Obligation de communication de données personnelles, adresse IP et fournisseur d’accès à internet

L’identification d’une personne à partir de son adresse IP fait partie de ces problématiques relatives aux droits de la personnalité confrontés à l’internet. Si, en principe, l’utilisation d’internet n’implique pas forcément un relâchement des mécanismes de protection de la vie privée garantis par le droit, la lutte contre la cybercriminalité a, toutefois, créé certaines exceptions.

Plusieurs textes imposent ainsi une obligation de communication concernant les données personnelles d’internautes rattachées à une adresse IP et, notamment, à la charge des fournisseurs d’accès à internet (FAI) dans le cadre de la poursuite d’infractions. Les textes concernés relèvent de sources différentes (décret, lois codifiées et non codifiées), ce qui ne facilite pas la mise en œuvre de cette obligation de communication.

En tout état de cause, cette complexité juridique a autorisé Bouygues Télécom, dans une affaire qui l’oppose à Publicis Webformance, à agir en rétractation d’une ordonnance du tribunal de grande instance (TGI) de Paris, rendue le 15 mai 2012, lui ordonnant de communiquer des données en vue de l’identification de la personne à laquelle était attribuée une adresse IP. Or le TGI de Paris vient justement de rejeter cette demande en rétractation par une nouvelle ordonnance du 30 janvier 2013.

En l’espèce, à la suite d’une intrusion dans son système informatique, la société Publicis Webformance, dont l’activité est la gestion de noms de domaines pour le compte de ses clients, a, sur requête, obtenu du président du TGI de Paris, le 15 mai 2012, une ordonnance enjoignant à Bouygues Télécom la communication de données d’identification attachées à une adresse IP.

Cependant, Bouygues Télécom a contesté cette ordonnance par une assignation en référé-rétractation le 31 octobre 2012, comme le lui permettait l’article 496 du code de procédure civile. Il est ainsi demandé au président du TGI de « constater l’impossibilité légale et réglementaire pour Bouygues Télécom de déférer à l’ordonnance du 15 mai 2012 ». À l’appui de sa demande en rétractation de l’ordonnance du 15 mai 2012, Bouygues invoque principalement : la directive du 12 juillet 2002 « vie privée et communications électroniques », la loi informatique et libertés n° 78-17 du 6 janvier 1978, l’article 34-1 du code des postes et communications électroniques (CPCE) ainsi que la loi LCEN n° 2004-575 du 21 juin 2004.

D’après la société requérante, l’ensemble de ces textes lui fait défense de se conformer à l’ordonnance en cause et qu’elle ne pourrait y déférer sans violer les dispositions de la loi informatique et libertés et s’exposer de la sorte à une sanction pénale. Elle estime, en effet, que ces textes n’obligent un FAI à communiquer les données à caractère personnel d’un internaute qu’aux seules juridictions répressives. Ce qui n’est, de toute évidence, pas le cas de la chambre des requêtes du TGI de Paris.

Le TGI n’a pas été convaincu par les arguments développés par Bouygues Télécom et l’a, en conséquence, déboutée de sa demande de rétractation en la condamnant, par ailleurs, au paiement d’une provision de 3 000 € à valoir sur le préjudice subi. Ce faisant, le TGI a retenu une interprétation différente de celle de Bouygues Télécom concernant les textes relatifs à l’obligation pour les FAI de communiquer les données à caractère personnel en cas de réquisition par l’autorité judiciaire.

Bouygues Télécom concentre sa démonstration, dans un premier temps, sur l’article 34-1 du code des postes et communications électroniques. Cet article prévoit, selon elle, une obligation de communication à la charge des FAI mais uniquement « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Pour la requérante, c’est la chambre des requêtes qui a été saisie en l’occurrence et non pas une juridiction répressive. Par conséquent, il y a lieu de croire que l’objet du litige n’intéresse pas une infraction pénale mais une demande civile.

Pour contrer cette argumentation, la société Publicis Web rappelle que l’infraction visée, c’est-à-dire l’intrusion dans son système informatique, constitue l’infraction pénale visée à l’article 323-1 du code pénal relatif à l’accès frauduleux à un système automatisé de traitement de données. Cette remarque est subsidiaire, toutefois, car la société Publicis Web fait observer que l’article 34-1 du CPCE ne fait nullement obstacle à l’application de l’article 6-II de la loi du 21 juin 2004, lequel fait référence à l’« autorité judiciaire » sans distinguer entre les juridictions civiles et pénales.

Le TGI rappelle, dans son ordonnance du 30 janvier 2013, que la communication des données à la demande de l’autorité judiciaire n’est pas limitée aux infractions pénales visées à l’article 34-1 du CPCE. En effet, précise-t-il, l’obligation de communication souhaitée par le législateur est nécessairement plus large car elle est la contrepartie à la reconnaissance d’une responsabilité atténuée au profit des FAI en matière de contenus en ligne, conformément à l’article 6 de la loi LCEN. Ainsi, lorsque la loi LCEN prévoit à l’article 6 que « l’autorité judiciaire peut requérir communication auprès des prestataires des données mentionnées […] », le législateur n’a pas entendu limiter cette obligation de communication aux seules juridictions pénales.

Bouygues Télécom a également invoqué les dispositions 5 et 6 de la directive du 12 juillet 2002, « vie privée et communications électroniques », lesquelles ne prévoient d’obligation de communication des données à caractère personnel que dans les cas exceptionnels de sauvegarde de l’intérêt public et de poursuites d’infractions pénales.

Mais, pour écarter cette justification, le TGI relève que, par un système de renvoi, l’article 13 de cette directive prévoit également que « les États membres ont la possibilité de limiter les droits et obligations de protection des données à caractère personnel lorsque cela est nécessaire pour la protection des droits et libertés d’autrui ». En l’espèce, l’intrusion dans le système informatique de la société Publicis Web constitue bien une atteinte à ses droits, ce qui justifie donc la « limitation » de la protection des données à caractère personnel.

Bouygues Télécom faisait ensuite valoir, mais sans espoir, la violation des dispositions contenues dans le décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Ce décret a introduit un article R.10-13 dans le code des postes et communications électroniques et qui énonce les différentes données devant être conservées « pour les besoins de la recherche et de la poursuite des infractions pénales ». En invoquant ce texte, la société requérante visait probablement à accentuer le fait que l’obligation de communication ne s’applique qu’aux infractions pénales et qu’en l’espèce, la compétence de la chambre des requêtes pour traiter de la demande de Publicis Web démontre assez qu’il s’agit d’une demande ayant un caractère civil.

Le TGI n’a pas pris la peine de répondre à ce raisonnement. Il ne répond, d’ailleurs, pas plus à l’argumentation sur l’absence d’autorisation de la CNIL pour recevoir les informations sollicitées. Le TGI a, semble-t-il, volontairement évacué la question largement débattue en jurisprudence, celle de savoir si l’adresse IP constitue ou non une donnée à caractère personnel nécessitant l’autorisation de la CNIL pour y accéder.

En résumé, l’ordonnance du 30 janvier 2013 juge que l’obligation de communication mise à la charge des FAI par le législateur s’applique aussi bien aux juridictions civiles que pénales, car la raison d’être de l’article 6 II de la loi LCEN est de prévoir, en contrepartie d’une responsabilité atténuée, une obligation de communication étendue à la charge des FAI, permettant d’identifier les personnes à l’origine d’un contenu ou d’une transmission sur internet.

Antoine Chéron
Avocat au Barreau de Paris et de Bruxelles, ACBM avocats