Retour sur l’ordonnance de référé du Tribunal de grande instance de Paris du 2 août 2019 rendue dans le contentieux ayant opposé la société Mile High Distribution à la société Orange S.A. Que faut-il en retenir ?

TGI Paris, réf., 2 août 2019

Si, et notamment depuis la publication du Règlement Général sur la Protection des Données nº 2016/679 (« RGPD »), la vie privée occupe toujours une place prépondérante, le considérant 4 du RGPD relativise la portée de ce texte : « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Ainsi, la protection des données personnelles continue-elle d’être mesurée à ces autres droits fondamentaux, et notamment la liberté d’expression et la liberté d’entreprise.

Par une ordonnance du 2 août 2019 (« l’Ordonnance »), le Tribunal de grande instance (« TGI ») de Paris a dû mettre en balance cette même protection des données à caractère personnel avec la lutte contre la contrefaçon et, en particulier, dans le cadre de données relatives à des infractions et leur transfert en dehors de l’Union européenne (« UE »). Finalement, le Tribunal a tranché en faveur de la vie privée des pirates, au détriment des auteurs et de leurs ayants droit.

I. – RAPPEL DES FAITS

Mile High Distribution (« MHD »), une société de droit canadien, se présente comme productrice d’œuvres audiovisuelles. Elle les commercialise sur différents supports, tels que des DVDs ou des téléchargements en ligne payants.

Ayant constaté la présence de ses œuvres sur des plateformes d’échange de fichiers et de téléchargement illégal, MHD a fait appel à une société de droit allemand, Media Protector, afin que celle-ci collecte des données en lien avec les téléchargements qu’elle estimait illicites. Ces données comprennent notamment l’adresse IP à l’origine du téléchargement, les date et heure du téléchargement ainsi que le nom des fournisseurs d’accès à Internet (« FAI ») auxquels se rattachent les adresses IP. Une liste de 895 adresses IP, à l’origine selon MHD d’opérations de téléchargements massifs constitutifs de contrefaçon, a ainsi été établie, entre novembre 2017 et décembre 2018.

La société Orange S.A. (« Orange ») a été identifiée comme l’un des FAI ayant permis l’accès par l’un de ses abonnés aux contenus distribués en ligne. Par ordonnance du 8 avril 2019, le juge des requêtes du TGI de Paris a ordonné à Orange de conserver les données en l’attente d’une décision au fond.

Par acte d’huissier en date du 11 mars 2019, MHD a donc cité Orange en urgence devant le juge des référés afin d’obtenir les informations utiles permettant d’identifier les titulaires des adresses IP collectées par la société Media Protector.

Orange a, pour sa part, refusé de s’exécuter et demandé la rétractation de l’ordonnance. Elle estimait, en effet, que la collecte des adresses IP était illégale, dans la mesure où MHD n’avait pas versé suffisamment d’éléments au débat pour justifier de la licéité d’une telle collecte.

L’Ordonnance a donné raison à Orange et déboute ainsi la société canadienne de ses demandes. Le TGI de Paris a notamment considéré que le RGPD était applicable à la collecte des adresses IP, et que MHD en était le responsable du traitement.

Elle confirme, par certains aspects, des jurisprudences établies, et apporte des précisions complémentaires sur des notions encore floues du RGPD.

II. – L’ADRESSE IP EST UNE DONNÉE À CARACTÈRE PERSONNEL

Cette information n’est pas nouvelle. Déjà, en 2011, la Cour de Justice de l’Union Européenne (« CJUE ») avait considéré que les adresses IP des utilisateurs d’Internet constituaient des données protégées à caractère personnel, dans la mesure où elles permettaient l’identification précise des utilisateurs (CJUE, 24 nov.2011, Scarlet Extended, C-70/10).

Il s’agissait alors de l’hypothèse dans laquelle la collecte et l’identification des adresses IP des utilisateurs d’Internet seraient effectuées par les FAI auxquels ces utilisateurs étaient abonnés.

