Brèves juridiques

Obtention des données d’identification et référé de l’article 145 du code de procédure civile : on ne peut pas (plus) tout avoir !

By 10 octobre 2024 No Comments

Cour d’appel de Paris, Pôle 1 Chambre 3, arrêt du 10 septembre 2024

L’obtention des données d’identification auprès des plateformes est une question épineuse dont le régime juridique mouvant nous préoccupe depuis quelques temps déjà.

Ce sujet a d’ailleurs fait l’objet de plusieurs news droit de la presse et réseaux sociaux[1].

Avec cet arrêt du 10 septembre 2024, la Cour d’appel de Paris rappelle la possibilité de solliciter les données d’identification au juge civil et réaffirme l’état du droit positif quant à la catégorie de données susceptibles d’être demandées aux plateformes.

M.X, maire d’une commune depuis plusieurs années, découvrait l’existence de quatre comptes Facebook créés courant mars 2023, usurpant son identité en utilisant ses nom et prénom, ainsi que l’image de son profil et celle de couverture de son compte, à savoir une photographie officielle sur laquelle il porte l’écharpe tricolore de maire et une autre photographie le représentant accompagné de son équipe municipale.

Les quatre comptes avaient depuis été supprimés pour le premier peu avant l’acte d’assignation, pour les autres peu après celui-ci, puis au cours de la procédure.

Le 17 mai 2023, M. X assignait en effet la société Meta en référé afin que lui soit communiquées les données, et notamment l’adresse IP lui permettant d’identifier les titulaires des comptes Facebook, sur le fondement de l’article 145 du code de procédure civile.

Le 5 septembre 2023, le juge des référés du tribunal judiciaire de Paris déboutait M. X. de l’intégralité de ses demandes et le condamnait aux dépens.

Le 9 octobre 2023, M.X. interjetait appel de cette décision et sollicitait qu’il soit ordonné à Meta la communication des données visées aux articles 2 à 6 du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

L’arrêt rendu par la Cour d’appel de Paris le 10 septembre 2024 permet de faire point sur le type de données dont il est toujours possible de solliciter la communication sur le fondement de l’article 145 du code de procédure civile.

  • Premièrement, les données d’identification peuvent être sollicitées au juge civil sur le fondement de l’article 145 du Code de procédure civile

La Cour d’appel de Paris a jugé à deux reprises, qu’une action en référé sur le fondement de l’article 145 du code de procédure civile aux fins d’obtenir la communication de données d’identification, ne peut être engagée que dans la perspective d’une future action pénale (CA Paris, 18 février 2022, n° 20/13824 ; CA Paris, 27 avril 2022, n° 21/14958).

Nous avions évoqué ces décisions lorsque nous avions commenté un jugement rendu par la 17ème chambre correctionnelle du Tribunal judiciaire de Paris.

L’arrêt de la Cour d’appel de Paris du 10 septembre 2024 s’inscrit dans le prolongement de ces décisions et rappelle qu’il est toujours de la compétence du juge des référés de demander la communication de données d’identification devant le juge civil :

« Aux termes de l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. »

La Cour d’appel de Paris explique de manière explicite que la nouvelle rédaction de l’article 6 de la LCEN ne retire pas d’attribution au juge des référés, sur le fondement de l’article 145 du code de procédure civile.

Les pouvoirs dont bénéficie le juge civil dans ce domaine ont pu être questionnés. Tel n’est plus le cas désormais.

Après une analyse de l’ensemble des pièces apportées par M. X, la Cour d’appel estime que les faits dénoncés sont susceptibles de revêtir la qualification d’usurpation d’identité, ce qui rend légitime la recherche de la preuve de l’identité des personnes derrière ces comptes :

« En l’état, ces faits sont susceptibles de recevoir la qualification d’usurpation d’identité au sens de l’article 226-4-1 du code pénal. Il existe donc un procès potentiel entre M. X. et la ou les personnes ayant ouvert ces comptes litigieux, qui n’est pas manifestement voué à l’échec, rendant légitime la recherche de la preuve de l’identité de cette ou ces personnes. 

La demande de communication des éléments d’identification du ou des créateurs des comptes litigieux, qui n’apparaît pas, dans son principe, disproportionnée, sera accueillie.

