Vu la procédure suivante :
Procédure contentieuse antérieure :
La société Cloudflare Inc. a demandé au tribunal administratif de Paris, à titre principal, d'annuler la décision du 6 mars 2025 par laquelle le président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) lui a notifié l'adresse électronique https://camschat.net/ afin qu'elle empêche l'accès à cette adresse dans un délai de quarante-huit heures pour une durée de deux ans et, à titre subsidiaire, de surseoir à statuer et de saisir la Cour de justice de l'Union européenne de questions préjudicielles.
Par un jugement n° 2506972 du 15 avril 2025, le tribunal administratif de Paris a rejeté sa demande.
Procédure devant la cour :
Par une requête enregistrée le 25 avril 2025, un mémoire en réplique enregistré le 28 mai 2025 et quatre nouveaux mémoires enregistrés les 5, 10, 16 et 26 juin 2025, ce dernier mémoire n'ayant pas été communiqué, la société Cloudflare Inc., représentée par Mes Schuler et Dumontet, demande à la cour :
1°) à titre principal, d'annuler ce jugement et cette demande de blocage ;
2°) à titre subsidiaire, de surseoir à statuer et de saisir la Cour de justice de l'Union européenne des questions préjudicielles suivantes :
- Des dispositions nationales d'un Etat membre qualifiant certains agissements comme constitutifs d'une infraction pénale et imposant, de jure ou de facto, à certains fournisseurs de service de la société de l'information, tels que les éditeurs de sites pornographiques et les fournisseurs de plateforme de partage de vidéos pornographiques, fournissant leurs services sur le territoire de cet Etat membre, de mettre en place un mécanisme de vérification de l'âge de leurs utilisateurs ne reposant pas sur une simple déclaration de majorité, doivent-elles être interprétées comme une règle technique au sens de l'article 5 de la directive (UE) 2015/1535 du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, dont le projet aurait dû être communiqué à la Commission européenne' Le cas échéant, les dispositions de la directive (UE) 2015/1535 doivent-elles s'interpréter en ce qu'elles imposent la communication à la Commission européenne de dispositions nationales qualifiant une règle technique adoptées avant son entrée en vigueur mais ayant fait l'objet d'amendements postérieurement à son entrée en vigueur '
- Les dispositions du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques doivent-elles être interprétées en ce sens qu'un Etat membre tel que la France peut adopter ou maintenir des dispositions qui imposent à des fournisseurs de plateformes en ligne de mettre en œuvre un mécanisme de contrôle de l'âge de leurs utilisateurs et d'empêcher l'accès à leurs services aux utilisateurs mineurs '
- Les droits et libertés protégés par la Charte des droits fondamentaux, notamment ses articles 47, 48 et 49, doivent-ils être interprétés comme s'opposant à ce qu'une autorité administrative d'un Etat membre puisse, à la fois édicter les règles applicables à des fournisseurs de services de la société de l'information dont le non-respect est constitutif d'une infraction pénale et poursuivre, qualifier et sanctionner une telle infraction pénale '
- Les droits et libertés protégés par la Charte des droits fondamentaux, notamment ses articles 20 et 21, doivent-ils être interprétés comme s'opposant à ce que des dispositions nationales d'un Etat membre imposent des obligations aux seuls fournisseurs de services de la société de l'information établis sur le territoire de celui-ci ou en dehors du territoire de l'Union européenne et soumettent le respect de ces mêmes obligations par les fournisseurs de services de la société de l'information établis sur le territoire d'un autre Etat membre de l'Union européenne à des conditions supplémentaires '
- Les droits et libertés protégés par la Charte des droits fondamentaux, notamment ses articles 16 et 52, doivent-ils être interprétés comme s'opposant à ce que des dispositions nationales prévoyant la possibilité pour une autorité administrative d'émettre des injonctions à l'encontre de certains fournisseurs de services intermédiaires d'empêcher l'accès à des sites internet, sous forme d'une obligation de résultat, et ne permettant à ces fournisseurs d'échapper à la sanction en cas de non-respect de l'injonction qu'en démontrant un cas de force majeure ou une impossibilité de fait qui ne leur est pas imputable '
- Les droits et libertés protégés par la Charte des droits fondamentaux, notamment son article 10, doivent-ils être interprétés comme s'opposant à ce que des dispositions nationales prévoient la possibilité pour une autorité administrative d'émettre des injonctions à l'encontre de certains fournisseurs de services intermédiaires visant à empêcher l'accès à des sites internet diffusant du contenu pornographique, dès lors que l'éditeur du site ne contrôle pas l'âge de ses utilisateurs, sans intervention d'un juge et pour une durée pouvant aller jusqu'à deux années '
- Les dispositions de l'article 9 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques doivent-elles être interprétées comme s'opposant à ce qu'une autorité administrative enjoigne à un fournisseur de services intermédiaires d'empêcher l'accès à un contenu en ligne contraire au droit national, sans préciser le champ d'application territorial de cette injonction ou en prévoyant un champ d'application plus large que le seul territoire national sur lequel le contenu en ligne est considéré illicite '
3°) de mettre à la charge de l'Arcom la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Elle soutient que :
- la décision attaquée est insuffisamment motivée faute de préciser en quelle qualité la société s'est vu notifier cette décision ;
- elle n'a pas été valablement signée au regard des prescriptions de l'article L. 212-1 du code des relations entre le public et l'administration, dès lors que la signature n'est ni manuscrite, ni électronique ;
- l'obligation de vérification d'âge imposée aux plateformes de partage de vidéos pornographiques découlant de l'article 227-24 du code pénal et de l'article 10-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est contraire au droit européen et au droit de l'Union européenne dès lors que :
. la France ne s'est pas conformée à l'obligation de notification à la Commission européenne des dispositions de l'article 227-24 du code pénal, obligation de notification qui résultait de la directive (UE) 2015/1535 du 9 septembre 2015 ;
. l'obligation faite aux fournisseurs de plateforme de partage de vidéos pornographiques d'implémenter un mécanisme de vérification de l'âge constitue une exigence nationale supplémentaire prohibée, concernant une matière relevant du champ d'application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques, lequel harmonise pleinement les règles applicables aux services intermédiaires dans le marché intérieur, la France ne disposant pas à ce titre d'une compétence transitoire qu'il n'appartient pas à la Commission de lui accorder ;
