password-704252_1920-1

Statuant en référé le 10 août dernier, les juges du tribunal de grande instance (TGI) de Meaux ont débouté la demande d’une société souhaitant identifier l’auteur d’emails frauduleux à partir de son adresse IP auprès du fournisseur d’accès à internet (FAI).

En l’espèce, dans le cadre d’échanges commerciaux, la société France Sécurité a suspecté une usurpation d’identité à la suite de la réception d’un email douteux, ne provenant pas d’une messagerie interne de l’entreprise avec laquelle elle échangeait. Après avoir porté plainte, et identifié l’adresse IP de l’expéditeur des emails ainsi que son FAI hôte, France Sécurité a assigné le FAI pour obtenir la communication des données d’identification affiliées à ladite adresse IP en application de l’article 145 du Code de procédure civile.

L’article, invoqué par la demanderesse, dispose que « s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. » En l’espèce, le tribunal a considéré que la demanderesse était effectivement légitime à établir la preuve d’un fait.Cependant, et comme l’invoquait le défendeur, le juge des référés a considéré que la mesure sollicitée était illicite. Deux points ont été abordés par le juge pour justifier du rejet de la demande.

D’abord, le juge considère que l’identification de l’auteur par son adresse IP est illégale. En effet, selon le juge, en application de l’article 2 de la loi informatique et liberté, l’adresse IP collectée est une donnée à caractère personnel, puisqu’elle vise à identifier indirectement l’auteur de la correspondance. Par ailleurs, le juge considère que la demanderesse a opéré un traitement de cette donnée personnelle, car elle a mené des investigations techniques à l’aide d’un logiciel spécifique pour collecter cette adresse IP. Par conséquent, la demanderesse aurait dû préalablement demander l’autorisation de la CNIL pour réaliser ce traitement, ce qu’elle n’a pas fait. La mesure sollicitée n’était  donc pas admissible.

Par ailleurs, la demanderesse n’avait pas qualité pour demander cette communication. En effet, les correspondances électroniques constituent des données relatives au trafic au sens du Code des postes et des communications électroniques (CPCE). Or, en vertu de l’article L. 34-1 du CPCE, ces données doivent être effacées ou anonymisées par le FAI, sauf quand certaines autorités judiciaires expressément visées par ce texte leur enjoint de différer l’effacement pour rechercher, constater ou poursuivre une infraction pénale, auquel cas le FAI doit les lui communiquer. En l’espèce, la demanderesse ne pouvait obtenir directement la communication de ces informations  dans le cadre d’une procédure en référé. Le juge des référés précise que seules les autorités judiciaires chargées de la poursuite de l’infraction peuvent demander ces informations.

Par cette ordonnance, le juge des référés a adopté une position opposée à celle qu’avait prise le juge des requêtes du TGI de Paris en 2013. Dans cette affaire, le FAI avait refusé de communiquer des données d’identification liées à l’adresse IP d’un utilisateur en invoquant les mêmes fondements. Le juge des requêtes avait alors considéré que la législation française ne prévoyait de responsabilité atténuée du FAI que dans la mesure où il devait, en contrepartie, coopérer avec les autorités en communiquant les données d’identification lors de la constatation et la poursuite d’infractions pénales.