L’ordonnance sera infirmée de ce chef. »

  • Deuxièmement, les données techniques utilisées pour procéder à une connexion et celles relatives aux équipements terminaux utilisés ne peuvent être sollicitées que pour la lutte contre la criminalité et la délinquance grave, ce qui n’est pas le cas en l’espèce, s’agissant de faits d’usurpation d’identité

L’arrêt de la Cour d’appel de Paris insiste sur la distinction entre, d’une part, les données relatives à l’identité civile de l’utilisateur ainsi que celles fournies par celui-ci lors de la souscription du contrat et, d’autre part, les données techniques permettant d’identifier la source de la connexion et les équipements terminaux utilisés.

Ces dernières données ne peuvent être conservées que pour les besoins de la lutte contre la criminalité et la délinquance grave :

« il ressort[2] que les hébergeurs ne sont tenus de conserver, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les autres informations fournies par lui lors de la souscription du contrat ou de la création du compte ainsi que les informations relatives au paiement – les premières pendant cinq ans, les secondes pendant un an -, à l’exclusion des données techniques permettant d’identifier la source de la connexion et de celles relatives aux équipements terminaux utilisés.

En effet, ces dernières données ne peuvent être conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d’un an. »

M. X. sollicitait la communication de données d’identification des auteurs de comptes Facebook pour les besoins d’une procédure pénale, celui-ci souhaitant poursuivre le ou les personnes ayant créé lesdits comptes pour des faits d’usurpation d’identité, délit défini et réprimé par les dispositions de l’article 226- 4-1 du code pénal.

La Cour, après avoir rappelé les dispositions de cet article, juge que M. X :

« n’agit donc pas pour « les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale » visés au 3° de l’article L. 34-1 précité du code des postes et communications électroniques. »

Cela a pour conséquence de limiter considérablement les données qui peuvent être sollicitées par M. X auprès de Meta en particulier en ce qui concerne les données techniques (telles que l’adresse IP) utilisées pour procéder à une connexion et celles relatives aux équipements terminaux utilisés.

Mais cela n’empêche pas la Cour d’appel de Paris d’ordonner la communication de certaines informations qui ne sont pas des données techniques mais d’identité civile.

L’arrêt infirme ainsi l’ordonnance querellée et estime nécessaire et proportionnée d’ordonner à Meta la communication des données suivantes :

« les noms et prénoms ou la raison sociale du titulaire du compte,
l’adresse postale associée ;
la date de naissance ;
les pseudonymes utilisés ;
les adresses de courrier électronique ou de comptes associés ;
les numéros de téléphone. »

L’arrêt d’appel confirme donc qu’il n’est pas impossible d’obtenir, en agissant en référé sur le fondement de l’article 145 du code de procédure civile, des données d’identification. Toutefois, et cela est désormais bien acquis, dès lors que l’action engagée est sans lien avec la lutte contre la criminalité et la délinquance grave, le juge ne peut enjoindre la communication des données techniques.

Si la sollicitation des données d’identité civile est toujours envisageable, sous réserve de satisfaire aux conditions de recevabilité de l’action au titre de l’article 145 susmentionné, il demeure que la relative fiabilité des données d’identité civile renseignées lors de la création de comptes est de nature à rendre beaucoup plus aléatoire et difficile l’identification de la ou des personnes liées auxdits comptes.

[1] Obtenir les données d’identification ? Bien sûr, c’est toujours possible ! https://cabinetlombard.net/obtenir-les-donnees-didentification-bien-sur-cest-toujours-possible/; Le dénigrement d’une entreprise par de faux avis sur internet constitue un préjudice réparable sur le fondement de l’article 1240 du code civil https://cabinetlombard.net/news-droit-de-la-presse-reseaux-sociaux-le-denigrement-dune-entreprise-par-de-faux-avis-sur-internet-constitue-un-prejudice-reparable-sur-le-fondement-de-larticle-1240-du/

[2] Des dispositions des articles 6-I-2 et 6-II de la loi LCEN, du II bis, III et III bis de l’article L.34-1 du code des postes et des communications électroniques, et du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.