. le dispositif prévu par les articles 227-24 du code pénal et 10-1 de la loi du 21 juin 2004 porte atteinte aux droits à un recours effectif et à un procès équitable garantis par les articles 6 et 13 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et l'article 47 de la Charte des droits fondamentaux de l'Union européenne et méconnaît le droit d'accéder à un tribunal impartial, les droits de la défense et le principe de légalité et de proportionnalité des délits et des peines garantis par les articles 47, 48 et 49 de cette Charte, dès lors que l'Arcom, qui est une autorité administrative, est chargée à la fois d'établir le référentiel déterminant les exigences techniques minimales pour qu'un système de vérification d'âge implémenté par un éditeur de site pornographique ou un fournisseur de plateforme de partage de vidéos pornographiques soit considéré comme suffisant pour ne pas donner lieu à une violation de l'article 227-24 du code pénal et de caractériser et sanctionner les infractions résultant d'une violation des dispositions de cet article et que les services de plateforme de partage de vidéos sont privés des garanties d'un procès pénal ;
. la distinction faite par l'article 10-2 de la loi du 21 juin 2004, quant à l'application de l'obligation de vérification d'âge en fonction de l'Etat d'établissement de l'éditeur du site ou du fournisseur de plateformes de partage de vidéos, porte atteinte au principe d'égalité et de non-discrimination consacrés par les articles 14 de la convention européenne, 1er de son protocole n° 12 et 20 de la Charte des droits fondamentaux de l'Union européenne ;
- le mécanisme d'injonction prévu par l'article 10-1 de la loi du 21 juin 2004 permettant à l'Arcom d'enjoindre aux fournisseurs de systèmes de résolution de noms de domaine d'empêcher l'accès à des sites ou plateformes ne contrôlant pas l'âge de leur utilisateur en violation de l'article 227-24 du code pénal méconnaît le droit européen dès lors que :
. en prévoyant une injonction de blocage sous forme d'une obligation de résultat, une sanction pouvant aller jusqu'à 1 % du chiffre d'affaires mondial hors taxe réalisé au cours de l'exercice précédent si le fournisseur de systèmes de résolution de noms de domaine ne parvient pas à atteindre ce résultat et qu'il ne peut échapper à une sanction que s'il a été confronté à un cas de force majeure ou à une impossibilité de fait qui ne lui est pas imputable, l'article 10-1 de la loi du 21 juin 2004 porte atteinte à la liberté d'entreprise et méconnaît le principe de proportionnalité garantis par les articles 16 et 52 de la Charte des droits fondamentaux de l'Union européenne ;
. le contenu pornographique accessible via le site " camschat.net " n'étant pas par nature illicite, le blocage prévu par l'article 10-1 de la loi du 21 juin 2004 au seul motif que le site n'implémente pas un mécanisme de vérification de l'âge et, qui plus est, pour une durée de deux ans, constitue une atteinte disproportionnée à la liberté d'expression garantie par l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la décision de blocage méconnaît le droit de l'Union européenne, aux motifs que :
. elle porte une attente disproportionnée à sa liberté d'entreprendre, en violation des articles 16 et 52 de la Charte des droits fondamentaux de l'Union européenne, dès lors qu'elle n'a pas les moyens techniques de mettre en œuvre la mesure ordonnée ;
. elle méconnaît l'article 9 du règlement sur les services numériques, dès lors qu'elle n'inclut aucune mention quant à la portée territoriale de la mesure et ne la limite notamment pas au territoire français ;
- c'est à tort que le tribunal s'est abstenu d'interroger la Cour de justice de l'Union européenne sur la conformité des dispositions de l'article 227-24 du code pénal et de l'article 10-1 de la loi du 21 juin 2004 et de la décision attaquée au droit de l'Union européenne.
Par quatre mémoires en défense, enregistrés les 23 mai, 5, 10 et 20 juin 2025, l'Arcom, représentée par la SARL Gury et Maître, conclut au rejet de la requête et à ce qu'une somme de 3 000 euros soit mise à la charge de la société Cloudflare Inc. au titre de l'article L. 761-1 du code de justice administrative.
Elle fait valoir que les moyens soulevés par l'appelante ne sont pas fondés.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information ;
- la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (" directive sur le commerce électronique ") ;
- la directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (directive services de médias audiovisuels), telle que modifiée par la directive (UE) 2018/1808 du Parlement européen et du Conseil du 14 novembre 2018 ;
- la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information ;
- le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
- le code civil ;
- le code pénal ;
- le code des relations entre le public et l'administration ;
- la loi n° 92-684 du 22 juillet 1992 ;
- la loi n° 2004-575 du 21 juin 2004 ;
- la loi n° 2007-297 du 5 mars 2007 ;
- la loi n° 2020-936 du 30 juillet 2020 ;
- la loi n° 2024-449 du 21 mai 2024 ;
- le décret n° 2024-1181 du 16 décembre 2024 ;
- le code de la justice administrative ;
Les parties ont été régulièrement averties du jour de l'audience.
Ont été entendus au cours de l'audience publique :
- le rapport de Mme Menasseyre, présidente-rapporteure,
- les conclusions de Mme Bernard, rapporteure publique ;
- les observations de Me Schuler, avocat de la société Cloudflare Inc, et de Me Gury, avocat de l'Arcom.
Considérant ce qui suit :
1. La société Cloudflare Inc., société de droit américain, fournit notamment des systèmes de résolution de noms de domaine, activité consistant à faire le lien entre le nom de domaine d'un site et son adresse IP. Par courrier du 6 mars 2025, faisant suite à la délibération de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) du 5 mars 2025, le président de cette autorité lui a notifié l'adresse électronique https://camschat.net/, correspondant à un site pornographique dont l'accès n'était pas conditionné à une vérification de l'âge de l'utilisateur, afin qu'elle prenne les mesures propres à empêcher l'accès à ce site, pour une durée de deux ans. La société relève appel du jugement du 15 avril 2025 par lequel le tribunal administratif de Paris a rejeté sa demande tendant, à titre principal, à l'annulation de cette mesure et, à titre subsidiaire, à ce que le tribunal sursoie à statuer et saisisse la Cour de justice de l'Union européenne de différentes questions préjudicielles.
Sur le cadre juridique :
2. Aux termes de l'article 227-24 du code pénal : " Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère (...) pornographique (...) soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 75 000 euros d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur. / (...) / Les infractions prévues au présent article sont constituées y compris si l'accès d'un mineur aux messages mentionnés au premier alinéa résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans ".
