Jurisprudence : Vie privée
Tribunal de grande instance de Meaux, ordonnance de référé du 10 août 2016
France Sécurité / NC Numéricable
adresse IP - article 145 du CPC - conservation - courrier électronique - données personnelles - durée de conservation - email - identification - obligation d’effacement - pénal - traitement automatisé de données à caractère personnel
Après avoir entendu les avocats des parties à l’audience du 27 juillet 2016,
EXPOSE DU LITIGE
La société par actions simplifiée France Sécurité a pour activité la distribution d’équipements de protection individuelle, en matière d’hygiène et de sécurité. Elle est titulaire d’un marché privé auprès de la société Airbus Hélicopters. Ce dernier arrive à expiration à la fin de l’année 2016. A ce titre, la société France Sécurité a préparé une proposition commerciale, sous la forme d’un fichier, décrivant ses produits et les tarifs proposés, en vue du futur appel d’offre pour le renouvellement dudit marché.
A compter du 8 avril 2016, la société France Sécurité a été sollicitée par message électronique afin de transmettre le fichier présentant la proposition commerciale. Cette demande a été formulée par une personne se présentant comme Monsieur X., employé de la société Airbus Hélicopters et écrivant sous l’adresse de messagerie électronique « x.y@… ». Cet interlocuteur ayant eu des difficultés à fournir des informations précises permettant son identification en qualité de client, la société France Sécurité a suspecté une démarche frauduleuse et a transmis des codes d’accès afin de récupérer un fichier créé pour les circonstances et ne présentant pas les informations relatives à sa proposition commerciale. Dans le même temps, la société France Sécurité a contacté la société Airbus Hélicopters. Monsieur X. qui y est bien employé a indiqué de ne pas être l’auteur des messages électroniques échangés avec la société France Sécurité. Ce dernier a alors déposé plainte contre X auprès des services de police pour usurpation d’identité le 9 mai 2016. Les correspondances électroniques entre la société France Sécurité et l’utilisateur de l’adresse de messagerie « x.y@… » se sont poursuivis jusqu’au 17 mai 2016. Le service informatique de ladite société a identifié l’adresse IP de connexion de l’utilisateur de l’adresse de messagerie litigieuse ainsi que le nom d’hôte, à savoir numericable.fr. C’est ainsi qu’un procès-verbal de constat d’huissier du 17 mai 2016 reprend le contenu des différentes correspondances électroniques et décrit les démarches réalisées par le service informatique afin de déterminer que l’adresse IP de connexion est 00.000.000.000, dont l’hôte est numericable.fr. Le constat d’huissier précise également, notamment, des données de géolocalisations concernant l’adresse IP collectée. Suite à ces faits, la société France Sécurité a déposé plainte auprès de monsieur le Procureur de la République près le tribunal de grande instance de Nantes le 28 juin 2016.
Par exploit du 8 juillet 2016, la société France Sécurité a fait assigner devant le juge des référés du tribunal de grande instance de Meaux la société par actions simplifiée NC Numéricable. Elle demande à la juridiction, au visa de l’article 145 du Code de procédure civile, d’ordonner à la défenderesse d’avoir à lui communiquer dans un délai de 48 heures à compter de l’ordonnance à intervenir :
les noms, prénoms, adresses et coordonnées complètes de la personne et toute information directement ou indirectement nominative concernant la ou les personne ( s) physique( s) ou morale( s) à laquelle (auxquelles) a (ont) été attribuée(s) l’adresse IP 00.000.000.000 ;
la correspondance entre les éventuelles informations indirectement nominatives en sa possession concernant la ou les personne( s) à laquelle (auxquelles) a (ont) été attribué(s) l’adresse IP 00.000.000.000, tel que par exemple un identifiant client, dès lors que lesdites informations sont attribuées par une société appartenant au même groupe de sociétés ;
La société France Sécurité demande également à la juridiction de céans de dire et juger que passé le délai de 48 heures, la société NC Numéricable sera redevable d’une astreinte de 150 euros par jour de retard et de se déclarer compétent pour liquider l’astreinte.
À l’audience, tenue le 27 juillet 2016, la société France Sécurité a maintenu l’intégralité des demandes contenues dans l’assignation et a demandé que la société NC Numéricable soit condamnée à lui verser la somme de 5000 euros au titre des frais irrépétibles.
