Introduction

La décision (n° 2506972/5-4) rendue par le Tribunal administratif de Paris le 15 avril 2025 dans l’affaire opposant la société Cloudflare à l’Arcom se penche sur la mise en œuvre des dispositifs de contrôle d’accès aux contenus pornographiques en ligne, en particulier s’agissant de la protection des mineurs.

Contexte factuel et juridique

Le litige oppose la société américaine Cloudflare, fournisseur de services de résolution de noms de domaine (DNS resolver), à l’Arcom. Par une décision du 6 mars 2025, le président de l’Arcom a notifié à Cloudflare l’adresse électronique https://xxxx.net/, enjoignant à l’entreprise d’empêcher l’accès à ce site dans un délai de quarante-huit heures pour une durée de deux ans. La mesure s’accompagnait d’une redirection des utilisateurs vers une page d’information hébergée à l’adresse IP xxxxxxxxxx..

Ce site, selon les constatations des agents de l’Arcom, diffusait des contenus à caractère pornographique accessibles sans aucune forme de vérification de l’âge des utilisateurs, en infraction avec les dispositions de l’article 227-24 du code pénal français. Ce dernier réprime la diffusion de contenus pornographiques susceptibles d’être vus par un mineur, y compris si l’accès résulte d’une simple déclaration d’âge.

En conséquence, l’Arcom a fondé sa décision sur l’article 10-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), qui permet d’ordonner à certains fournisseurs techniques, tels que les DNS resolvers, d’empêcher l’accès à de tels services en ligne.

Cloudflare a saisi le Tribunal administratif de Paris pour contester cette décision, soulevant de multiples moyens de droit, tant sur le fond que sur la forme.

Sur la légalité externe de la décision

La société requérante soutenait notamment que la décision était insuffisamment motivée au regard des articles L. 211-2 et L. 221-5 du code des relations entre le public et l’administration. Le tribunal a écarté cet argument, estimant que les éléments de fait (accès sans contrôle d’âge à des contenus pornographiques) et de droit (fondements juridiques mobilisés) étaient dûment mentionnés, conformément aux exigences jurisprudentielles.

Un deuxième moyen tiré de l’absence de signature régulière a également été rejeté. Le tribunal a considéré que l’identité de l’auteur de la décision, son autorité compétente (le président de l’Arcom), et la présence d’une signature conforme étaient établies.

Sur la légalité interne : articulation entre droit national et droit européen

La société Cloudflare soulevait de nombreuses objections fondées sur la prétention que le dispositif national violerait plusieurs sources du droit de l’Union européenne.

a) Directive 2015/1535 et obligation de notification des règles techniques

La directive impose aux États membres la notification des règles techniques nouvelles à la Commission européenne. Le tribunal a reconnu que les articles 10 et 10-1 LCEN, en imposant une vérification d’âge au-delà de la simple déclaration, constituaient une règle technique au sens de l’article 1er de la directive. Toutefois, il a été établi que cette notification avait bien été effectuée, en conformité avec la procédure.

b) Compatibilité avec le Digital Services Act (règlement UE 2022/2065)

Le DSA harmonise le régime applicable aux services intermédiaires. Toutefois, son champ d’application quant aux obligations de protection des mineurs est limité aux plateformes normalement accessibles aux mineurs et aux très grandes plateformes en ligne. Le site Camschat ne relevait d’aucune de ces catégories.

Le tribunal en conclut que les États membres conservent une compétence résiduelle pour imposer des obligations plus strictes dans les cas non couverts par le DSA, en particulier s’agissant de contenus à caractère sexuel licite mais potentiellement préjudiciables pour les mineurs.

c) Directive 2000/31/CE sur le commerce électronique et principe du pays d’origine

L’article 3 de la directive interdit en principe à un État membre de restreindre l’accès à un service fourni depuis un autre État membre, sauf conditions strictes. Le tribunal, s’appuyant sur la jurisprudence de la CJUE (Google Ireland, C-376/22), a jugé que l’article 10-2 LCEN était conforme, car il ciblait nommément certains services ou fournisseurs, selon une procédure dérogatoire prévue par ladite directive.

Ainsi, l’interdiction générale de discrimination entre prestataires intra-UE et extra-UE ne s’applique pas à cette différenciation, jugée objectivement justifiée.

Atteinte aux droits fondamentaux : analyse de proportionnalité

Les moyens tirés de la violation des articles 47 à 49 de la Charte des droits fondamentaux (droit au recours effectif, légalité des peines, droits de la défense), ont été jugés inopérants. Le tribunal qualifie la mesure de police administrative, non de sanction. Il en découle que les garanties pénales ne sont pas applicables.

De même, l’atteinte à la liberté d’expression (article 10 CEDH) et à la liberté d’entreprendre (article 16 de la Charte) a été estimée proportionnée au but poursuivi, à savoir la protection de l’enfance. L’Arcom s’est bornée à constater un manquement objectif à une obligation claire, sans porter de jugement sur le contenu du site en tant que tel.

Effets juridiques et portée pratique de la mesure

La décision du tribunal valide le fait que le blocage peut être ordonné même si le contenu du site est licite en soi. L’absence de contrôle d’âge constitue à elle seule une irrégularité suffisante pour justifier l’intervention administrative.

Concernant la redirection vers une page d’information de l’Arcom, le tribunal estime qu’elle est conforme aux finalités de la loi : elle assure la transparence de la mesure et préserve l’information du public.

Enfin, le tribunal rappelle que la durée de deux ans est conforme au cadre posé par la LCEN, et qu’une réévaluation annuelle de la mesure est prévue.

Conclusion

En résumé, le Tribunal administratif de Paris démontre par une motivation très fouillée que le dispositif de droit français, bien que contraignant pour certains prestataires étrangers, demeure conforme aux exigences du droit européen. Cette jurisprudence pourrait être utilisée comme modèle par d’autres États membres souhaitant mettre en place des mécanismes similaires de régulation de l’accès aux contenus sensibles sur internet.

(Source : post de Me Vincent Gury et lien vers la décision https://www.linkedin.com/posts/vincent-gury-8a51089_jugement-ta-de-paris-ugcPost-7317834354435448833-Fbux?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAX2b5oB2W8RFgEb7aoRz8wscswBHlxf0Mg)

Me Philippe Ehrenström, avocat, LLM