TGI de Meaux, ordonnance de référé du 10 août 2016, France Sécurité / NC Numéricable
Par ordonnance du 10 août 2016, Le TGI de Meaux a rejeté la demande en référé d’une société visant à ce qu’un fournisseur d’accès à internet (FAI) communique l’identité de l’auteur d’emails frauduleux, à partir de l’adresse IP identifiée par le demandeur.
Dans le cadre d’un appel d’offre pour la fourniture d’équipements de sécurité lancé par la société Airbus Hélicopters, la société France Sécurité, alors titulaire du marché qui arrivait à expiration, est sollicitée par messagerie électronique par une personne se présentant comme employée d’Airbus aux fins de communication par France Sécurité de sa proposition commerciale confidentielle. Suspectant une fraude, France Sécurité obtient confirmation d’Airbus que les emails n’émanent pas de ses collaborateurs et parvient à identifier l’adresse IP de l’auteur de la fraude, ainsi que son FAI, la société Numéricable.
La société dépose plainte contre X auprès du Procureur de la République. En parallèle, elle fait assigner devant le juge des référés du TGI de Meaux le FAI Numéricable, au visa de l’article 145 CPC, aux fins que lui soient communiquées les données d’identification de l’abonné auquel a été attribuée l’adresse IP identifiée.
Aux termes de l’article 145 CPC, le juge des référés peut ordonner des mesures d’instruction avant tout procès à la double condition de (1) caractériser un intérêt légitime à l’établissement de la preuve de faits, et (2) que la mesure demandée soit conforme à la loi.
En l’espèce, le Tribunal constate l’existence d’un motif légitime consistant « à voir identifier, [à partir d’une adresse IP], l’éventuel auteur d’une infraction pénale en même temps que d’actes de déloyauté commerciale ». En revanche, le Tribunal a considéré que la mesure sollicitée n’était pas conforme à la loi, au double visa de la loi Informatique et Liberté et de l’article L.34-1 du Code des postes et des communications électroniques.
(1) Le Tribunal considère en effet que l’opération de collecte de l’adresse IP de l’auteur des messages frauduleux mise en œuvre par la demanderesse constitue un traitement d’une donnée à caractère personnel, en vue d’obtenir l’identification de l’auteur d’une infraction pénale. Un tel traitement nécessite une autorisation préalable de la CNIL, or, la demanderesse ne justifie pas d’une telle autorisation. Dès lors, la mesure sollicitée est illicite au regard de la loi Informatique et Liberté.
(2) Ne s’en tenant pas au motif précédant qui aurait suffi à motiver sa décision, le TGI poursuit par une interprétation restrictive de l’article 6 de la LCEN, selon laquelle l’identification de l’auteur d’échanges de correspondances électroniques par son FAI ne relève pas du champ d’application de la LCEN mais du champ plus restreint de l’article L.34-1 CPCE.
Or, cet article ne permet la communication d’informations d’identification que pour les besoins de la recherche, de l’identification et de la poursuite des infractions pénales ou d’un manquement à l’obligation de sécurisation de leur connexion à internet par les abonnés, à destination de l’autorité judiciaire ou de la HADOPI exclusivement.
Le Tribunal en déduit que l’article L.34-1 CPCE ne lui permet pas d’ordonner la communication de ces éléments d’identification au demandeur personne privée, ce qui reviendrait selon lui à se substituer au juge pénal.
Cette décision semble remettre en cause l’équilibre souhaité par le législateur français et européen en matière de responsabilité sur internet, qui confère au FAI une responsabilité atténuée, en contrepartie de sa collaboration pour la conservation de données, qu’il est dans l’obligation de produire sur injonction d’une « autorité judiciaire », qu’elle soit civile ou pénale. C’est cet équilibre qu’avait rappelé le TGI de Paris, statuant en référé, dans une ordonnance du 30 janvier 2013 condamnant le FAI Bouygues Telecom pour avoir refusé de communiquer des données d’identification dans une affaire similaire.
Nous suivrons donc ce sujet afin de déterminer si la décision du TGI de Meaux constitue un cas isolé ou révèle une inflexion de la jurisprudence en matière d’accès aux données d’identification des abonnés à internet.