Avec l’essor d’Internet et du « tout numérique », les comportements portant atteinte aux droits des individus ainsi que les cyberattaques se sont multipliés. L’anonymisation et la pseudonymisation sur Internet permettent une certaine impunité des personnes malveillantes.
Ainsi, il est fréquent que lors d’intrusions dans des systèmes de traitement automatisé de données (ou STAD), de vols de données, de diffamation ou de cyberharcèlement, l’identité de l’individu malfaisant ne soit pas connue.
Un des outils judiciaires pour identifier l’auteur de ces comportements est la requête dite « aux fins d’identification » sur le fondement de l’article 6 de la Loi n°2004-575 du 21 juin 2004 pour la Confiance dans l’Economie Numérique (ci-après la LCEN).
Une responsabilité allégée mais des obligations pour les prestataires techniques
Les prestataires techniques de l’Internet, à savoir notamment les opérateurs de communication et les opérateurs de stockage, jouissent d’une responsabilité dite « allégée ».
Selon l’article L.32-3-3 du Code des postes et des communications électroniques, les opérateurs de communication (fournisseurs d’accès à Internet et opérateurs assurant la transmission de contenus) ne peuvent voir leur responsabilité civile ou pénale engagée que dans trois hypothèses :
- s’ils sont à l’origine de la transmission litigieuse ;
- s’ils sélectionnent le destinataire de la transmission ;
- s’ils sélectionnent ou modifient les contenus.
Parallèlement, selon l’article 6-I.2 et .3 de la LCEN, les opérateurs de stockage (les hébergeurs essentiellement) ne peuvent pas voir leur responsabilité civile engagée :
- s’ils n’avaient pas connaissance du caractère illicite du contenu ; ou
- s’ils ont agi promptement pour le retrait du contenu après en avoir eu connaissance.
Toutefois, des obligations pèsent sur ces opérateurs et notamment sur les fournisseurs d’accès à Internet et sur les hébergeurs. Ils doivent, d’une part, informer les utilisateurs (article 6-I.7 LCEN), et d’autre part, détenir et conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire » (article 6-II LCEN).
Découle de cette obligation de conservation des données d’identification, une possibilité pour l’autorité judiciaire de demander la communication de ces informations à ces prestataires. En effet, « l’autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 (les opérateurs de stockage) ou, à défaut, à toute personne mentionnée au 1 (les opérateurs de communications électroniques), toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne » (article 6-I.8 LCEN) et elle peut ainsi « requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données » de nature à permettre l’identification de quiconque a contribué à la création d’un contenu (article 6-II LCEN).
La requête : une procédure spécifique et encadrée
Selon l’article 493 du Code de procédure civile, « l’ordonnance sur requête est une décision provisoire rendue non-contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse ».
Sur le fondement de l’article 6 de la LCEN, si l’absence de contradictoire – principe directeur de la procédure civile[1] – est motivée, le premier Président du Tribunal compétent rend une ordonnance sur requête aux fins d’identification du contrevenant. Le plus souvent cette identification sera demandée lorsque la personne physique ne peut pas être identifiée, et que seul un pseudonyme ou une adresse IP ont pu être relevés par le requérant.
La requête aux fins d’identification : une procédure efficace mais pouvant être contrariée par le refus du juge saisi de faire droit à la demande ou par la contestation de la décision par le prestataire
L’absence de contradictoire allant à l’encontre des principes directeurs de la procédure civile, le Tribunal peut décider de ne pas donner droit à la requête aux fins d’identification, notamment s’il estime la requête insuffisamment motivée. Par ailleurs, l’adresse IP étant une donnée à caractère personnel, les Tribunaux ont pu refuser d’ordonner l’identification au motif de l’absence de réalisation des formalités auprès de la Cnil (TGI Meaux, ordonnance de référé du 10 août 2016). Toutefois, les formalités auprès de la Cnil n’étant plus nécessaires, dans la plupart des cas, depuis l’entrée en vigueur du Règlement 2016/679 du 27 avril 2016 sur la protection des données (dit RGPD), la qualification de données à caractère personnel de l’adresse IP ne devrait plus être bloquante pour des demandes aux fins d’identification.
De plus, l’opérateur de communication ou de stockage peut introduire un recours, dit référé rétractation, qui permet de rétablir le contradictoire. Ce recours doit être déposé devant le Président du Tribunal saisi par le requérant et, s’il est accepté par la juridiction, permet à l’opérateur de refuser de procéder à l’identification de l’individu et oblige le requérant à assigner l’opérateur selon une procédure contradictoire.
La requête, première étape de lutte contre les comportements repréhensibles
Cette requête sur le fondement de l’article 6 de la LCEN vise seulement à permettre l’identification du contrevenant. Toutefois, pour obtenir la cessation des comportements litigieux, d’autres démarches devront accompagner ou suivre cette requête.
En effet, une fois le contrevenant identifié, d’autres mesures, en fonction des faits d’espèce, sont envisageables et notamment :
- la collecte de preuves supplémentaires, notamment par le biais de mesures d’instructions in futurum (article 145 du Code de procédure civile) visant à conserver ou établir des preuves avant tout procès ;
- une action judiciaire devant les tribunaux civils ;
- le dépôt d’une plainte pénale.
Un enjeu d’actualité
Une bonne défense consiste d’abord à bien connaître son adversaire. L’anonymat constitue donc un frein à la défense des droits de la victime et à la cessation des actes litigieux, qui dans des cas de harcèlement notamment, peuvent être source d’une grande souffrance.
La levée de l’anonymat sur Internet est un thème d’actualité, puisque c’est un des volets de la proposition de loi visant à lutter contre la haine sur Internet déposée le mercredi 20 mars 2019 en première lecture à l’Assemblée nationale et renvoyée à la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République. Des débats à suivre de près…
[1] Article 16 du Code de procédure civile : « Le juge doit, en toutes circonstances, faire observer et observer lui-même le principe de la contradiction. Il ne peut retenir, dans sa décision, les moyens, les explications et les documents invoqués ou produits par les parties que si celles-ci ont été à même d’en débattre contradictoirement. Il ne peut fonder sa décision sur les moyens de droit qu’il a relevés d’office sans avoir au préalable invité les parties à présenter leurs observations. »
Par AGIL’IT – Pôle IT, Télécoms & Data protection
Sylvie JONAS, Avocate associée
Morgane BOURMAULT, Avocate