La société canadienne Mile High Distribution, producteur d’œuvres audiovisuelles qu’elle commercialise sur divers supports, notamment par DVD et par mise à disposition pour le téléchargement payant a constaté la présence de ses œuvres offertes au téléchargement sans son autorisation sur des plateformes d’échange de fichiers en ligne. Elle a mandaté la société Media Protector, société de droit allemand, afin de procéder à la captation sur internet d’un certain nombre de données de trafic en lien avec lesdits téléchargements tels que l’adresse IP utilisée lors du téléchargement, les date et heure du téléchargement, l’intitulé de l’œuvre téléchargée, le nom du fournisseur d’accès à internet auquel se rattache l’adresse IP identifiée.
Elle a ainsi constitué une liste de 895 adresses IP à l’origine d’opérations de téléchargement massif de ses œuvres, constitutives selon elle, d’actes de contrefaçon.
Par acte d’huissier du 11 mars 2019, la société Mile High Distribution a fait citer en urgence devant le juge des référés la société Orange aux fins d’obtenir communication des données d’identification des personnes listées à ce stade par leur adresse IP.
Par ordonnance du 8 avril 2019, le juge des requêtes du tribunal de grande instance de Paris a ordonné à la société Orange de conserver les informations utiles à l’identification des personnes titulaires d’adresse IP, dans l’attente de la décision commentée ici.
La société Orange avançait que la mesure d’identification sollicitée ne pouvait être légalement admissible car la société Mile High Distribution INC ne justifiait pas de la légalité de la collecte des adresses IP des contrefacteurs présumés.
La société Mile High Distribution entendait justifier de cette légalité et en particulier de celle relative au logiciel utilisé pour la collecte des adresses IP, en produisant un certificat de coutume d’un conseil allemand ainsi que la déclaration de conformité effectuée auprès de la CNIL.
Elle ajoutait ne pas recevoir directement de données personnelles concernant les personnes ayant téléchargé ses œuvres et que son prestataire, la société de droit allemand Media Protector, collectait les adresses IP en parfaite conformité avec la réglementation applicable en matière de protection des données.
Elle considérait enfin qu’elle ne procédait à aucune opération informatique de profilage, de sorte qu’elle ne serait par conséquent pas tenue de respecter les dispositions du RGPD applicables en France depuis mai 2018.
La société Mile High Distribution n’a toutefois pas convaincu le juge.
Il a d’abord estimé que même en l’absence de toute opération de profilage, dès lors qu’il y a collecte et traitement de données personnelles relatives au suivi du comportement de personnes sur le territoire de l’Union européenne, les règles du RGPD doivent s’appliquer.
Aux termes des articles 27, 30, 37 du RGPD, il incombe à un responsable de traitement établi en dehors de l’Union européenne, tel que la société Mile High Distribution INC, de désigner un représentant en Europe. De même, il lui appartient de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement de données objet du présent litige.
Une telle collecte, à grande échelle, de données relatives à des infractions au sens de l’article 10 du RGPD nécessite de désigner un délégué à la protection des données ce dont la demanderesse ne justifiait pas.
La société Mile High Distribution ne justifiait pas d’avantage, selon le juge, que les données personnelles collectées étaient protégées contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité), la déclaration de conformité auprès de la CNIL n’étant pas en soi suffisante à démontrer le caractère licite du traitement de données personnelles mis en œuvre.
Il en est de même de l’attestation relative à une déclaration d’avocats allemands concernant la société allemande Media Protector. Sur ce point, et de manière plus générale, le juge a considéré que les éléments produits par la demanderesse attestant, selon elle, du respect par la société allemande partenaire des règles applicables en matière de protection des données étaient insuffisants à démontrer le respect desdites règles par la société Mile High Distribution elle-même.