Au soutien de ses prétentions, la société France Sécurité indique qu’elle dispose d’un intérêt légitime, au sens de l’article 145 du Code de procédure civile, à se faire communiquer l’identité de l’utilisateur de l’adresse IP litigieuse, car ce dernier, en ayant usurpé l’identité d’un client, a souhaité se faire communiquer des données commerciales confidentielles. Pour le demandeur, ces agissements constituent des actes de nature déloyale ainsi que des faits relevant d’une qualification pénale. Elle soutient que la société NC Numéricable est tenue, en application des dispositions de l’article 6 II de la loi du 21 juin 2004 de conserver les données permettant l’identification et de déférer aux demandes de l’autorité judiciaire, y compris celle du juge des référés dans le cadre de ses pouvoirs issus de l’article 145 du Code de procédure civile. Elle précise que les données d’identification détenues par la société NC Numéricable lui permettront de pouvoir agir sur le plan civil à l’encontre de l’auteur de ces actes de concurrence déloyale, par ailleurs pénalement répréhensibles.
En réponse aux moyens de défense exposés par la société NC Numéricable, la société France Sécurité apporte des précisions quant aux données techniques nécessaires à la réalisation de recherche permettant de déterminer le titulaire de l’adresse IP. Elle explique également que le cadre pénal posé par l’article L 34-1 du code des poste et des communications électroniques afin d’éviter l’effacement ou l’anonymisation des données relatives au trafic, est parfaitement respecté en ce que elle a, à l’instar de M. X., déposé plainte et que le juge des référés est bien une autorité judiciaire légitime pour ordonner la communication de l’identité du titulaire de l’adresse IP. Elle précise qu’elle pourra ainsi transmettre cette information au Procureur de la République près le tribunal de grande instance de Nantes dans le cadre de la plainte qu’elle a déposé.
La société France Sécurité fait ensuite valoir que, contrairement à ce qui est soutenu par la société NC Numéricable, la seule adresse IP qu’elle a collectée n’est pas une donnée nominative nécessitant une autorisation de la Commission Nationale Informatique et Liberté (CNIL) préalable à son traitement conformément à l’article 25-I de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ainsi, pour la partie demanderesse, rien ne fait obstacle à ce que le juge des référés ordonne cette mesure d’instruction qui peut dès lors être considérée comme « légalement admissible » conformément aux dispositions de l’article 145 du Code de procédure civile.
La société NC Numéricable demande au juge des référés, à titre principal de déclarer les demandes formées par la société France Sécurité irrecevables et mal fondées.
A titre subsidiaire, elle demande à la juridiction de céans de :
– rejeter toute demande de communication de données qui seraient attribuées par d’autres entités juridiques que NC Numéricable, ou de recherche et d’identification par elle de ces entités juridiques ;
– prendre acte de l’accord de la société France Sécurité pour limiter toute communication aux informations limitativement énumérées par l’article R 10- 13 du Code des postes et des communications électroniques ;
– condamner la société France Sécurité au paiement préalable des frais afférents à l’exécution de leurs demandes sur présentation d’un devis par la société NC Numéricable ;
– ordonner que le délai minimal d’exécution par NC Numéricable ne soit pas inférieur à 60 jours ouvrés à compter de la signification de l’ordonnance à intervenir.
A titre accessoire, la société NC Numéricable souhaite voir la société France Sécurité condamnée au paiement de la somme de 3500 euros au titres des frais irrépétibles ainsi qu’aux entiers dépens.
Au soutien de ses prétentions, la société NC Numéricable expose notamment que la demande de la société France Sécurité ne concerne que des informations relatives à l’émission d’une correspondance privée qui s’est échangée par voie de courrier électronique, ce qui constitue des données de trafic au sens de l’article L 32 (18) du Code des postes et des communications électroniques. Ainsi, le cadre juridique applicable ne peut pas être celui de la loi du 21 juin 2004 car la société NC Numéricable n’est pas visée en tant que « personnes dont l’activité est d’offrir un accès à des services de communication au public » (article 6 I) en relation avec « la création d’un contenu » en ligne (article 6 II) comme le soutient la partie demanderesse. Elle précise alors que l’article 34-1 du code des postes et des correspondances électroniques applicable au cas d’espèce ne lui permet pas de fournir les données demandées par la société France Sécurité en ce que cet article pose le principe de l’effacement ou l’anonymisation des données réclamées et que leur conservation temporaire ne peut intervenir que dans un cadre pénal strict.
