La Cour d’appel de Rennes a considéré que les adresses IP d’utilisateurs frauduleux d’un logiciel, collectées à leur insu afin d’identifier les cas de contrefaçon, n’étaient pas des preuves licites et ont, en conséquence, été écartées des débats.
Des adresses IP collectées afin de justifier une saisie-contrefaçon
Dassault édite un logiciel, « SolidWorks », dans lequel elle a introduit un mécanisme de sécurité envoyant à Dassault les adresses IP des machines sur lesquelles sont exécutées des copies piratées de SolidWorks.
Grâce à ce mécanisme, opéré à l’insu des utilisateurs, Dassault a identifié des adresses IP émanant d’une société.
Dassault a produit les éléments issus de ce mécanisme, ainsi que des offres d’emploi émanant de la société, visant à recruter du personnel qualifié pour utiliser SolidWorks, afin d’obtenir du juge l’autorisation de procéder à une saisie-contrefaçon dans les locaux de cette société.
Les opérations de saisie-contrefaçon, validées par le Tribunal judiciaire, ont permis de fournir les preuves permettant de faire condamner la société pour contrefaçon en première instance.
Des adresses IP collectées illicitement
Devant la Cour d’appel statuant au fond, la société a fait valoir que Dassault avait utilisé un système de détection visant à se faire communiquer les adresses IP des ordinateurs utilisant des copies irrégulières de ses logiciels, ce qui n’est pas conforme au RGPD au regard du défaut d’information préalable et de consentement.
Dassault a répondu que les copies détectées portent sur la société, une personne morale, et non sur des personnes physiques, ce dont il résulte que les adresses IP n’étaient pas des données personnelles. Par ailleurs, le traitement de l’adresse IP est de toute façon envisagé par la politique de confidentialité de son site internet et exonéré de consentement puisqu’elle reposait sur la poursuite de l’intérêt légitime de Dassault.
Pour sa part, la Cour d’appel a considéré que les adresses IP en cause constituent bien des données personnelles. Elle relève, de surcroit, que :
- Dassault n’a pas obtenu le consentement des personnes concernées ;
- le mécanisme de sécurité de SolidWorks collecte des données « sans discrimination dans la population ni limitation dans le temps », ce que l’information dispensée par Dassault sur son site internet est « inopérante à justifier ».
La Cour d’appel a ainsi jugé illicites les preuves recueillies à l’occasion de la mise en œuvre du mécanisme de sécurité de SolidWorks.
En raison de cette illicéité, la Cour d’appel a également écarté les adresses IP des débats. Il faut noter, à cet égard, que la décision fait état de peu d’arguments émanant de Dassault, visant à rendre ces éléments recevables.
Quoiqu’il en soit, la requête de Dassault était fondée sur d’autres indices, justifiant la saisie-contrefaçon, que la Cour d’appel a donc finalement validée.
Source : Cour d’appel, Rennes, 1re chambre, 14 Octobre 2025 – n° 24/03231