par Florence G’sell
La version en anglais de cet article peut être lue ici.
Le 18 mai 2023, la Cour Suprême des Etats-Unis a tranché deux affaires très débattues (voir par exemple sur ce point les observations de Daphne Keller et les commentaire d’Anupam Chander). Dans les deux cas, la responsabilité des réseaux sociaux était mise en cause du fait d’attentats terroristes dont ils étaient accusés d’avoir favorisé l’organisation faute d’avoir lutté efficacement contre les contenus à caractère terroriste sur leurs plateformes.
Twitter v. Taamneh n°21–1496 (SCOTUS, May 18, 2023)
Dans l’affaire Twitter v. Taamneh, un membre de l’organisation Etat Islamique avait tué 39 personnes dans une boîte de nuit d’Istanbul, en Turquie. La famille de l’une des victimes poursuivait Twitter, Google et Facebook au motif que ces réseaux sociaux avaient joué un rôle essentiel dans l’émergence de l’Etat islamique, en lui permettant de diffuser de la propagande. Ils invoquaient à cette fin une loi anti-terroriste américaine (ATA) qui permet aux citoyens américains qui ont été blessés lors d’un acte de terrorisme international d’engager une action en responsabilité civile. En particulier, une disposition introduite par la loi Justice Against Sponsors of Terrorism Act (JASTA), votée en 2016, permet d’engager la responsabilité de toute personne qui aide et encourage, en fournissant sciemment une assistance substantielle, un acte de terrorisme international ou qui conspire avec la personne ayant commis un tel acte: « who aids and abets, by knowingly providing substantial assistance, or who conspires with the person who committed such an act of international terrorism » (18 U.S.C. 2333(d)(2)).
Les plaignants alléguaient notamment que ces entreprises avaient sciemment permis à l’Etat islamique et à ses partisans d’utiliser leurs plateformes et leurs systèmes de « recommandation » comme outils de recrutement, de collecte de fonds et de diffusion de propagande. En particulier, ils soulignaient que les algorithmes de recommandation présentaient les contenus de l’Etat islamique aux utilisateurs que ces contenus étaient susceptibles d’intéresser. Ils reprochaient en outre aux plateformes de n’avoir pas pris de mesures suffisantes pour s’assurer que les contenus postés par l’Etat islamique étaient supprimés, alors même qu’elles avaient connaissance du fait que de tels contenus circulaient sur leurs plateformes. Après un rejet en première instance, la Cour d’appel du neuvième circuit avait accueilli leur demande. La Cour Suprême décide cependant, dans sa décision du 18 mai 2023, que les conditions requises pour engager la responsabilité des défendeurs ne sont pas réunies. Si elle reconnait que les plateformes étaient conscientes de jouer un certain rôle dans les activités et le développement de l’Etat islamique, elle juge en revanche qu’il n’est pas démontré qu’elles ont fourni une assistance consciente et substantielle à celui-ci dans l’organisation de l’attentat d’Istanbul.
La décision comporte une discussion intéressante concernant les systèmes automatisés de classification et de recommandation mis en place par les plateformes. Ces systèmes algorithmiques déterminent la visibilité des contenus postés en fonction de leur « qualité » estimée à partir d’un certain nombre de critères, l’objectif étant que les utilisateurs accèdent aux contenus ayant le plus de chances de susciter leur engagement. Les plaignants affirmaient, en l’espèce, que les plateformes, en recourant à ces systèmes de recommandation, ne se contentaient pas d’offrir un service de manière purement passive mais apportaient une aide active et substantielle à l’Etat islamique en optimisant la diffusion de ses messages. L’argument est balayé par la Cour Suprême. Les propos du juge Clarence Thomas, qui a délivré l’opinion unanime de la Cour, sont éloquents. Les systèmes algorithmiques de recommandation, dit-il, « font simplement partie de l’infrastructure » fournie par les plateformes. Or, ajoute-t-il « les algorithmes semblent ne pas tenir compte de la nature du contenu »: il associent « n’importe quel contenu (y compris les contenu postés par l’Etat islamique) à n’importe quel utilisateur susceptible de voir ce contenu davantage qu’un autre » (p. 23). Aux yeux de la Cour, donc, le fait que ces systèmes algorithmiques aient dirigé les publications de l’Etat islamique vers certains utilisateurs ne transforme pas l' »‘assistance passive » en une « complicité active ». D’autant que les plateformes n’ont pas pris de mesures particulières à l’égard des contenus diffusés par l’Etat islamique et ne semblent pas même les avoir examinés.