Elle explique également que la demande tend à la communication de données personnelles à partir d’une collecte d’adresse IP qui doit s’entendre comme un traitement de données personnelles au sens de la loi du 6 janvier.1978 relative à l’informatique, aux fichiers et aux libertés et à la directive européenne n 95/46/CE du 24 octobre 1995 ; et que, conformément à l’article L 34-1 du Code des postes et des communications électroniques, la conservation et le traitement de ces données doit s’effectuer dans le respect des dispositions de la loi du 6 janvier 1978 précitée qui prévoit, en particulier, en son article 25-1 , 3 un dispositif d’autorisation préalable de la CNIL applicable au cas d’espèce et susceptible, en cas de non respect, de sanctions pénales. Pour la partie défenderesse, la société France Sécurité ne justifie pas avoir réalisé des démarches auprès de la CNlL préalablement au traitement d’une donnée personnelle consistant en la collecte de l’adresse IP litigieuse. Elle soutient, par conséquent, que la condition de licéité de la mesure d’instruction sollicitée au titre de l’article 145 du Code de procédure civile n’est pas remplie.
Pour un plus ample exposé des moyens et prétentions des parties, la juridiction renvoie, conformément à l’article 455 du code de procédure civile, aux conclusions des conseils des parties comparantes soutenues oralement et déposées à l’audience.
La décision a été mise en délibéré au 10 août 2016, date de la présente ordonnance.
DISCUSSION
Sur la demande principale
L’article 145 du code de procédure civile dispose: « S’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. » Il s’ensuit que le juge des référés peut ordonner de telles mesures d’instruction à la double condition que le motif légitime exigé par le texte se trouve effectivement caractérisé, et que la mesure réclamée soit conforme à la loi.
La demande de la société France Sécurité tend à voir identifier l’éventuel auteur d’une infraction pénale en même temps que d’actes de déloyauté commerciale à partir de l’adresse IP qu’elle a collectée et qui a été utilisée par un internaute pour télécharger un fichier sur le site de la société et échanger des correspondances électroniques privées. Par conséquent, la société France Sécurité justifie d’un motif légitime à établir la preuve d’un fait dont pourrait dépendre la solution d’un litige.
S’agissant de la licéité de la mesure contestée par la société NC Numéricable, il résulte de l’article 2 de la loi du 6 janvier 1978 que :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » Par ailleurs, l’article 2 a et b de la directive européenne du 24 octobre 1995 prévoient que constitue « une «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée), est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale; ». La directive définit le «traitement de données à caractère personnel» (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
En l’espèce, l’adresse IP collectée par le service informatique de la société France Sécurité est versée au débat afin de permettre l’identification, par la société NC Numéricable, de l’utilisateur de l’ordinateur ayant servi aux actions dénoncées par la partie demanderesse. L’adresse IP d’un internaute permettant de pouvoir identifier l’auteur des correspondances électroniques dénoncées par la société France Sécurité, à l’aide d’investigation assez simples, constitue bien une donnée à caractère personnel dont la collecte par le service informatique de la société demanderesse, suite à des investigations techniques réalisées à l’aide d’un logiciel spécifique, doit être comprise comme un traitement au sens des dispositions de la loi relative à l’informatique, aux données et aux libertés.
Il résulte des dispositions combinées des articles 9-4 et 25-1-3 de la même loi, que « sont mis en oeuvre après autorisation de la CNIL, les traitements portant sur des données relatives aux infractions, condamnations et mesures de sûretés », ce qui est bien le cas en l’occurrence s’agissant de l’adresse IP de l’auteur présumé d’infractions pénales comme en témoignent les dépôts de plainte de la société France Sécurité et monsieur X. versés au débat.