En 2016, la CJUE a étendu cette hypothèse au cas de figure où un fournisseur de services tiers (en l’espèce, la République fédérale d’Allemagne) enregistrait les adresses IP d’utilisateurs d’un site Internet que ce fournisseur rendait accessible au public, sans disposer d’informations supplémentaires nécessaires à l’identification des utilisateurs. Une difficulté supplémentaire s’ajoutait ici, dans la mesure où il s’agissait d’adresses IP dites « dynamiques », c’est-à-dire des identifiants provisoires attribués à chaque connexion Internet et remplacées lors de connexion ultérieures, et non d’adresses IP « statiques », invariables et permettant l’identification permanente du dispositif connecté au réseau.

Ainsi, une adresse IP dynamique, même associée à la date et l’heure de la session de consultation d’un site Internet, ne permettait pas, à elle-seule, d’identifier l’utilisateur qui aurait consulté un site Internet. En revanche, le FAI disposait quant à lui de ces informations supplémentaires qui, une fois combinées aux informations précitées, permettaient l’identification.

Une personne peut-elle être identifiable si les informations permettant l’identification sont détenues par deux entités différentes ?

La CJUE a répondu par l’affirmative à la juridiction allemande, en déterminant que la combinaison de l’adresse IP dynamique avec les informations supplémentaires détenues par le FAI constituait un moyen susceptible d’être « raisonnablement mis en œuvre ». Par conséquent, elle a pu estimer qu’une adresse IP dynamique était susceptible de constituer une donnée à caractère personnel lorsque le fournisseur de services disposait de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI de cette personne (CJUE, 19 oct. 2016, C-582/14).

L’adresse IP a donc été reconnue par la jurisprudence, de façon répétée, comme une donnée à caractère personnel. Le RGPD, dans son Considérant 30, a entériné cette position en affirmant que les « adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence […] peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».

III. – UNE CONFUSION DANS LES CRITÈRES D’APPLICABILITÉ : DONNÉES D’INFRACTION, SUIVI DU COMPORTEMENT ET PROFILAGE

Dans l’affaire visée dans l’Ordonnance, les données concernées étaient non seulement des adresses IP, mais surtout des adresses IP soupçonnées d’être à l’origine de téléchargements illégaux.

Ces données entrent ainsi dans le cadre des données d’infraction, identifiées par le RGPD comme des données « relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » (Article 10 RGPD).

Si les données d’infraction ne constituent pas des données dites « sensibles » (dont la liste limitative figure à l’Article 9), elles font cependant l’objet de restrictions spécifiques. En effet, le traitement de données d’infraction « ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État Membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ».

Sur ce point, la loi « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi nº 2018-493 du 20 juin 2018 relative à la protection des données personnelles (la « LIL »), souligne que les données d’infraction peuvent être traitées par les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités.

Ainsi, le simple fait de traiter ces données n’est pas, en soi, illicite.

En revanche, et ainsi que le confirme le TGI de Paris, la collecte d’adresses IP soupçonnées d’être à l’origine de téléchargements illégaux constitue un traitement de données à caractère personnel relatif au suivi du comportement de personnes sur le territoire de l’Union Européenne.

Le TGI de Paris a écarté, sur ce point, les arguments de MHD, qui estimait que le RGPD ne saurait s’appliquer dans la mesure où elle ne procède à aucun profilage.

Le profilage est défini à l’Article 4 RGPD comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Dans ses lignes directrices du 3 octobre 2017, modifiées le 6 février 2018, le G29 (devenu depuis le Comité Européen de la Protection des Données, ou « CEPD »), précise trois critères qui permettent de caractériser le profilage :

• il doit s’agir d’une forme de traitement automatisé (mais pas nécessairement exclusivement automatisé) ;
• il doit être effectué sur des données personnelles ;
• son objectif doit être d’évaluer les aspects personnels d’une personne physique (par exemple, leur capacité à effectuer une tâche ou leur comportement probable).

Il serait difficile de nier que la collecte d’adresses IP effectuée par MHD n’entrait pas dans ces critères et, ainsi, ne constituait pas un profilage. Cependant, en invoquant l’absence de profilage pour tenter de s’affranchir des règles du RGPD, la société canadienne tentait d’opérer un mélange entre les conditions d’applicabilité du RGPD et les obligations spécifiques qui incombent à un responsable de traitement dans le cadre de certains traitements faisant peser des risques particuliers sur les droits des personnes concernées.