3. Aux termes de l'article 10-1 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique : " I.- Lorsqu'une personne dont l'activité est de fournir un service de communication au public en ligne sous sa responsabilité éditoriale ou de fournir un service de plateforme de partage de vidéos permet à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, l'Autorité de régulation de la communication audiovisuelle et numérique lui fait part de ses observations motivées par une lettre, remise par tout moyen propre à en établir la date de réception. A compter de la date de sa réception, le destinataire de cette lettre dispose d'un délai de quinze jours pour présenter ses observations. / A l'expiration de ce délai, l'Autorité de régulation de la communication audiovisuelle et numérique peut mettre en demeure la personne mentionnée au premier alinéa du présent I de prendre, dans un délai de quinze jours, toute mesure de nature à empêcher l'accès des mineurs à ces contenus. L'Autorité de régulation de la communication audiovisuelle et numérique rend publique cette mise en demeure. / (...) / III.- En cas d'inexécution de la mise en demeure prévue au I du présent article, l'Autorité de régulation de la communication audiovisuelle et numérique peut notifier aux fournisseurs de services d'accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine mentionnés au II de l'article 12, par tout moyen propre à en établir la date de réception, les adresses électroniques des services de communication au public en ligne ou des services de plateforme de partage de vidéos ayant fait l'objet de la procédure prévue au I du présent article ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle, et qui présentent les mêmes modalités d'accès. Ces fournisseurs doivent alors empêcher l'accès à ces adresses dans un délai de quarante-huit heures. Toutefois, en l'absence de mise à disposition des informations mentionnées aux I et II de l'article 1er-1, l'Autorité de régulation de la communication audiovisuelle et numérique peut procéder à la notification prévue au présent III sans avoir mis en œuvre la procédure prévue au I du présent article. / Les utilisateurs des services de communication au public en ligne et des services de plateforme de partage de vidéos auxquels l'accès est empêché sont avertis par une page d'information de l'Autorité de régulation de la communication audiovisuelle et numérique indiquant les motifs de la mesure de blocage. / (...) / (...) / Les mesures prévues au présent III sont prononcées pour une durée maximale de deux ans. Leur nécessité est réévaluée, d'office ou sur demande, au moins une fois par an. Lorsque les faits mentionnés au premier alinéa du I ne sont plus constitués, l'Autorité de régulation de la communication audiovisuelle et numérique avise sans délai les destinataires des notifications prévues au présent III de la levée de ces mesures. (...) ".
4. La mesure de blocage du 6 mars 2025 adressée à la société Cloudflare Inc. a été prise sur le fondement du premier alinéa du III de l'article 10-1 de la loi du 21 juin 2004 après qu'il a été constaté, d'une part, le 12 février 2025 par un agent habilité et assermenté de l'Arcom que l'accès aux contenus à caractère pornographique diffusés sur le service " Camschat " accessible depuis l'adresse https://camschat.net/ n'était pas conditionné à une vérification de l'âge de l'utilisateur et que cette situation constituait un manquement à l'article 227-24 du code pénal et, d'autre part, que les éléments d'identification mentionnés aux I et II de l'article 1er-1 de la loi du 21 juin 2004, permettant d'identifier et de contacter ce service, faisaient défaut.
Sur la légalité externe :
5. En premier lieu, aux termes de l'article L. 211-2 du code des relations entre le public et l'administration : " Les personnes physiques ou morales ont le droit d'être informées sans délai des motifs des décisions administratives individuelles défavorables qui les concernent. / A cet effet, doivent être motivées les décisions qui : / 1° Restreignent l'exercice des libertés publiques ou, de manière générale, constituent une mesure de police ; (...) ". L'article L. 211-5 du même code précise en outre que : " La motivation exigée par le présent chapitre doit être écrite et comporter l'énoncé des considérations de droit et de fait qui constituent le fondement de la décision ".
6. Le courrier adressé à la société Cloudflare Inc. le 6 mars 2025 se réfère au constat, effectué le 12 février 2025 par un agent assermenté de l'Arcom, d'un manquement à l'article 227-24 du code pénal résultant de l'accès sans vérification de l'âge de l'utilisateur aux contenus à caractère pornographique diffusés sur le service " Camschat ", accessible depuis l'adresse https://camschat.net/, et à l'absence des informations mentionnées aux I et II de l'article 1er-1 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique. Il mentionne le III de l'article 10-1 de cette loi, qui permet à l'Arcom de notifier directement aux fournisseurs de systèmes de résolution de noms de domaine, au nombre desquels se trouve la société Cloudflare Inc., les adresses électroniques des services de communication au public en ligne ou des services de plateforme de partage de vidéos permettant l'accès de mineurs à du contenu à caractère pornographique, et le décret du 16 décembre 2024 relatif à la procédure d'habilitation des agents de l'Autorité de régulation de la communication audiovisuelle et numérique et portant application des articles 6-8, 10-1 et 11 de la loi n° 2004-575 du 21 juin 2004. Il comporte ainsi, de manière suffisante, les considérations de fait et de droit qui le fondent et n'avait pas à préciser en quelle qualité la société Cloudflare Inc., qui fournit des systèmes de résolution de noms de domaine et ne pouvait ignorer qu'elle exerçait cette activité la faisant entrer dans le champ du III de l'article 10-1 de la loi, se voyait notifier cette mesure. Dès lors, le moyen tiré de l'insuffisance de motivation de ce courrier doit être écarté.
7. En deuxième lieu, aux termes de l'article L. 212-1 du code des relations entre le public et l'administration : " Toute décision prise par une administration comporte la signature de son auteur ainsi que la mention, en caractères lisibles, du prénom, du nom et de la qualité de celui-ci. (...) ". L'article L. 212-3 du même code prévoit que : " Les décisions de l'administration peuvent faire l'objet d'une signature électronique (...) ", en précisant les conditions que doit remplir le procédé utilisé pour que celle-ci soit valablement apposée.
8. S'agissant d'un organisme collégial, il est satisfait aux exigences découlant de ces prescriptions dès lors que la décision prise comporte la signature de son président, accompagnée des mentions prévues par cet article. En l'espèce, contrairement à ce qu'a jugé le tribunal, il ressort des pièces du dossier que le courrier du 6 mars 2025, qui mentionne les prénom, nom et qualité de M. Martin Ajdari, président de l'Arcom, a été signé par l'apposition de la signature scannée de ce dernier, et non de façon manuscrite ou selon un procédé de signature électronique conforme à l'article L. 212-3 du code des relations entre le public et l'administration. Toutefois, ce courrier a pour objet de porter à la connaissance de la société requérante la décision prise par l'Arcom, dont il n'est pas contesté qu'elle résulte de la délibération du collège du 5 mars 2025, au demeurant présidé par M. B..., de lui notifier l'adresse électronique https://camschat.net/ afin d'empêcher l'accès au service " Camschat ". Par suite, la circonstance qu'il n'ait pas été revêtu d'une signature conforme aux exigences résultant du code des relations entre le public et l'administration n'est pas de nature à entacher d'illégalité la décision attaquée, prise par l'Arcom.
