L’identification des titulaires d’adresses IP suspectés de contrefaçon suppose une collecte d’informations personnelles conforme au RGPD

Le dispositif d’encadrement des données personnelles, désormais connu comme régime « RGPD », doit être respecté pour pouvoir demander une mesure d’instruction ordonnant au fournisseur d’accès internet de révéler l’identification des titulaires d’adresses IP ayant servi à un acte de contrefaçons.

La société de production de droit canadien, Mile High Distribution Inc., souhaitant obtenir les données d’identification concernant les adresses IP qui auraient été utilisées pour télécharger illicitement des films lui appartenant, a sollicité en justice leur communication par l’opérateur de télécom et fournisseur d’accès Orange.

Cette mesure in futurum, mesure destinée à constituer la preuve en vue d’un litige, lui est refusée.

La question de la légalité de la collecte et du traitement des données

Suspectant des téléchargements illicites de ses films, la société de production a mandaté une société de droit allemand, Media Protector, aux fins de captation de données personnelles dont les adresses IP ayant procédé au téléchargement, la date et l’heure des téléchargements et le nom du fournisseur d’accès à Internet concerné. C’est ainsi que 895 adresses IP ont été collectées entre novembre 2017 et décembre 2018.

Avec ces éléments de fait, la société obtient une requête ordonnant à la société Orange de conserver les informations utiles à l’identification des personnes titulaires de ces adresses IP. La société Mile High Distribution fait alors citer en urgence la société Orange, en référé, afin d’obtenir communication de ces informations.

Pour s’y opposer, l’opérateur télécom conteste la légalité de la collecte et du traitement des données au vu de « la réglementation « informatique et libertés » tant dans sa version antérieure que postérieure à la mise en application en France le 25 mai 2018 du règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ».

Plus précisément, Orange considère que « la société Mile High Distribution INC ne démontre pas :

  • avoir désigné un représentant sur le territoire de l’Union européenne
  • tenir à jour un registre des traitements qu’elle met en œuvre
  • avoir désigné un délégué à la protection des données
  • avoir respecté les règles relatives à la sécurité et la confidentialité des données, conformément aux engagements pris dans le cadre de la déclaration de conformité à l’autorisation unique n°46 de la CNIL souscrite le 21 septembre 2017 et relative à la mise en œuvre d’un traitement ayant pour finalité la gestion de contentieux dans les secteurs privés et publics
  • avoir encadré le transfert de données en dehors de l’Union européenne induit par la collecte d’adresses IP en France. »

Que dit le TGI de Paris ?

Le Tribunal de Grande Instance de Paris, dans son ordonnance de référé du 2 août 2019, fait droit à cette position en défense en jugeant que n’était pas rapportée la preuve de la licéité de la collecte des données par la société Media Protector.

En conséquence, le juge des référés écarte l’application de l’article 145 du code de procédure civile qui permet d’ordonner des mesures in futurum de sauvegarde de la preuve. Le demandeur a sans doute, en l’espèce, « un motif légitime de conserver ou d’établir… la preuve de faits dont pourrait dépendre la solution » du litige. Mais la non-conformité RGPD de la collecte d’information initiale neutralise l’article 145, s’opposant à ce que « les mesures d’instruction légalement admissibles (soient) ordonnées ».

L’illicéité de la collecte de données rend inadmissible légalement l’identification des personnes « derrière » ces données.

  • La société Mile High Distribution ne peut donc pas obtenir d’injonction de communication des informations concernant les adresses IP.

Avouons que le raisonnement n’est pas convaincant, d’abord parce que l’enquête effectuée par la société n’a précisément pas permis d’identifier des personnes : c’était justement l’objet de la mesure demandée en justice.

L’affaire est à suivre, d’autant plus que le RGPD n’a pas été conçu pour entraver la poursuite d’actes illicites, en l’espèce des actes de contrefaçons (téléchargement non autorisé de films). Il est piquant à cet égard de voir Orange au secours des contrevenants… sur le terrain de la protection des données personnelles !

Photo d'Arnaud Raynouard
Arnaud Raynouard

Professeur des Universités à l’Université Paris-Dauphine, Arnaud Raynouard anime le Comité Scientifique Juridique du cabinet d’avocats Taj. Agrégé en droit privé et sciences criminelles, et diplômé en gestion, Arnaud Raynouard […]

elsa chetrit
Elsa Chetrit

Elsa est avocate au sein du département Digital & Innovation. Elle rejoint le cabinet Taj en 2018. Elle conseille des clients nationaux et multinationaux en droit des nouvelles technologies et […]