Debes de leer el archivo del sistema de archivos del servidor .. via readfile() por ejemplo (que lo lee y lo entrega al buffer de salida) .. Previo a esto le envias las cabeceras HTTP para inciar la descarga (en varias FAQ's están ..)

Y sobre todo .. SUBE tus archivos ARRIBA de tu /www/ o /public_hmtl/ o como lo llame en tu servicio de hosting al "document_root". Eso si trabajas en servicios de hosting pagados .. veras q al entrar por FTP tienes tu /cgi-bin .. /algo /www .. siendo en www donde metes tus páginas HTML/PHP .. Create un directorio y metes ahí tus archivos .. así no quedarán accesibles via http://www.tusitio.tal/archivo.tal

Un saludo,