Sur la légalité interne :
En ce qui concerne la conformité au droit européen des dispositions de l'article 227-24 du code pénal et de l'article 10-1 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique faisant peser des obligations sur les plateformes de partage de vidéos :
Quant au respect de la procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information :
9. En application de l'article 5 de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, tout Etat membre qui souhaite adopter une nouvelle règle technique au sens de cette directive ou modifier une règle technique existante doit, sauf s'il s'agit d'une simple transposition intégrale d'une norme internationale ou européenne, en informer la Commission européenne dans les conditions prévues par cet article. Le f) du 1 de l'article 1er de cette directive définit une " règle technique " comme " une spécification technique ou autre exigence ou une règle relative aux services, y compris les dispositions administratives qui s'y appliquent, dont l'observation est obligatoire de jure ou de facto, pour la commercialisation, la prestation de services, l'établissement d'un opérateur de services ou l'utilisation dans un État membre ou dans une partie importante de cet État, de même que, sous réserve de celles visées à l'article 7, les dispositions législatives, réglementaires et administratives des États membres interdisant la fabrication, l'importation, la commercialisation ou l'utilisation d'un produit ou interdisant de fournir ou d'utiliser un service ou de s'établir comme prestataire de services ". La " règle relative aux services " est définie au e) du même article comme " une exigence de nature générale relative à l'accès aux activités de services (...) et à leur exercice, notamment les dispositions relatives au prestataire de services, aux services et au destinataire de services, à l'exclusion des règles qui ne visent pas spécifiquement les services définis audit point. / Aux fins de la présente définition : / i) une règle est considérée comme visant spécifiquement les services de la société de l'information lorsque, au regard de sa motivation et du texte de son dispositif, elle a pour finalité et pour objet spécifiques, dans sa totalité ou dans certaines dispositions ponctuelles, de réglementer de manière explicite et ciblée ces services ; (...) ". Enfin, selon le b) du même article, on entend par " service ", pour l'application de la directive, " tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ". Cette directive reprend les dispositions de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information, qui prévoyaient depuis le 5 août 1999 une même obligation à la charge des Etats membres, pour les services de la société de l'information, à la suite de sa modification par la directive 98/48/CE du Parlement européen et du Conseil du 20 juillet 1998.
10. D'une part, le dispositif de blocage institué par l'article 10-1 introduit dans la loi du 21 juin 2004 par la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, lequel renvoie explicitement à l'article 227-24 du code pénal, a été communiqué, préalablement à son adoption, à la Commission européenne sur le fondement de l'article 5 de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015. D'autre part, l'article 227-24 du code pénal ne peut être regardé comme une règle technique au sens de la directive. En tout état de cause, cet article a été adopté par la loi du 22 juillet 1992 portant réforme des dispositions du code pénal relatives à la répression des crimes et délits contre les personnes, de sorte que l'obligation de notification posée, en premier lieu en 1998, par la directive 98/34/CE du 22 juin 1998 modifiée par la directive 98/48/CE du 20 juillet 1998, ne pouvait trouver à s'appliquer à ce texte. Il sanctionnait, dès sa version d'origine, le fait de fabriquer, de transporter, de diffuser, par quelque moyen que ce soit et quel qu'en soit le support, un message à caractère violent ou pornographique, lorsque ce message était susceptible d'être vu ou perçu par un mineur. Dès lors, le simple ajout d'une référence à la communication au public en ligne, effectué par l'article 35 de la loi du 5 mars 2007 relative à la prévention de la délinquance, n'induisait aucune obligation de notification à la Commission. De même si, ainsi que le soutient la société, l'article 22 de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales a complété cet article en précisant que les infractions qu'il prévoit sont constituées y compris lorsque l'accès d'un mineur aux messages pornographiques résulte d'une simple déclaration de majorité de celui-ci, cet ajout, correspondant à la codification d'une jurisprudence constante, est demeuré sans incidence sur le droit applicable et n'imposait aucune obligation à ce titre. La société Cloudflare Inc. n'est donc pas fondée à soutenir que les obligations qui lui ont été notifiées ne lui seraient pas opposables faute pour les textes qui les fondent d'avoir été notifiés à la Commission européenne.
Quant à la possibilité pour l'Etat français, au regard des règles posées par le règlement (UE) 2022/2065 relatif à un marché unique des services numériques, d'exiger un mécanisme de vérification de l'âge :
11. Aux termes de l'article 1er du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 : " 1. Le présent règlement a pour objectif de contribuer au bon fonctionnement du marché intérieur des services intermédiaires en établissant des règles harmonisées pour un environnement en ligne sûr, prévisible et fiable qui facilite l'innovation et dans lequel les droits fondamentaux consacrés par la Charte, y compris le principe de protection des consommateurs, sont efficacement protégés. (...) ". Selon les dispositions du 1 de son article 2, ce règlement s'applique aux services intermédiaires proposés aux destinataires du service dont le lieu d'établissement est situé dans l'Union ou qui sont situés dans l'Union, quel que soit le lieu d'établissement des fournisseurs de ces services intermédiaires. Il résulte du iii du g) de l'article 3 du règlement qu'un service d'hébergement, consistant à stocker des informations fournies par un destinataire du service à sa demande, constitue un " service intermédiaire " au sens du règlement. Il suit de là que la plateforme de partage de vidéos Camschat, dépourvue de responsabilité éditoriale sur les contenus, constitue un hébergeur au sens du règlement et, par suite, un service intermédiaire entrant dans son champ d'application.
