Adresse IP : Numericable n’a pas à communiquer les données d’identification

Le TGI de Meaux a débouté l’entreprise qui voulait obtenir de Numericable les noms, prénoms, adresses et coordonnées complètes de l’auteur d’un email frauduleux à partir de son adresse IP.

Dans une ordonnance de référé du 10 août 2016 repérée par Legalis, le tribunal de grande instance de Meaux (Seine-et-Marne) a débouté l’entreprise qui voulait obtenir de Numericable les données d’identification correspondant à l’adresse IP de l’auteur présumé d’un email frauduleux.

Comment en est-on arrivé là ? En début d’année, la société France Sécurité a préparé une proposition commerciale à l’attention d’Airbus Helicopters dans le cadre d’un appel d’offres. Dans la foulée, le distributeur d’équipements de protection individuelle a reçu un courriel d’un individu se faisant passer pour un employé d’Airbus et lui demandant de transmettre par courriel le fichier contenant la proposition… Suspectant la fraude, France Sécurité a contacté Airbus. Le nom associé au courriel était bien celui d’un de ses employés, mais il n’était pas l’auteur des courriels en question.

Usurpation d’identité

Dans un premier temps, une plainte a été déposée contre X pour usurpation d’identité. Parallèlement, le département informatique de France Sécurité a identifié l’adresse IP de l’expéditeur du courriel (transmis via Gmail) ainsi que le FAI hôte, à savoir : Numericable. Un procès-verbal de constat d’huissier a été établi. Ensuite, le 28 juin 2016, France Sécurité a déposé plainte auprès du procureur de la République près le tribunal de grande instance de Nantes. Et le 8 juillet 2016, l’entreprise a fait assigner devant le juge des référés du TGI de Meaux le câblo-opérateur.  Le but : obtenir du tribunal qu’il ordonne au FAI de communiquer dans un délai de 48 heures les données d’identification correspondant à l’adresse IP en cause. Car, selon le demandeur, le câblo-opérateur est tenu de conserver les données permettant l’identification de son client et de déférer aux demandes de l’autorité judiciaire. Et ce en application de la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004. France Sécurité souhaitait également qu’une astreinte soit versée par Numericable en cas de dépassement de ce délai, en plus des frais irrépétibles…  Sans succès.

L’adresse IP, une donnée personnelle

Le juge est parti du principe que l’adresse IP est une donnée à caractère personnel. Par ailleurs, il a considéré que la collecte de cette donnée constitue un traitement au sens de la loi informatique et libertés. Une telle collecte aurait donc dû faire l’objet d’une autorisation de la Commission nationale informatique et libertés (Cnil) accordée à France Sécurité. Cela n’a pas été le cas. Par ailleurs, le juge considère que le cadre juridique applicable dans ce dossier ne peut pas être celui de la LCEN de 2004. Selon lui, Numericable n’est pas visé en tant que « personne dont l’activité est d’offrir un accès à des services de communication au public » en relation avec « la création d’un contenu » en ligne.

Résultat : le TGI de Meaux a débouté France Sécurité de toutes ses demandes. L’entreprise a été condamnée aux entiers dépens et au versement de 2 000 euros au titre des frais irrépétibles…

Notons qu’en janvier 2013, dans une autre affaire, le TGI De Paris avait adopté une approche bien différente. Il avait considéré que l’opérateur concerné (Bouygues Telecom) était dans l’obligation de communiquer les données d’identification d’une personne à laquelle est attribuée une adresse IP.

Lire aussi :

Protection des données : la Cnil tape sur les doigts de Numericable

Christophe Delaye prend la direction du SI de Numericable-SFR

crédit photo © Vladislav Kochelaevs – Fotolia.com