Les pirates sont des personnes concernées comme les autres – Le RGPD à l’abordage !

novembre 1st, 2019 | Posted by Claude-Etienne Armingaud in Données Personnelles

Retour sur l’ordonnance de référé du Tribunal de grande instance de Paris du 2 août 2019 rendue dans le contentieux ayant opposé la société Mile High Distribution à la société Orange S.A. Que faut-il en retenir ?

TGI Paris, réf., 2 août 2019

Si, et notamment depuis la publication du Règlement Général sur la Protection des Données nº 2016/679 (« RGPD »), la vie privée occupe toujours une place prépondérante, le considérant 4 du RGPD relativise la portée de ce texte : « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Ainsi, la protection des données personnelles continue-elle d’être mesurée à ces autres droits fondamentaux, et notamment la liberté d’expression et la liberté d’entreprise.

Par une ordonnance du 2 août 2019 (« l’Ordonnance »), le Tribunal de grande instance (« TGI ») de Paris a dû mettre en balance cette même protection des données à caractère personnel avec la lutte contre la contrefaçon et, en particulier, dans le cadre de données relatives à des infractions et leur transfert en dehors de l’Union européenne (« UE »). Finalement, le Tribunal a tranché en faveur de la vie privée des pirates, au détriment des auteurs et de leurs ayants droit.

I. – RAPPEL DES FAITS

Mile High Distribution (« MHD »), une société de droit canadien, se présente comme productrice d’œuvres audiovisuelles. Elle les commercialise sur différents supports, tels que des DVDs ou des téléchargements en ligne payants.

Ayant constaté la présence de ses œuvres sur des plateformes d’échange de fichiers et de téléchargement illégal, MHD a fait appel à une société de droit allemand, Media Protector, afin que celle-ci collecte des données en lien avec les téléchargements qu’elle estimait illicites. Ces données comprennent notamment l’adresse IP à l’origine du téléchargement, les date et heure du téléchargement ainsi que le nom des fournisseurs d’accès à Internet (« FAI ») auxquels se rattachent les adresses IP. Une liste de 895 adresses IP, à l’origine selon MHD d’opérations de téléchargements massifs constitutifs de contrefaçon, a ainsi été établie, entre novembre 2017 et décembre 2018.

La société Orange S.A. (« Orange ») a été identifiée comme l’un des FAI ayant permis l’accès par l’un de ses abonnés aux contenus distribués en ligne. Par ordonnance du 8 avril 2019, le juge des requêtes du TGI de Paris a ordonné à Orange de conserver les données en l’attente d’une décision au fond.

Par acte d’huissier en date du 11 mars 2019, MHD a donc cité Orange en urgence devant le juge des référés afin d’obtenir les informations utiles permettant d’identifier les titulaires des adresses IP collectées par la société Media Protector.

Orange a, pour sa part, refusé de s’exécuter et demandé la rétractation de l’ordonnance. Elle estimait, en effet, que la collecte des adresses IP était illégale, dans la mesure où MHD n’avait pas versé suffisamment d’éléments au débat pour justifier de la licéité d’une telle collecte.

L’Ordonnance a donné raison à Orange et déboute ainsi la société canadienne de ses demandes. Le TGI de Paris a notamment considéré que le RGPD était applicable à la collecte des adresses IP, et que MHD en était le responsable du traitement.

Elle confirme, par certains aspects, des jurisprudences établies, et apporte des précisions complémentaires sur des notions encore floues du RGPD.

II. – L’ADRESSE IP EST UNE DONNÉE À CARACTÈRE PERSONNEL

Cette information n’est pas nouvelle. Déjà, en 2011, la Cour de Justice de l’Union Européenne (« CJUE ») avait considéré que les adresses IP des utilisateurs d’Internet constituaient des données protégées à caractère personnel, dans la mesure où elles permettaient l’identification précise des utilisateurs (CJUE, 24 nov.2011, Scarlet Extended, C-70/10).

Il s’agissait alors de l’hypothèse dans laquelle la collecte et l’identification des adresses IP des utilisateurs d’Internet seraient effectuées par les FAI auxquels ces utilisateurs étaient abonnés.

En 2016, la CJUE a étendu cette hypothèse au cas de figure où un fournisseur de services tiers (en l’espèce, la République fédérale d’Allemagne) enregistrait les adresses IP d’utilisateurs d’un site Internet que ce fournisseur rendait accessible au public, sans disposer d’informations supplémentaires nécessaires à l’identification des utilisateurs. Une difficulté supplémentaire s’ajoutait ici, dans la mesure où il s’agissait d’adresses IP dites « dynamiques », c’est-à-dire des identifiants provisoires attribués à chaque connexion Internet et remplacées lors de connexion ultérieures, et non d’adresses IP « statiques », invariables et permettant l’identification permanente du dispositif connecté au réseau.

Ainsi, une adresse IP dynamique, même associée à la date et l’heure de la session de consultation d’un site Internet, ne permettait pas, à elle-seule, d’identifier l’utilisateur qui aurait consulté un site Internet. En revanche, le FAI disposait quant à lui de ces informations supplémentaires qui, une fois combinées aux informations précitées, permettaient l’identification.

Une personne peut-elle être identifiable si les informations permettant l’identification sont détenues par deux entités différentes ?

La CJUE a répondu par l’affirmative à la juridiction allemande, en déterminant que la combinaison de l’adresse IP dynamique avec les informations supplémentaires détenues par le FAI constituait un moyen susceptible d’être « raisonnablement mis en œuvre ». Par conséquent, elle a pu estimer qu’une adresse IP dynamique était susceptible de constituer une donnée à caractère personnel lorsque le fournisseur de services disposait de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI de cette personne (CJUE, 19 oct. 2016, C-582/14).

L’adresse IP a donc été reconnue par la jurisprudence, de façon répétée, comme une donnée à caractère personnel. Le RGPD, dans son Considérant 30, a entériné cette position en affirmant que les « adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence […] peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reç