Le Président du TGI de Paris a tenu à rappeler dans une ordonnance daté du 30 janvier 2013 l’obligation qu’ont les fournisseurs d’accès à internet (FAI) de fournir, à la demande du juge, les informations nominatives qu’elles détiennent sur les internautes du fait de leur abonnement.  En l’espèce, la société Publicis Webformance, qui assure la gestion de noms de domaine pour le compte de clients, a recours aux services du bureau d’enregistrement Gandi, en tant que prestataire technique. Cette société de gestion constate que des demandes suspectes sont initiées à son insu, via le compte qu’elle possède chez Gandi. Ces intrusions permettent à leur auteur de transférer des noms de domaine et de modifier les contacts administratifs associés au compte.

La société Publicis Webformance saisit le Président du Tribunal de grande instance de Paris, afin qu’il enjoigne à Gandi de communiquer les journaux et données de connexion du compte pour la période où les faits ont été constatés. Le bureau d’enregistrement transmet donc l’adresse IP correspondante, attribuée à Bouygues Télécom. Le juge des requêtes ordonne à ce FAI de communiquer les données permettant d’identifier la personne à qui cette adresse a été attribuée.

Après un délai de trois mois, Bouygues Télécom assigne en rétractation afin de faire annuler l’ordonnance rendue sur requête de Publicis Webformance. Bouygues argue de l’impossibilité légale et réglementaire de communiquer les données d’identification de la personne recherchée, au motif que :

–          « l’article L 34-1 du code des postes et des communications électroniques ne lui permet de communiquer les données d’identification qu’exclusivement pour les besoins de la recherche, la constatation et la poursuite d’infractions pénales ; que les dispositions de la directive n° 2002/58/CE du 12 juillet 2002 ne permettent la communication des données à caractère personnel “que dans un cas de sauvegarde de la sécurité nationale, de défense et de sécurité publique ou de prévention, recherche, détection et poursuite d’infractions pénales ou d’utilisation non autorisé du système électronique“ ; que la société Publicis Webformance n’a pas obtenu d’autorisation de la Cnil pour la réception des données dont elle sollicite communication ; qu’elle ne peut donc déférer à l’ordonnance du 15 mai 2012 sans violer les dispositions de la loi informatique et libertés et s’exposer, en sa qualité de personne morale à une sanction pénale. »

Le juge va décider que les FAI sont des intermédiaires techniques qui bénéficient d’un régime de responsabilité atténué depuis l’entrée en vigueur de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), dont l’article 6-II prévoit  : «L’autorité judiciaire peut requérir communication, auprès des fournisseurs d’accès et d’hébergement, des données de nature à permettre l’identification de quiconque a contribué à la création d’un contenu répréhensible sur internet» ; et que cette communication des données n’est pas limitée aux infractions pénales puisque la LCEN prévoit une obligation de communication plus large.

Le Juge des requêtes va ainsi conclure:  « Le législateur français, ainsi que la législation européenne le lui permettait, a souhaité trouver un équilibre en conférant à l’opérateur une responsabilité atténuée et sollicitant en contrepartie sa collaboration pour la conservation de données qu’il est dans l’obligation de produire sur injonction d’une “autorité judiciaire” quel qu’elle soit, civile ou pénale. »

Lasociété Bouygues Télécom se voit donc condamnée à  indemniser à Publicis Webformance du préjudice subi en raison de son refus abusif d’exécuter l’ordonnance et du caractère tardif de l’assignation en référé-rétractation.

Cette décision vient rappeler aux FAI que les obligations de conservation de données  et de production de celles-ci sur injonction d’une autorité judiciaire, civile ou pénale.

Nous contacter