12. Le considérant 9 du règlement (UE) 2022/2065 précise que ce règlement harmonise pleinement les règles applicables aux services intermédiaires dans le marché intérieur dans le but de garantir un environnement en ligne sûr, prévisible et de confiance, en luttant notamment contre la diffusion de contenus illicites en ligne, et précise en conséquence que les Etats membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant de son champ d'application, sauf s'il le prévoit expressément. Toutefois, selon son considérant 17, ce sont les règles applicables du droit de l'Union ou du droit national qui doivent déterminer les cas dans lesquels la responsabilité des fournisseurs de services intermédiaires peut être engagée, les règles posées par le règlement ne pouvant être interprétées comme constituant une base positive pour établir ces cas. De même, selon son considérant 31, qui relève que les législations nationales sur la base desquelles des injonctions sont émises en direction des fournisseurs diffèrent considérablement, le règlement n'a pas vocation à constituer la base juridique permettant aux autorités judiciaires ou administratives nationales d'adresser aux fournisseurs de services intermédiaires des injonctions de prendre des mesures à l'encontre d'un ou de plusieurs éléments de contenus illicites spécifiques ni à en réglementer le champ d'application territorial ou leur exécution transfrontière. Enfin, selon son considérant 71, " La protection des mineurs est un objectif stratégique important de l'Union. Une plateforme en ligne peut être considérée comme accessible aux mineurs lorsque ses conditions générales permettent aux mineurs d'utiliser le service, lorsque son service s'adresse aux mineurs ou est utilisé de manière prédominante par des mineurs, ou lorsque le fournisseur sait par ailleurs que certains des destinataires de son service sont des mineurs, par exemple parce qu'il traite déjà des données à caractère personnel des destinataires de son service révélant leur âge à d'autres fins ".
13. Ainsi qu'il le précise à son article 1er, le règlement a pour objet d'établir des règles harmonisées applicables à la fourniture de services intermédiaires au sein du marché intérieur, en particulier, " un cadre pour l'exemption conditionnelle de responsabilité des fournisseurs de services intermédiaires " et " des règles relatives à des obligations de diligence spécifiques ", adaptées à certaines catégories spécifiques de fournisseurs de tels services. Aux termes de l'article 6 du règlement, applicable à la responsabilité des fournisseurs de prestations d'hébergement : " 1. (...) le fournisseur de services n'est pas responsable des informations stockées à la demande d'un destinataire du service à condition que le fournisseur : / a) n'ait pas effectivement connaissance de l'activité illégale ou du contenu illicite (...) ; ou / b) dès le moment où il en prend connaissance ou conscience, agisse promptement pour retirer le contenu illicite ou rendre l'accès à celui-ci impossible. / (...) / 4. Le présent article n'affecte pas la possibilité, pour une autorité judiciaire ou administrative, conformément au système juridique d'un État membre, d'exiger du fournisseur de services qu'il mette fin à une infraction ou qu'il prévienne une infraction ". L'article 9 du règlement prévoit la faculté, pour les autorités judiciaires ou administratives nationales compétentes, d'adresser à un fournisseur de services intermédiaires des injonctions d'agir contre des contenus illicites, injonctions émises sur la base du droit de l'Union ou du droit national conforme au droit de l'Union applicable, et en encadre les modalités. Ces contenus illicites sont définis par l'article 3 du règlement comme correspondant à " toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n'est pas conforme au droit de l'Union ou au droit d'un État membre qui est conforme au droit de l'Union, quel que soit l'objet précis ou la nature précise de ce droit ". Selon le considérant 12 du règlement, la notion de " contenu illicite " correspond de manière générale aux règles en vigueur dans l'environnement hors ligne et doit être entendue largement, de façon à couvrir les informations relatives aux contenus, produits, services et activités illégaux et, ainsi, non seulement les informations illicites par elles-mêmes mais aussi celles qui sont rendues telles par les règles applicables parce qu'elles se rapportent à des activités illégales, à l'instar du partage illégal d'images privées sans consentement.
14. Enfin, aux termes de l'article 28 de ce règlement : " 1. Les fournisseurs de plateformes en ligne accessibles aux mineurs mettent en place des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service. / 2. Les fournisseurs de plateformes en ligne ne présentent pas sur leur interface de publicité qui repose sur du profilage, (...) en utilisant des données à caractère personnel concernant le destinataire du service dès lors qu'ils ont connaissance avec une certitude raisonnable que le destinataire du service est un mineur. / 3. Le respect des obligations énoncées dans le présent article n'impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur. / 4. La Commission, après avoir consulté le comité, peut publier des lignes directrices pour aider les fournisseurs de plateformes en ligne à appliquer le paragraphe 1 ". Aux termes de l'article 44 du règlement : " 1. La Commission consulte le comité et soutient et encourage le développement ainsi que la mise en œuvre de normes volontaires établies par les organismes de normalisation européens et internationaux pertinents, au minimum pour les aspects suivants : (...) j) les normes applicables aux mesures ciblées destinées à protéger les mineurs en ligne. (...) ".
15. Il résulte de la combinaison de ces dispositions que l'harmonisation poursuivie par le règlement (UE) 2022/2065, qui est circonscrite aux matières relevant du champ d'application du règlement, ne s'étend pas à la définition, par les Etats, des infractions pénalement sanctionnées sur leur territoire. Cette harmonisation ne fait pas obstacle à la possibilité pour les autorités nationales compétentes d'adresser à un fournisseur de services intermédiaires des injonctions en vue de mettre fin à une infraction et d'agir contre un contenu illicite, cette notion ne devant pas être comprise de façon différente dans l'environnement en ligne et dans l'environnement hors ligne. Si l'article 28 du règlement, relatif à la protection des mineurs en ligne, préconise l'adoption, par les fournisseurs de plateformes en ligne accessibles aux mineurs, de mesures propres à garantir la sûreté et la sécurité de ces derniers, il se borne à prohiber les publicités les ciblant, au moyen de l'utilisation de données personnelles, et ne fait pas obstacle à la possibilité pour un Etat membre, reconnue par l'article 9 du règlement, d'enjoindre à un opérateur d'agir contre un contenu illicite. Par ailleurs, si la diffusion de contenus pornographiques ne revêt pas, par elle-même, le caractère d'une activité illicite, cette activité devient, en droit pénal français, conforme sur ce point au droit de l'Union, illicite dès lors qu'elle permet à des mineurs d'accéder à de tels contenus.