En résumé, il faut rappeler que tout suivi du comportement ne constitue pas du profilage. Et qu’en tout état de cause, le profilage ne figure pas parmi les critères déterminant l’application du RGPD. Ainsi que le rappelle le TGI de Paris, l’Article 3 RGPD, consacré à son application territoriale, se contente d’évoquer le suivi du comportement des personnes concernées.

C’est donc sans surprise que le TGI a conclu à l’applicabilité du RGPD dans le cadre de l’espèce.

IV. – RESPONSABILITÉ DU RESPONSABLE DU TRAITEMENT : QUELLES OBLIGATIONS ?

Une fois établi que le RGPD s’applique à une telle collecte, à quoi était tenue la société canadienne ?

Le TGI de Paris a considéré que MHD avait agi en qualité de responsable du traitement, dans la mesure où elle avait déterminé la finalité de la collecte de données.

Il souligne, sur ce point, que la société allemande a procédé à la collecte uniquement sur les directives et pour le compte de MHD, ce qui caractérise un sous-traitant au regard du RGPD. Ainsi, les pièces communiquées au soutien de la conformité de Media Protector au RGPD, bien que nécessaires, ne pouvaient suffire. En effet, il n’est pas suffisant que le sous-traitant soit conforme au RGPD : encore faut-il que son responsable de traitement, destinataire des données et surtout, initiateur du traitement, le soit également.

En sa qualité de responsable du traitement situé en dehors de l’UE, MHD se devait en premier lieu de désigner un représentant sur le sol européen, ainsi que le prévoit l’Article 27 RGPD. Ce représentant a pour rôle d’agir comme point de contact pour les autorités de contrôle ou les personnes concernées, en plus ou à la place du responsable de traitement, pour toute question relative au traitement.

Outre cette obligation de représentation (par trop méconnue de l’ensemble des acteurs étrangers soumis au RGPD), MHD aurait dû également être en mesure de communiquer un registre de traitement, dans lequel elle aurait, elle-même ou par son représentant, documenté les traitements effectués sous sa responsabilité, et notamment, les finalités du traitement, les catégories de personnes concernées et de données traitées, les durées de conservation prévus, les catégories de destinataires auxquels les données personnelles seront communiquées, ainsi que tout transfert de données hors de l’UE et les garanties mises en place. Cette obligation fixée à l’Article 30 RGPD demeure en effet applicable, sauf à démontrer que quatre critères cumulatifs s’appliquent : (i) l’entreprise visée compte moins de 250 employés, (ii) le traitement visé n’est pas susceptible de comporter un risque pour les droits et des libertés des personnes concernées, (iii) le traitement visé est occasionnel et (iv) le traitement visé ne porte pas sur des données sensibles ou relatives à des condamnations pénales et à des infractions visées à l’Article 10 RGPD.

En périphérie du sujet, il importe de souligner que le TGI a estimé que le traitement de 895 adresses IP constituait un traitement à grande échelle. Cette information a deux impacts : elle peut, d’une part, rendre obligatoire la désignation d’un délégué à la protection des données (plus communément connu sous son acronyme anglais, « DPO ») et, d’autre part, déclencher la nécessité de mener une étude d’impact préalable au traitement considéré.

Cet apport est intéressant, dans la mesure où la lettre du RGPD ne donnait que peu d’informations permettant de déterminer un palier, se contentant de définir les traitements à grande échelle comme des traitements « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l’état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu’à d’autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d’exercer leurs droits » (Considérant 91 RGPD).

De leur côté, les lignes directrices concernant les délégués à la protection des données¹⁾Lignes directrices concernant les délégués à la protection des données (DPD) du G291 6/FR, WP 243 rev.01, adoptées le 13 décembre 2016 et … Continue reading indiquent que, pour déterminer si un traitement est à grande échelle, il faut tenir compte :

• du nombre de personnes concernées (en valeur absolue ou en valeur relative par rapport à la population concernée).
• des catégories de données traitées (leur volume et/ou leur nature).
• de la durée ou de la permanence des activités du traitement.
• de l’étendue géographique des activités du traitement.

