Les fournisseurs de service d’hébergement sont tenus de respecter principalement les obligations suivantes.
Désignation d’un représentant légal dans l’Union européenne
Lorsque son établissement principal n’est pas situé dans l’UE, le fournisseur doit désigner un représentant légal aux fins de la réception, du respect et de l’exécution des injonctions de retrait de contenu et des décisions rendues par les autorités compétentes. Ce représentant doit disposer des pouvoirs et ressources nécessaires et est tenu de coopérer avec les autorités compétentes. Il peut être tenu pour responsable des violations du règlement TCO (sans compter la responsabilité du fournisseur). Il doit résider ou être établi dans un des États membres où le fournisseur propose ses services.
Le fournisseur de services d’hébergement est tenu :
- de notifier la désignation de son représentant à l’autorité compétente (en matière de sanctions) de l’État membre dans lequel son représentant légal réside ou est établi (en Belgique : l’IBPT);
- de rendre les informations relatives au représentant légal accessibles au public.
Ce formulaire a pour but de permettre aux fournisseurs concernés d’effectuer cette désignation. Une fois complété, il doit être envoyé à l’IBPT via tco@bipt.be.
Respect des injonctions de retrait ou de blocage d’accès
Dans toute l’Union européenne, des autorités compétentes ont le pouvoir d’adresser à un fournisseur de services d’hébergement offrant ses services à des utilisateurs d’un pays de l’UE (quel que soit le lieu d’établissement du fournisseur ou celui de son représentant) une injonction de retirer un contenu à caractère terroriste ou d’en bloquer l’accès dans tous les Etats membres. Le fournisseur est tenu d’exécuter l’ordre donné dès que possible et, en tout état de cause, dans un délai de 1 heure à compter de la réception de l’injonction. Il doit informer l’autorité qui a émis l’injonction concernant le retrait du contenu ou le blocage d’accès auquel il a procédé.
Sauf si l’autorité qui a émis l’injonction en décide autrement, le fournisseur de services d’hébergement doit aussi informer le fournisseur du contenu (l’utilisateur qui a fourni les informations) concernant le retrait du contenu ou le blocage d’accès auquel il a procédé. Par ailleurs, sur demande du fournisseur de contenus, il devra :
- soit l’informer des motifs du retrait ou du blocage et des droits dont il dispose pour contester l’injonction de retrait,
- soit lui fournir une copie de l’injonction de retrait.
Le TCOR impose également, au fournisseur de service d’hébergement, de conserver les contenus à caractère terroriste (et données connexes) qui ont été retirés ou auxquels l’accès a été bloqué. Il doit aussi prévoir, pour cette conservation, des garanties techniques et organisationnelles appropriées (ex. haut niveau de sécurité de la protection des données à caractère personnel concernées).
Enfin, chaque fournisseur de services d’hébergement doit désigner un point de contact pour la réception des injonctions et pour en assurer le traitement. Il veille à ce que les informations relatives au point de contact soient rendues accessibles au public.
Signalement aux autorités répressives
Lorsque les fournisseurs de services d’hébergement ont connaissance d’un contenu à caractère terroriste présentant une menace imminente pour la vie, ils ont l’obligation d’en informer immédiatement les autorités qui sont compétentes pour enquêter et poursuivre les infractions pénales dans les États membres concernés. Lorsqu’il est impossible d’identifier les États membres concernés, les fournisseurs de services informent le point de contact de l’autorité d’injonction de l’État membre de leur établissement principal (ou de leur représentant légal) et transmettent les informations concernant ledit contenu à caractère terroriste à Europol.
Obligations de transparence
Le fournisseur de services d’hébergement est tenu d’exposer clairement, dans ses conditions générales, sa politique de lutte contre la diffusion des contenus à caractère terroriste.
Lorsque le fournisseur a pris des mesures de lutte contre la diffusion des contenus à caractère terroriste ou lorsqu’il lui a été imposé de le faire, il doit publier un rapport de transparence annuel qui contient des informations telles que
- les mesures prises pour identifier et retirer les contenus à caractère terroriste, pour lutter contre la réapparition en ligne de matériel retiré ou bloqué, en particulier lorsque utilisation des outils automatisés,
- le nombre d’éléments de contenu à caractère terroriste qui ont été retirés ou auxquels l’accès a été bloqué à la suite d’injonctions,
- le nombre de non-conformité à une injonction en cas de force majeure, impossibilité de fait ou erreurs manifestes,
- le nombre et l’issue des procédures de réexamen administratif ou de contrôle juridictionnel engagées par le fournisseur de services d’hébergement et le nombre de cas dans lesquels le fournisseur a été tenu de rétablir les contenus ou l’accès à la suite d’une telle procédure.