16. Il suit de là, alors que, en tout état de cause, aucune solution n'a encore été mise en œuvre à l'échelle de l'Union européenne relative à la vérification de l'âge des utilisateurs des plateformes en ligne et aux modalités de cette vérification et la Commission européenne n'avait pas encore, à la date de la décision attaquée, adopté de lignes directrices concernant la protection des mineurs en ligne au titre de la législation sur les services numériques, la société Cloudflare Inc. n'est pas fondée à soutenir que l'harmonisation poursuivie par le règlement (UE) 2022/2065 faisait obstacle à la possibilité, pour l'Etat français, d'enjoindre à un service de plateforme de partage de vidéos permettant à des mineurs d'avoir accès à des contenus pornographiques de prendre toute mesure de nature à empêcher l'accès des mineurs à ces contenus. Elle n'est, par suite, pas fondée à soutenir que les dispositions qui fondent légalement la notification attaquée méconnaissent ce règlement.
Quant à l'invocation du droit à un recours effectif et le droit à un procès équitable :
17. La notification attaquée a été prise sur le fondement du III de l'article 10-1 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique, qui autorise l'Arcom à notifier aux fournisseurs de systèmes de résolution de noms de domaine, pour en empêcher l'accès, les adresses électroniques des services de plateforme de partage de vidéos qui permettent à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal et ne mettent pas à disposition les éléments mentionnés aux I et II de l'article 1er-1 de la même loi, permettant d'identifier et de contacter ces services. Cette notification, qui est une mesure de police, a ainsi été prise indépendamment de toute procédure de sanction à l'égard des services de plateforme de partage de vidéos. Par suite, ainsi que le tribunal administratif l'a jugé au point 31 de son jugement, le moyen tiré de ce que le dispositif prévu par les articles 227-24 du code pénal et 10-1 de la loi du 21 juin 2004 méconnaîtrait les articles 6 et 13 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et les articles 47, 48 et 49 de la Charte des droits fondamentaux de l'Union européenne, aux motifs que l'Arcom cumulerait les pouvoirs d'établir le référentiel permettant d'apprécier la violation de l'article 227-4 du code pénal et de caractériser et sanctionner les infractions résultant de sa violation et que les services seraient privés des garanties d'un procès pénal, ne peut qu'être écarté.
Quant au respect des principes d'égalité et de non-discrimination :
18. Selon le I de l'article 10-2 de la loi du 21 juin 2004, " Les articles 10 et 10-1 s'appliquent aux éditeurs de service de communication au public en ligne et aux fournisseurs de services de plateforme de partage de vidéos établis en France ou hors de l'Union européenne ". En vertu du II de ce même article, ces dispositions ne s'appliquent aux éditeurs de service de communication au public en ligne et aux fournisseurs de services de plateforme de partage de vidéos établis dans un autre Etat membre de l'Union européenne que sous les conditions et après respect de la procédure prévues par l'article 3 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 sur le commerce électronique, ainsi qu'après publication d'un arrêté les désignant.
19. En premier lieu, la société appelante, qui soutient que la différence de traitement selon le lieu de leur établissement dont font ainsi l'objet les opérateurs porte atteinte au principe d'égalité et de non-discrimination, ne saurait utilement invoquer les stipulations du protocole n° 12 à la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, qui n'a pas été signé ni ratifié par la France, non plus que l'article 14 de cette convention, qui ne concerne que la jouissance des droits et libertés reconnus par celle-ci et n'est pas d'application autonome.
20. En second lieu, les dispositions du II de l'article 10-2 de la loi du 21 juin 2004 visent à concilier l'application du dispositif de blocage institué par les articles 10 et 10-1 de cette loi avec les exigences issues de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 sur le commerce électronique, qui pose un principe de régulation des prestataires par leur Etat d'origine, ce dont il résulte que les prestataires établis dans d'autres Etats membres de l'Union européenne sont placés dans une situation juridique distincte de ceux établis en France ou en dehors de l'Union européenne. Alors qu'il résulte des articles 6 bis et 28 ter de la directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 dite " services de médias audiovisuels " que chaque Etat membre doit veiller à ce que les fournisseurs de plateformes de partage de vidéos établis sur son territoire prennent les mesures appropriées pour garantir que les mineurs ne puissent normalement pas entendre ni voir un contenu pornographique, la différence de traitement en cause, qui résulte de la particularité de l'ordre juridique européen, repose sur une justification objective et n'est pas manifestement dépourvue de base raisonnable. Par suite, le moyen tiré de ce que l'instauration de règles différentes pour les fournisseurs de plateformes de partage de vidéos établis, d'une part, en France ou hors de l'Union européenne et, d'autre part, dans un autre Etat membre de l'Union, porterait atteinte aux principes d'égalité et de non-discrimination en méconnaissance des articles 20 et 21 de la Charte des droits fondamentaux de l'Union européenne doit, en tout état de cause, être écarté.
En ce qui concerne la conformité au droit européen du mécanisme d'injonction aux fournisseurs de systèmes de résolution de noms de domaine :
Quant au respect de la liberté d'entreprise garantie par la Charte des droits fondamentaux de l'Union européenne :
21. Aux termes de l'article 16 de la Charte des droits fondamentaux de l'Union européenne : " La liberté d'entreprise est reconnue conformément au droit de l'Union et aux législations et pratiques nationales ". Aux termes de l'article 52 de la même Charte : " 1. Toute limitation de l'exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui. (...) ".
22. Ainsi que l'a relevé la Cour de justice dans son arrêt du 4 mai 2016, Pillbox 38 (UK) Ltd c/ Secretary of State for Health, C-477/14, la protection conférée par l'article 16 de la Charte comporte la liberté d'exercer une activité économique ou commerciale, la liberté contractuelle et la concurrence libre. La liberté d'entreprise ne constituant pas une prérogative absolue, mais devant être examinée au regard de sa fonction dans la société, elle peut être soumise à un large éventail d'interventions de la puissance publique susceptibles d'établir, dans l'intérêt général, des limitations à l'exercice de l'activité économique. Toute limitation de l'exercice de cette liberté doit être prévue par la loi, respecter son contenu essentiel et, dans le respect du principe de proportionnalité, être nécessaire et répondre effectivement à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui.
23. En imposant aux fournisseurs de systèmes de résolution de noms de domaine d'empêcher, dans un délai de quarante-huit heures, l'accès aux adresses électroniques des services de plateforme de partage de vidéos permettant à des mineurs d'avoir accès à un contenu pornographique, le législateur a souhaité renforcer la lutte contre l'accès des mineurs à des contenus à caractère pornographique en ligne. Il a ainsi entendu mettre en œuvre l'exigence de protection de l'intérêt supérieur de l'enfant, exigence fondamentale prévue à l'article 24 de la Charte des droits fondamentaux de l'Union européenne, et poursuivre l'objectif de protection des mineurs en ligne, notamment contre les contenus susceptibles de nuire à leur santé et à leur développement physique, mental et moral.