Le juge estime donc que la société Mile High Distribution échoue à démontrer le caractère licite du traitement de données à caractère personnel d’adresses IP qu’elle a mis en œuvre, au regard des dispositions applicables issues tant de la loi du 6 janvier 1978 modifiée applicable avant le 25 mai 2018 que du RGPD.
L’opération de collecte massive d’adresses IP étant le support de la demande de communication formulée par la société Mile High Distribution dans le cadre de l’instance, l’absence de caractère licite du traitement constitue un empêchement légitime à l’application des dispositions de l’article 145 du code de procédure civile, sauf à porter une atteinte illégitime et disproportionnée aux droits et libertés fondamentales d’autrui, en l’espèce le droit à la protection des données à caractère personnel des individus dont les adresses IP ont été collectées.
S’agissant des règles applicables en matière de droit d’auteur, elles passent totalement au second plan, le juge se limitant à relever en termes laconiques, que les éléments produits par la société demanderesse apparaissent insuffisants à démontrer l’existence précise de chacune des œuvres litigieuses, ni de la titularité des droits d’exploitation invoqués sur ces œuvres.
La société Mile High Distribution est donc déboutée de sa demande de communication.
La société Orange sollicitait quant à elle la rétractation de l’ordonnance sur requête rendue par le juge du tribunal de grande instance de Paris l’intimant de conserver les informations utiles à l’identification des personnes titulaires d’adresse IP dans l’attente de la décision commentée, essentiellement au motif que les informations permettant l’identification d’un utilisateur ne peuvent être conservées par un opérateur de communication électronique plus d’un an après leur enregistrement et seulement à des fins spécifiques, l’ordonnance l’obligeant ainsi à conserver des données pour une durée supérieure au délai légal.
Logiquement, le tribunal se déclare incompétent pour connaître de la demande, le recours en rétractation d’une ordonnance sur requête relevant de la compétence exclusive du juge ayant précédemment statué, la formule indiquant qu’il agit sur délégation du président de la juridiction étant à cet égard inopérante.
Cette ordonnance est une illustration intéressante, pour ne pas dire préoccupante de la difficulté croissante pour les titulaires de droits de propriété intellectuelle d’obtenir les preuves nécessaires à la défense de leurs droits.
Les règles du RGPD, si l’on peut d’un côté saluer leurs vertus, font néanmoins partie des nouveaux obstacles de nature à rallonger les délais de procédure et à décourager les titulaires de droits, tant ils peuvent craindre de voir remettre en cause, non pas seulement l’existence de la contrefaçon, mais en amont, la régularité de la preuve de son existence.
Le rallongement de la procédure pénalise ici aussi la société Orange qui va devoir retourner devant le juge de l’ordonnance sur requête. Entretemps, peut-être que la demanderesse aura apporté, devant la cour d’appel, les justificatifs demandés ?
On s’interroge alors : et si la société canadienne avait obtenu par ordonnance l’autorisation de procéder à la collecte des données, quitte à indiquer dans la requête les moyens mis en œuvre pour garantir que cette collecte et la conservation des informations respectent les exigences légales ? Cela aurait-il suffit ? La société canadienne aurait-elle eu suffisamment d’éléments de nature à permettre au juge des requêtes d’apprécier sa demande au regard des règles posées par l’article 145 voire des dispositions du CPI sur la saisie-contrefaçon ? Aurait-elle été en mesure d’apporter les éléments de preuve raisonnablement accessibles ? Comment aurait-elle justifié de la compétence territoriale du juge français ?
Une seule chose est sûre : sans outils de preuve rapide et bien préparés de la conformité au RGPD en amont, la collecte des éléments de la contrefaçon en ligne s’avère périlleuse.
Discussions en cours :
Il me semblait que seule la société TMG était autorisée à relever des adresse ip francaise dans le cadre de telechargement illicites.
Cela par le biais d agents assermentés.
Je suis étonné qu une entreprise située à l etranger puisse le faire. Quelles garanties offre t elle en matière de sécurité et d exactitude des relevés ?
Très bonne analyse !