Au fond, dit la Cour, ce qui est reproché aux plateformes est une forme de passivité. Or il n’existait, en l’état du droit des Etats-Unis, aucune obligation contraignant les plateformes à résilier les comptes de l’Etat islamique ou de ses partisans après avoir découvert que ceux-ci utilisaient leurs services à des fins illicites. Du reste, même si une telle obligation avait existé en l’espèce, sa violation n’aurait pu être assimilée à une assistance consciente et substantielle faisant des plateformes des complices de l’attaque terroriste au sens de la loi JASTA. Le simple fait, écrit Clarence Thomas, que des acteurs mal intentionnés aient utilisé les services de ces plateformes ne permet pas de conclure que celles-ci ont sciemment fourni une assistance substantielle et ont donc aidé et encouragé les actes des terroristes. En décider autrement, souligne-t-il, reviendrait à rendre responsable n’importe quel fournisseur de services de communication pour le simple fait qu’il avait connaissance, de manière générale, du fait que des criminels utilisent ses services. Au final, si l’on peut admettre, selon la Cour Suprême, que les plateformes ont insuffisamment agi à l’encontre des contenus liés à l’Etat islamique, on ne peut pour autant en conclure qu’elles ont intentionnellement fourni une aide substantielle à l’organisation terroriste.
Il découle principalement de l’arrêt de la Cour Suprême que la simple fourniture d’une architecture dotée d’outils algorithmiques destinés à afficher des contenus pertinents compte-tenu du profil des utilisateurs ne revenait pas à faire bénéficier l’Etat islamique d’une aide et d’un encouragement au sens de la section 2333(d)(2). Les systèmes algorithmiques font simplement « partie de l’infrastructure » fournie par les plateformes, et sont « agnostiques » à l’égard des contenus (p. 23). Eric Goldman porte, sur son blog, une appréciation critique sur le raisonnement mené ici par la Cour Suprême. Il y a de quoi. Goldman souligne à juste titre que les systèmes de recommandation ne sont jamais passifs ou neutres et que les modèles algorithmiques tiennent compte de la substance des contenus, qu’ils traitent de manière différenciée. Il reste indiscutable, il est vrai, que les réseaux sociaux n’ont pas cherché, ici, à aider intentionnellement une organisation terroriste en traitant les contenus qu’elle publie différemment des autres contenus.
On relèvera enfin que la portée de la décision doit être appréciée avec prudence. Dans son opinion concordante, la juge Kentaji Brown Jackson souligne que cette décision (ainsi que celle relative à l’affaire Gonzalez) ne doit pas être interprétée comme ayant une portée générale et que la position de la Cour Suprême pourrait être différente dans d’autres affaires.
Gonzalez v. Google n°21-1333 (SCOTUS, May 18 2023)
Dans l’affaire Gonzalez v. Google, les parents d’une étudiante américaine tuée lors des attentats terroristes survenus à Paris en 2015 avaient également intenté une action en responsabilité à l’encontre de Google en vertu de la loi JASTA (18 U.S.C. §§2333(a) et (d)(2)). Les plaignants soutenaient que Google était directement et indirectement responsable du décès de leur fille au motif que YouTube (propriété de Google) faisait « partie intégrante du programme terroriste » de l’Etat islamique, dans la mesure où les algorithmes de la plateforme recommandaient ses vidéos. Ils alléguaient également que Google, bien qu’informé de la présence de ces contenus, n’avait pas déployé d’efforts suffisants pour les supprimer. La cour d’appel du Neuvième Circuit avait rejeté la demande en réparation sur le fondement de l’immunité prévue par la section 230 du Communications Decency Act de 1996.
La Cour Suprême a jugé qu’il n’y avait pas lieu d’accueillir la demande des plaignants. Pour les motifs précédemment retenus et développés dans l’affaire Taamneh, il n’apparaît pas, en effet, que Google puisse être considéré comme ayant aidé et encouragé, en fournissant sciemment une assistance substantielle, l’attaque terroriste considérée. Par voie de conséquence, la responsabilité de Google ne pouvant être établie, il n’y a pas lieu de discuter, selon la Cour, de l’éventuelle application de l’immunité de la section 230 du Communications Decency Act. La Cour Suprême ne souhaite pas saisir ici l’occasion de se prononcer sur les éventuelles limites de cette immunité, ni de discuter de l’argument selon lequel l’immunité doit être écartée lorsqu’une plateforme prend l’initiative de recommander des contenus grâce à des algorithmes ciblant les utilisateurs.
L’issue de ces contentieux aurait-elle été la même dans l’Union Européenne?