24. Si l'article 10-1 de la loi du 21 juin 2024 impose aux fournisseurs de systèmes de résolution de noms de domaine d'empêcher l'accès aux sites notifiés dans les quarante-huit heures de cette notification, il leur laisse toute latitude dans le choix des mesures à prendre pour se conformer à cette obligation et pour retenir celles qui leur paraissent les mieux adaptées aux ressources et aux capacités dont ils disposent. Il réserve l'hypothèse d'un motif de force majeure ou d'une impossibilité de fait qui ne leur serait pas imputable. Si le manquement aux obligations posées par le III de l'article 10-1 est susceptible de faire l'objet de sanctions pécuniaires, qui ne sont pas automatiques, ces dernières doivent prendre en compte la nature, la gravité et la durée du manquement, les avantages tirés de ce manquement et les manquements commis précédemment. Par ailleurs, il résulte des dispositions contestées que la nécessité de ces mesures doit être réévaluée lorsque la personne intéressée en fait la demande et, le cas échéant d'office, au moins une fois par an. L'autorité administrative compétente est tenue de les lever lorsque les faits en considération desquels elles ont été ordonnées ne sont plus constitués.
25. Au vu de l'ensemble de ces éléments, et eu égard à l'objectif d'intérêt général poursuivi par la mesure, laquelle n'a vocation à s'appliquer qu'en présence de fournisseurs de services intermédiaires qui permettent à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, et pour lesquels une mise en demeure est restée infructueuse ou qui n'ont pas mis à la disposition du public les informations prévues par le I et le II de l'article 1er-1 de la loi du 21 juin 2004 permettant de les identifier et de les contacter, le mécanisme d'injonction critiqué ne peut être regardé comme portant une atteinte disproportionnée à la liberté d'entreprise garantie par la Charte des droits fondamentaux de l'Union européenne.
Quant au respect de la liberté d'expression consacrée par l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales :
26. Aux termes de l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit à la liberté d'expression. Ce droit comprend la liberté d'opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence d'autorités publiques et sans considération de frontière. Le présent article n'empêche pas les Etats de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d'autorisations. / 2. L'exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l'intégrité territoriale ou à la sûreté publique, à la défense de l'ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d'autrui, pour empêcher la divulgation d'informations confidentielles ou pour garantir l'autorité et l'impartialité du pouvoir judiciaire ".
27. Si le dispositif de blocage institué par l'article 10-1 de la loi du 21 juin 2024 a pour conséquence d'entraver, pour une durée qui est limitée à la persistance du comportement délictuel des services intermédiaires en cause et ne saurait, en tout hypothèse, excéder deux ans, l'accès des personnes majeures à des sites pornographiques, ce blocage permet, en dernier recours, de faire obstacle à l'accès des mineurs à ces mêmes sites pornographiques et, notamment, de protéger les jeunes enfants, en évitant qu'ils se trouvent confrontés à des contenus susceptibles de nuire à leur développement. Ainsi qu'il a été dit au point 24, la nécessité de ces mesures, qui doivent prendre fin lorsque les faits en considération desquels elles ont été ordonnées ne sont plus constitués, doit être réévaluée, d'office au moins une fois par an, et sur demande. Ces mesures, qui peuvent faire l'objet de recours en référé sur le fondement des articles L. 521-1 et L. 521-2 du code de justice administrative, sont également susceptibles, en application du V de l'article 10-1 de la loi du 21 juin 2004, d'être critiquées par la voie d'un recours spécifique en annulation formé devant le président du tribunal administratif, qui doit statuer dans un délai d'un mois. En cas d'appel, la juridiction d'appel est tenue de statuer dans un délai de trois mois, l'ensemble de ces dispositions permettant qu'il soit statué dans de brefs délais sur la légalité de ces mesures.
28. Dans ces conditions, l'atteinte ainsi portée, par le mécanisme d'injonction contesté, à la liberté d'expression, dont, ainsi que le relève l'Arcom, la vocation première n'est pas de favoriser le commerce en ligne de la pornographie, apparaît adaptée, nécessaire et proportionnée à ce qui est nécessaire pour garantir la réalisation de l'objectif poursuivi de protection du développement physique, mental et moral et des enfants, dont la sauvegarde de l'intérêt supérieur est une exigence qui découle tant de la Constitution que des engagements internationaux de la France. Dès lors, le moyen tiré de la méconnaissance des stipulations de l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales doit être écarté.
En ce qui concerne la conformité de la décision de l'Arcom à la liberté d'entreprise garantie par la Charte des droits fondamentaux de l'Union européenne :
29. Le mécanisme de blocage institué par l'article 10-1 de la loi du 21 juin 2004 et, par conséquent, la décision contestée qui le met en œuvre, impliquent que le destinataire de l'injonction, en l'espèce la société Clouflare Inc., intervienne dans ses infrastructures techniques afin de déférer à cette injonction. La seule circonstance que la société ait à se livrer à une telle intervention ne saurait, par elle-même, caractériser une atteinte disproportionnée à sa liberté d'entreprendre.
30. Si la société appelante produit une note technique réalisée à sa demande par le professeur A... C..., qui détaille les contraintes et caractéristiques du système de résolution de noms de domaine DNS Cloudflare Inc. et indique que l'architecture Cloudflare ne disposerait pas actuellement des mécanismes appropriés, tels que des ensembles de règles spécifiques à une région ou des moteurs de filtrage, nécessaires pour prendre en charge le blocage granulaire et géolocalisé des domaines sans procéder à une refonte en profondeur de son architecture, ni ce rapport ni les écritures de la société n'exposent clairement en quoi consisterait cette " refonte en profondeur " ni ne précisent le temps et les moyens qui lui seraient nécessaires et le coût qui pourrait en résulter, alors même qu'elle propose gratuitement par ailleurs un service de résolution de noms de domaine capable de bloquer les logiciels malveillants et les contenus pour adultes. La société ne conteste pas sérieusement être en mesure de proposer des fonctionnalités spécifiques à certaines régions et avoir à ce titre développé, pour la région " Chine continentale ", une fonctionnalité permettant de résoudre les noms de domaine par l'intermédiaire de centres de données situés en Chine, ni avoir déjà mis en place des mesures de filtrage similaires à celles qu'elle estime en l'espèce impossibles à déployer. L'Arcom fait enfin valoir, sans être contredite, que Google, qui propose le système de résolution de noms de domaine le plus utilisé, ainsi que les fournisseurs d'accès à internet Orange, Free, SFR et Bouygues Télécom, qui proposent également de tels systèmes, ont pu sans difficulté apparente exécuter les mesures de blocage dont ils ont été destinataires en France métropolitaine comme en outre-mer. Il ne peut être regardé, dans ces conditions, comme établi que l'Arcom ait imposé à la société Cloudflare Inc. de prendre une mesure qu'elle n'avait pas les moyens techniques et financiers de mettre en œuvre compte tenu des contraintes et caractéristiques de son système de résolution de noms de domaine et des infrastructures sur lesquelles il repose.
