Les avocats du net

 
 


 

Actualités

mercredi 31 août 2016
Facebook Viadeo Linkedin

Référé : Numéricable n’a pas à fournir les données d’identification à partir de l’IP

 

Le TGI de Meaux a rejeté la demande d’une société visant à ce qu’un fournisseur d’accès communique les données d’identification de l’auteur d’emails frauduleux, à partir de l’adresse IP relevée. Dans une ordonnance de référé du 10 août 2016, le tribunal a estimé que même si la société en question avait déposé plainte, cela ne lui donnait pas le droit d’obtenir directement la communication de ces informations. Selon son interprétation de L. 34-1 du code des postes et des communications électroniques, il appartenait aux seules autorités judiciaires chargées de la poursuite des infractions de les demander, le juge des référés ne pouvant se substituer à elles. Par ailleurs, il a jugé que la collecte de cette adresse IP, considérée comme une donnée personnelle, aurait dû faire l’objet d’une autorisation préalable de la Cnil, en tant que traitement portant sur des données relatives à des infractions pénales. Si cette décision d’espèce bien motivée devait être confirmée, elle serait de nature à rendre plus difficile l’identification des auteurs d’infractions en ligne. A noter qu’une ordonnance du TGI de Paris avait adopté une position très différente dans une décision relative à Bouygues Télécom.

Dans cette affaire, la société France Sécurité avait préparé une proposition commerciale pour Airbus Helicopters, dans la perspective du renouvellement d’un marché privé. A cette occasion, elle avait reçu un email d’une personne se présentant comme employée d’Airbus afin qu’on lui transmette le fichier relatif à la proposition commerciale. Suspectant une démarche frauduleuse de cet interlocuteur qui ne lui fournissait pas des informations précises et qui avait une adresse email Gmail, France Sécurité a contacté Airbus qui lui a confirmé que la personne était bien employée de l’entreprise mais qu’elle n’était pas l’auteur de cet échange d’emails suspects. France Sécurité a donc déposé plainte contre X pour usurpation d’identité. Elle avait par ailleurs identifié l’adresse IP de l’expéditeur des courriels ainsi que le FAI hôte Numericable. Elle avait fait constater par un huissier le contenu des emails échangés ainsi que les démarches pour déterminer l’adresse IP et le FAI. Suite à ces opérations, France Sécurité a fait assigner Numericable devant le juge des référés du TGI de Meaux, au visa de l’article 145 du code de procédure civile, pour qu’il communique les données d’identification correspondant à l’adresse IP en cause.

Si le tribunal a considéré que France Sécurité poursuivait un motif légitime à établir la preuve d’un fait dont pourrait dépendre la solution d’un litige, il a estimé que la mesure sollicitée n’était pas conforme à loi. Sur l’adresse IP en tant que telle, le TGI part du principe qu’il s‘agit d’une donnée à caractère personnel, celle-ci pouvant identifier indirectement l’auteur de la correspondance. Il considère ensuite que la collecte de cette donnée, « suite des investigations techniques réalisées à l’aide d’un logiciel spécifique », constitue bien un traitement au sens de la loi Informatique et libertés. Le 8 septembre 2015, la Cour de cassation avait considéré qu’un traitement pouvait être constitué d’une seule donnée. Selon le TGI de Meaux, le traitement en cause aurait dû faire l’objet d’une autorisation de la Cnil, en vertu des articles 9-4 et 25-1-3 de cette loi, dans la mesure où il s’agit de l’adresse IP de l’auteur présumé d’infractions pénales. Par ailleurs concernant les données de trafic, le tribunal a considéré que l’article 6 de la LCEN n’était pas applicable à Numericable car ce dernier ne peut être mis en cause en qualité de « personne dont l’activité est d’offrir un accès à des services de communication au public » en relation avec « la création d’un contenu en ligne ». Enfin, le tribunal s’appuie sur l’article L. 34-1 du code du CPCE qui impose l’effacement ou l’anonymat des données de trafic par les opérateurs mais qui prévoit la possibilité de différer d’un an l’application de cette obligation notamment pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Selon lui, « seule l’autorité judiciaire ou la haute autorité visée par le texte précité sont alors autorisées à se faire communiquer les données personnelles conservées, à titre exceptionnel, par l’opérateur. »