Ainsi, compte tenu de l’ensemble de ces éléments, l’opération de traitement d’une donnée à caractère personnel consistant en la collecte de l’adresse IP en vue d’obtenir l’identification de l’auteur d’une infraction pénale nécessite l’autorisation préalable de la CNIL. La partie demanderesse ne justifie pas d’une telle démarche. Dès lors, la mesure d’instruction sollicitée devant le juge des référés ne peut pas être considérée comme légalement admissible.
Par ailleurs, la demande de la société France Sécurité tend à l’identification, par la société NC Numéricable, de l’auteur d’échanges de correspondances électronique. Il s’agit de données de trafics au sens de l’article L32 (18) du Code des postes et des communications électroniques. La société défenderesse ne peut dès lors être mise en cause en qualité de « personne dont l’activité est d’offrir un accès à des services de communication au public » en relation avec « la création d’un contenu en ligne » au sens de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.
Aux termes de l’article L34-1 du Code des postes et des télécommunications
« II-Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des III, IV, V et VI
Les personnes qui fournissent au public des services de communications électroniques établissent, dans le respect des dispositions de l’alinéa précédent, des procédures internes permettant de répondre aux demandes des autorités compétentes.
Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.
III -Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d’un manquement à l’obligation définie à l’article L. 336-3 du code de la propriété intellectuelle ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées par les articles 323-1 à 323-3-1 du code pénal, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire ou de la haute autorité mentionnée à l’article L. 331-12 du code de la propriété intellectuelle ou de l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. »
Ainsi, en vertu de ces dispositions, le principe est celui de l’obligation de voir les données personnelles effacées, seules des exceptions sont prévues concernant la recherche, la constatation et la poursuite des infractions pénales ou encore les besoins de la facturation ou le recouvrement. Seule l’Autorité judiciaire ou la Haute Autorité visée par le texte précité sont alors autorisées à se faire communiquer les données personnelles conservées, à titre exceptionnel, par l’opérateur.
En l’espèce, même si la société NC Numéricable justifie avoir déposé plainte, cela ne lui donne pas la possibilité d’obtenir directement la communication des informations confidentielles protégées par les dispositions précitées afin de les fournir au Procureur de la République. En effet, il appartient aux autorités judiciaires chargés de la poursuite des infractions ou, éventuellement, de leur instruction, de demander les informations utiles à la manifestation de la vérité dans ce cadre. Il n’appartient pas non plus au juge des référés de se substituer à ces autorités judiciaires dans le cas présent.
Par conséquent, et au vu de l’ensemble des motifs qui précèdent, la société France Sécurité sera déboutée de l’ensemble de ses demandes.
Sur les dépens
Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.
La société France Sécurité, partie perdante, supportera les dépens de l’instance.
Sur les frais irrépétibles
Conformément aux dispositions de l’article 700 1 ) du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. Le juge tient compte de l’équité ou de la situation économique de la partie condamnée et il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à cette condamnation.
En l’espèce il y a lieu d’allouer à la société NC Numéricable une indemnité sur ce fondement à hauteur de 2000 euros.
DECISION
Nous, juge des référés, statuant publiquement, en premier ressort, par ordonnance contradictoire rendue par mise à disposition au greffe ;
Déboutons la société France Sécurité de l’ensemble de ses demandes ;
Condamnons la société France Sécurité au paiement de la somme de 2 000 euros au profit de la société NC Numéricable au titre des frais irrépétibles ;
Condamnons la société France Sécurité aux entiers dépens ;
Le Tribunal : Guillaume Mosser (candidat à l’intégration directe dans la magistrature), Philippe Damulot (premier vice-président), Marie-Odile Battikh et Anna Guillou (greffiers)
Avocats : Me Benoît Gicquel, Me Stéphane Coulaux
Notre présentation de la décision
En complément
Maître Benoît Gicquel est également intervenu(e) dans l'affaire suivante :
En complément
Maître Stéphane Coulaux est également intervenu(e) dans les 17 affaires suivante :
En complément
Le magistrat Anne-Marie Dubillot-Bailly est également intervenu(e) dans les 2 affaires suivante :
En complément
Le magistrat Guillaume Mosser est également intervenu(e) dans l'affaire suivante :
En complément
Le magistrat Marie-Odile Battikh est également intervenu(e) dans l'affaire suivante :
En complément
Le magistrat Philippe Damulot est également intervenu(e) dans l'affaire suivante :
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.