31. Enfin, eu égard à sa qualité de résolveur de noms de domaine alternatif grand public dont l'usage est très largement répandu, la société Cloudflare Inc. est particulièrement susceptible de donner sa pleine efficacité à une mesure de blocage. Par suite, ni les difficultés techniques invoquées, ni l'existence de facilités de contournement, ni l'existence d'une multitude de fournisseurs de résolution de noms de domaine, évalués à 62 700 par la société, ne sont de nature à remettre en cause le caractère proportionné de l'atteinte ainsi portée à sa liberté d'entreprise.
En ce qui concerne la conformité de l'injonction prononcée à l'article 9 du règlement (UE) 2022/2065 du 19 octobre 2022 :
32. Aux termes du paragraphe 2 de l'article 9 du règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques, relatif aux injonctions d'agir contre des contenus illicites : " Lorsqu'une injonction visée au paragraphe 1 est transmise au fournisseur, les États membres veillent à ce qu'elle remplisse au minimum les conditions suivantes : / a) ladite injonction comprend les éléments suivants : / i) une référence à la base juridique au titre du droit de l'Union ou du droit national pour l'injonction ; / ii) un exposé des motifs expliquant pourquoi les informations constituent un contenu illicite, en référence à une ou plusieurs dispositions spécifiques du droit de l'Union ou du droit national conforme au droit de l'Union ; / iii) des informations permettant d'identifier l'autorité d'émission ; / iv) des informations claires permettant au fournisseur de services intermédiaires d'identifier et de localiser le contenu illicite concerné, telles qu'un ou plusieurs URL exacts et, si nécessaire, des informations supplémentaires ; / v) des informations relatives aux mécanismes de recours dont disposent le fournisseur de services intermédiaires et le destinataire du service ayant fourni le contenu ; / vi) le cas échéant, des informations sur l'autorité qui doit recevoir les informations relatives aux suites données aux injonctions ; / b) le champ d'application territorial de ladite injonction, sur la base des règles applicables du droit de l'Union et du droit national, y compris de la Charte, et, le cas échéant, des principes généraux du droit international, est limité à ce qui est strictement nécessaire pour atteindre son objectif (...) ".
33. En premier lieu, la société appelante, qui a été informée, par les mentions contenues dans l'injonction qui lui a été adressée par courrier du 6 mars 2025, des voies de recours qui lui étaient ouvertes et qu'elle a d'ailleurs mises en œuvre, ne saurait utilement critiquer l'absence, dans cette décision, des informations relatives aux mécanismes de recours dont disposent les destinataires du service ayant fourni le contenu.
34. En deuxième lieu, il résulte des dispositions citées au point 32 que le champ d'application territorial de l'injonction n'est pas au nombre des éléments que celle-ci doit mentionner, qui sont énumérés de façon limitative. La société ne saurait dès lors utilement invoquer, pour contester la conformité de l'injonction critiquée au paragraphe 2 de l'article 9 du règlement, son silence sur ce point. Par ailleurs, la détermination de ce champ d'application, qui est relative à la portée de la mesure et non à ses motifs, ne peut être regardée comme une considération de droit ou de fait en constituant le fondement, de sorte que la société n'est pas davantage fondée à soutenir que les dispositions de l'article L. 211-2 du code des relations entre le public et l'administration auraient été méconnues en raison de ce silence.
35. En troisième lieu, la mesure de blocage en cause, dont l'objet est de prévenir l'accès à des contenus pornographiques par des mineurs, constitue, contrairement à ce que soutient la société Cloudflare Inc., une mesure de police administrative, dont le champ est nécessairement circonscrit, en vertu du premier alinéa de l'article 3 du code civil selon lequel " Les lois de police et de sûreté obligent tous ceux qui habitent le territoire ", au seul territoire national. Elle ne saurait être regardée comme prévoyant un champ d'application plus large que ce seul territoire, sur lequel l'accès au contenu en ligne est considéré comme illicite. La société n'est, par suite, pas fondée à soutenir que son champ d'application territorial, sur la base des règles applicables du droit national, excéderait ce qui est strictement nécessaire pour atteindre son objectif.
36. Il résulte de tout ce qui précède, et sans qu'il soit besoin d'interroger à titre préjudiciel la Cour de justice de l'Union européenne, que la société Cloudflare Inc. n'est pas fondée à se plaindre de ce que, par le jugement attaqué, qui n'est pas entaché de défaut de réponse à un moyen, le tribunal administratif de Paris a rejeté sa demande.
Sur les frais liés au litige :
37. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce que soit mise à la charge de l'Arcom, qui n'est pas la partie perdante dans la présente instance, la somme que la société Cloudflare Inc. demande au titre des frais exposés et non compris dans les dépens. Il y a lieu, en revanche, de mettre à la charge de cette société une somme de 2 000 euros au titre des frais exposés par l'Arcom et non compris dans les dépens.
D É C I D E :
Article 1er : La requête de la société Cloudflare Inc. est rejetée.
Article 2 : La société Cloudflare Inc. versera à l'Arcom une somme de 2 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : Le présent arrêt sera notifié à la société Cloudflare Inc. et à l'Arcom.
Délibéré après l'audience du 30 juin 2025, à laquelle siégeaient :
- Mme Fombeur, présidente de la cour,
- Mme Menasseyre, présidente de chambre,
- Mme Vrignon-Villalba, présidente assesseure.
Rendu public par mise à disposition au greffe le 22 juillet 2025.
La présidente rapporteure,
A. Menasseyre
La présidente,
P. Fombeur
La greffière,
N. Couty
La République mande et ordonne à la ministre de la culture ce qui la concerne ou à tous commissaires de justice à ce requis en ce qui concerne les voies de droit commun contre les parties privées, de pourvoir à l'exécution de la présente décision.
N° 25PA02012 2
