembourgeois, en exigeant comme élément constitutif de la détention que l’image soit imprimée ou enregistrée sciemment sur un support informatique ou imprimée, l’inscription automatique dans la mémoire temporaire n’étant qu’une preuve de la consultation du site, mais non de la détention des images diffusées par le site ».

Suite à la modification de l’article 384 du Code pénal par la loi du 16 juillet 2011, tout type de « consommation » consciente de matériel pédopornographique tombe désormais sous la loi pénale. A ce sujet, il y a lieu de rappeler que l’objectif poursuivi par le législateur en la matière est d’endiguer le flux de diffusion de ce type de matériel et de protéger les mineurs de toute forme d’exploitation par la limitation des besoins de production (travaux parlementaires n° 4508, exposé des motifs, page 6).

L’article 384 vise les « écrits, imprimés, images, photographies, films ou autres objets à caractère pornographique impliquant ou présentant des mineurs ». Les textes internationaux font encore référence à la « pédopornographie » ou à la « pornographie enfantine ». Par « pédopornographie »» il y a lieu d’entendre « tout matériel pornographique représentant de manière visuelle: i) un enfant réel participant à un comportement sexuellement explicite ou s’y livrant, y compris l’exhibition lascive des parties génitales ou de la région pubienne d’un enfant, ou ii) une personne réelle qui paraît être un enfant participant ou se livrant au comportement visé au point i), ou iii) des images réalistes d’un enfant qui n’existe pas participant ou se livrant au comportement visé au point i) » [Décision-cadre 2004/68/JAI du conseil du 22 décembre 2003 relative à la lutte contre l'exploitation sexuelle des enfants et la pédopornographie, article 1^er, point b)]. L’expression « pornographie enfantine » désigne « tout matériel représentant de manière visuelle un enfant se livrant à un comportement sexuellement explicite, réel ou simulé, ou toute représentation des organes sexuels d’un enfant à des fins principalement sexuelles «  (Convention du Conseil de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels du 25 octobre 2007, article 20, point 2).

Pour que l’infraction définie à l’article 384 du Code pénal soit donnée, il faut que la détention ou la consultation du matériel pédopornographique ait eu lieu « sciemment ».

« le fait pour un majeur de faire des propositions sexuelles à un mineur de moins de seize ans ou à une personne se présentant comme telle en utilisant un moyen de communication électronique ». L’alinéa 2 de cet article érige en circonstance aggravante le fait que cette proposition ait été suivie d’une rencontre.

Dans les travaux parlementaires, il est expliqué que « la sollicitation à des fins sexuelles est plus généralement connue sous le nom de „grooming“. Le „grooming“ (mise en confiance) désigne la préparation d’un enfant aux abus sexuels, motivée par le désir d’utiliser cet enfant à des fins sexuelles. Il peut s’agir d’adultes tentant d’établir des relations d’amitié avec un enfant, souvent en se faisant passer pour un autre jeune, en entraînant l’enfant dans la discussion de questions intimes pour graduellement l’exposer à du matériel à contenu sexuel explicite afin de réduire sa résistance ou ses inhibitions.

L’enfant peut également être impliqué dans la production de pornographie enfantine en envoyant des photos personnelles compromettantes prises à l’aide d’un appareil photo numérique, une webcam ou une caméra de téléphone mobile, ce qui offre à la personne sollicitant l’enfant un moyen de le contrôler en le menaçant. Dans les cas où l’adulte organise une rencontre physique, l’enfant risque d’être victime d’abus sexuels ou d’autres types de maltraitance » (Travaux parlementaires 6046, exposé des motifs, page 9).

Cette nouvelle incrimination s’inspire de l’article 23 de la Convention du Conseil de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels du 25 octobre 2007. Il y a lieu de préciser que la législation française prévoit une disposition similaire à l’article 227-22-1 du Code pénal.