Cependant, elles ne fournissent aucune information précise sur le nombre ou la nature des données traitées ou la zone géographique que doit concerner le fichier, pas plus que sur la durée des activités de traitement.

La décision du TGI nous fournit ainsi un exemple de traitement de données à grande échelle, qui cumulé à la qualification de données d’infraction, imposait in fine la désignation d’un DPO.

Or, MHD n’a produit aucun élément permettant de considérer qu’elle se serait conformée aux obligations précitées. Au titre du principe de responsabilisation (« accountability framework »), introduit par le RGPD, la conformité intrinsèque n’est rien si elle ne peut être démontrée.

V. – LE CARACTÈRE LICITE DE LA COLLECTE : LE PRÉALABLE NÉCESSAIRE À UN TRANSFERT LICITE

Ainsi que prévu par les articles 44 RGPD et suivants, il est possible de transférer des données hors de l’Union Européenne dès lors que leur niveau de sécurité est garanti. La sécurité est considérée comme assurée dans plusieurs cas de figure, et notamment dans le cadre d’une décision d’adéquation rendue par la Commission Européenne. À ce jour, un nombre limité de pays (dont le Canada) ont fait l’objet d’une telle décision, qui reconnaît que le pays en question présente des garanties suffisantes.

Pourtant, si le Canada bénéficie bien d’une telle reconnaissance d’adéquation²⁾Décision de la Commission du 20 décembre 200122 002/2/CE constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, … Continue reading, elle n’est pour l’heure que partielle, et concerne uniquement les traitements réalisés dans le cadre d’activités commerciales, dans le cadre de l’application de la loi canadienne de protection des données, la loi PIPEDA (ou LPRPDE dans sa version francophone).

La loi PIPEDA s’applique, plus spécifiquement, aux entreprises privées canadiennes, qui collectent, utilisent ou communiquent des données personnelles dans le cadre de leurs activités commerciales (paragraphe 4 (1 a) PIPEDA).

Les activités commerciales sont définies comme « toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds » (paragraphe 2(1) PIPEDA).

Et en l’espèce, la collecte d’adresses IP, en vue de faire respecter le droit d’auteur, ne revêt pas ce caractère commercial nécessaire.

Ainsi, comme tous les transferts de données personnelles vers le Canada non couverts par la décision d’adéquation, le transfert mis en œuvre par MHD aurait nécessité d’être encadré par des outils de transfert tels que des clauses contractuelles types³⁾Décision de la Commission du 27 décembre 20042 2 004/915/CE modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un … Continue reading. Pourtant, ces dernières n’ayant pas encore été révisées pour prendre en compte le RGPD, il n’existe pas de modèle pertinent pour les transferts depuis un sous-traitant établi dans l’UE vers son responsable du traitement établi à l’étranger… Peut-être un débat pour un autre jour !

CONCLUSION

Par cette Ordonnance, la justice française envoie un signal tout aussi fort que pédagogue aux entreprises qui ne présenteraient pas de garanties suffisantes en terme de protection des données à caractère personnel, notamment lorsqu’elles ne sont pas établies sur le territoire européen. Au regard des intérêts hétérogènes des industries culturelles face à la contrefaçon en ligne, le développement d’un code de conduite, à l’instar de ceux récemment validés en Italie dans l’industrie du crédit, pourrait être une voie à suivre pour éviter que ne se multiplient les pavillons noirs sur les océans numériques…

Première publication : Revue Lamy Droit de l’Immatériel, Nº 164, 1er novembre 2019, avec Violaine Sélosse, avec l’aimble autorisation de Lionel Costes

Cité par :

• JurisClasseur Communication – Fasc. 932-10 : DONNÉES À CARACTÈRE PERSONNEL. – Principes fondamentaux relatifs aux traitements de données à caractère personnel. – Loyauté, licéité et transparence, Romain Perray – Avocat associé – McDermott Will & Emery AARPI – Chargé d’enseignement à l’université de Paris I – Panthéon-Sorbonne, à l’université de Paris II – Panthéon-Assas, à l’université de Paris V – Paris-Descartes