Nature des données permettant d’identifier les auteurs d’actes frauduleux sur Internet et obligations des intermédiaires techniques

Par deux ordonnances rendues en ce début d’année, les juges parisiens ont donné une interprétation large aux textes imposant la collaboration des acteurs du numérique (fournisseurs d’accès, hébergeurs) à l’identification des auteurs d’actes illicites sur Internet.

En effet, d’une part, le Président du Tribunal de Grande Instance de Paris a considéré que ces opérateurs devaient communiquer les données demandées dans tout type de procédure judiciaire, civile ou pénale (TGI Ord. 30 janv. 2013). D’autre part, le Président du Tribunal de commerce de Paris a quant à lui jugé que l’identité et les coordonnées du titulaire d’un compte sur internet faisait partie des données dont la communication pouvait être imposée (T. Com. Ord. ref. 1er févr. 2013).

Dans l’affaire qui a fait l’objet de l’ordonnance du 30 janvier 2013, Bouygues Telecom, fournisseur d’accès à Internet, refusait de communiquer l’identité d’une personne dont l’adresse IP avait été identifiée comme étant à l’origine de l’accès illicite au compte d’une société sur une plateforme d’enregistrement de noms de domaines (Registrar). Lors de ces accès illicites, des transferts frauduleux de noms de domaines avaient été réalisés.

La victime du piratage demande alors en référé la communication des données permettant d’identifier la personne à laquelle cette adresse IP a été attribuée.

L’ordonnance du 1er février 2013 concerne également l’accès illicite à un compte Internet. En l’espèce, le titulaire d’un compte GOOGLE ADSENSE (plateforme permettant aux éditeurs de sites Internet de mettre en place des espaces publicitaires qu’ils louent afin de générer des revenus), constate la présence de publicités indésirables sur les sites Internet qu’il édite.

Il réalise que le titulaire d’un autre compte parvient à placer ces publicités depuis son propre compte Il demande alors au juge des référés d’enjoindre GOOGLE de lui communiquer l’identité complète du titulaire de ce compte ADSENSE, ainsi que ses coordonnées bancaires, le montant des versements, et les correspondances entre Google et la société à l’origine des piratages.

En donnant droit aux demandeurs, les magistrats ont montré leur volonté de rendre plus efficace la communication de données permettant d’identifier les auteurs d’actes illicites sur Internet.

Dans la première affaire, le fournisseur d’accès invoquait l’article L34-1 du Code des postes et des télécommunications qui impose la conservation de ces données que pour les besoins de « la poursuite des infractions pénales », alors que l’article 6, II de la LCEN prévoit plus généralement leur communication aux autorités judiciaires, sans autre précision.

Interprétant ces deux dispositions à la lumière de la directive « vie privée et communications électroniques » (directive CE 2002/58 du 12 juillet 2000), le Juge des référés de Paris estime que les opérateurs du numérique sont tenus de collaborer avec l’autorité judiciaire « quelle qu’elle soit, civile ou pénale ».

Dans la seconde affaire, il s’agissait de connaître les données susceptibles d’être communiquées à l’autorité judiciaire afin de déterminer l’auteur de l’accès illicite à un compte Internet.

Classiquement, c’est avant tout l’adresse IP, avec laquelle on peut déterminer l’appareil à l’origine de la connexion, qui fait l’objet d’une communication forcée. En l’espèce, le Président du Tribunal de commerce de Paris ordonne à Google de communiquer non seulement l’identité complète du titulaire du compte ADSENSE à l’origine du piratage, mais également ses coordonnées bancaires, le montant des sommes versées à son profit et une copie des correspondances entre GOOGLE et l’auteur des faits illicites.

Cette décision élargit donc substantiellement la nature des données susceptibles d’être communiquées par les intermédiaires de l’Internet concernant leurs clients auteurs d’actes illégaux.

Ces deux décisions, qui ont donc pour effet d’accroître le domaine de la communication forcée de pièces par les hébergeurs et les fournisseurs d’accès à Internet se justifie, selon le Président du Tribunal de Grande Instance de Paris, par l’atténuation de responsabilité que leurs garantissent les normes européennes (directive 2000/31 CE dite « commerce électronique ») et françaises (LCEN). Il s’agit, en d’autres termes, de la contrepartie au régime favorable de responsabilité dont ils jouissent.