Dans l’Union Européenne, l’immunité des plateformes n’est pas aussi large que celle qui est garantie par la section 230 du Communications Decency Act (voir F. G’sell, « Les réseaux sociaux, entre encadrement et autorégulation », 2021) . Depuis l’adoption de la Directive E Commerce 2000/31/CE, les hébergeurs sont exonérés de toute responsabilité pour les contenus publiés par leurs utilisateurs dès lors qu’ils n’ont pas eu connaissance de la présence de contenus illicites (article 14 Directive 2000/31/CE). Toutefois, cette exonération ne s’applique que si les hébergeurs agissent « promptement » pour supprimer le contenu ou l’accès au contenu dès qu’ils ont connaissance de son illégalité. Le récent Digital Services Act a repris, dans son article 6, le même principe, en lui ajoutant des précisions souvent issues de la jurisprudence (voir F. G’sell, « The Digital Services Act: a General Assessment« ). En particulier, les hébergeurs sont réputés avoir connaissance de la présence de contenus illicites dès lors que ces contenus ont été signalés et que leur illégalité est évidente sans examen juridique détaillé.
On peut donc imaginer que les plaignants, s’ils avaient voulu mettre en jeu la responsabilité des plateformes dans l’Union Européenne, se seraient efforcés de verser au dossier des éléments permettant d’établir que des publications à caractère terroriste avaient été signalées aux plateformes sans que celles-ci prennent promptement des dispositions suffisantes pour les retirer. Cette preuve aurait pu être facilitée par le fait que les hébergeurs ont, de longue date, l’obligation de mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance notamment les contenus relatifs à la provocation à la commission d’actes de terrorisme et de leur apologie (article 6 I 7° de la LCEN du 21 juin 2004).
Une autre stratégie pour écarter l’immunité des plateformes aurait été d’établir que celles-ci avaient joué un rôle actif dans la diffusion des contenus terroristes. Il est, en effet, acquis que l’immunité ne joue pas si le prestataire, « au lieu de se limiter à fournir les services de manière neutre dans le cadre d’un simple traitement technique et automatique des informations fournies par » les utilisateurs, « joue un rôle actif de nature à lui permettre de connaître ou de contrôler ces informations (Considérant 18 du Digital Services Act). Les plaignants auraient ainsi pu tenter d’exploiter dans ce cadre l’argument de l’utilisation de systèmes de recommandation algorithmiques. Mais un tel argument n’aurait sans doute pas suffi à établir le rôle actif des plateformes et leur connaissance des contenus considérés. Il est en effet de principe que « le fait qu’un fournisseur indexe automatiquement les informations mises en ligne sur son service, qu’il dispose d’une fonction de recherche ou qu’il recommande des informations sur la base des profils ou des préférences des destinataires du service ne constitue pas un motif suffisant pour considérer que ce fournisseur a “spécifiquement” connaissance des activités illégales menées sur cette plateforme ou des contenus illicites stockés sur celle-ci » (Considérant 22 du Digital Services Act). Le Considérant 22 du DSA permet d’ailleurs de répondre plus généralement aux arguments invoqués par les plaignants des affaire Taamneh et Gonzales puisqu’il précise également que la connaissance de la présence de contenus illicites ne peut être retenue « au seul motif que le fournisseur est conscient, de manière générale, que son service est également utilisé pour stocker des contenus illicites ».
On pourrait, enfin, s’interroger sur l’éventuelle portée du Règlement 2021/784 du 29 avril 2021 relatif à la lutte contre la diffusion des contenus terroristes en ligne (dit Règlement « TCO » pour Terrorist Content Online), transposé en droit français par la loi n°2022-1159 du 16 août 2022. Ce texte exige que les hébergeurs prennent des mesures pour empêcher la diffusion de contenus terroristes. En particulier, les hébergeurs doivent retirer les contenus terroristes dans l’heure qui suit la réception d’une demande en ce sens des forces de l’ordre (article 3). L’article 5 du règlement « TCO » prévoit en outre que les hébergeurs désignés par les régulateurs comme étant « exposés » à des contenus à caractère terroriste doivent adopter des mesures spécifiques, comme des moyens techniques appropriés pour identifier et retirer les contenus à caractère terroriste, la mise en place de systèmes de signalement spécifique, ou encore la création d’un mécanisme de sensibilisation aux contenus à caractère terroriste. Il paraît donc possible de sanctionner les plateformes ne respectant pas ces obligations et de mettre en jeu leur responsabilité, mais seulement si ces plateformes ont été désignées comme étant « exposées » et n’ont pas adoptées les mesures spécifiques prévues par le Réglement.
Tout cela étant dit, l’ensemble de ces arguments, quelle que soit leur portée, n’aurait sans doute pas suffi à justifier de mettre en jeu la responsabilité des plateformes dans les circonstances des affaires Taamneh et Gonzales. Il aurait, en effet, fallu également établir un lien direct entre la présence de ces contenus et les attaques terroristes considérées, une preuve quasi impossible à apporter, ce qui explique largement pourquoi la Cour Suprême n’a eu aucun mal à rejeter les demandes des plaignants.
Florence G’sell est professeur de droit privé et titulaire de la Chaire Digital, Gouvernance et Souveraineté.