Village de la Justice www.village-justice.com

Focus sur la législation invocable en matière de communication de données d’identification. Par Romain Darriere, Avocat et Henri de Charon, Juriste.
Parution : jeudi 4 avril 2019
Adresse de l'article original :
https://www.village-justice.com/articles/fondement-juridique-une-demande-communication-donnees-aupres-operateur,31126.html
Reproduction interdite sans autorisation de l'auteur.

Selon le rapport annuel 2017 de l’ONDPR , les forces de l’ordre ont enregistré en 2016 pas moins de 9 481 plaintes pour des infractions liées à la diffusion de contenus illicites sur internet.
Si en règle générale, l’identification de ces contenus illicites est une tâche relativement aisée, il n’en va pas de même pour l’identification de leurs auteurs en raison de l’anonymat qui prédomine sur la toile.
Cet anonymat ne peut être levé qu’avec le concours des opérateurs du web. Toutefois, avant d’espérer obtenir les données d’identification relatives à l’auteur d’un contenu illicite auprès d’un opérateur, il faut nécessairement s’en remettre à l’autorité judiciaire.

Au travers de cet article, certes quelque peu technique, nous nous proposons de faire un point sur la législation invocable en matière de communication de données d’identification.

En pratique, il convient de soutenir une requête en communication de données auprès d’un juge afin que celui-ci ordonne à l’opérateur concerné de fournir les données d’identification en sa possession concernant l’auteur du contenu illicite.

Il est donc primordial de bien motiver sa demande, en usant des fondements juridiques adéquats. Pour cela, il faut au préalable identifier précisément la nature du contenu litigieux ainsi que le statut de l’opérateur concerné, étant entendu que ces facteurs impacteront nécessairement le choix du fondement juridique à invoquer.

Cette entreprise nous conduit nécessairement à l’analyse des deux sources juridiques fondamentales en la matière, à savoir les dispositions de la Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite « LCEN » (I) et les dispositions du Code des Postes et des Communications Electroniques (II).

I. L’application de principe de la Loi sur la confiance dans l’économie numérique (LCEN) en matière de communication de données d’identification.

A. Définition des prestataires techniques au sens de la LCEN.

L’article 6-I de la Loi pour la confiance dans l’économie numérique distingue et définit deux catégories d’opérateurs de communications électroniques, à savoir les fournisseurs d’accès à internet (FAI) et les hébergeurs.

L’article 6-I-1 de la LCEN définit les fournisseurs d’accès comme étant « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ».

Quant aux hébergeurs, ils sont définis à l’article 6-I-2 de la LCEN comme étant les « personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

Les FAI et les hébergeurs sont tous deux des « prestataires techniques » selon la LCEN.

B. Détention, conservation et communication des données d’identification par les prestataires techniques.

Concernant les obligations principales mises à la charge des prestataires techniques, l’article 6-II de la LCEN conjugué à l’article 3 du décret d’application de cette loi obligent les FAI et les hébergeurs à détenir et conserver pendant « un an » les données « de nature à permettre l’identification » d’un créateur de contenu ayant utilisé leurs services et à communiquer ces données sur requête de l’autorité judiciaire.

Ainsi, la LCEN impose à ces prestataires une obligation de collecte, de conservation et de communication des données d’identification concernant les utilisateurs de leurs services qui sont à l’origine d’une création de contenu, et ce pendant un an à partir de la mise en ligne, de la modification ou de la suppression dudit contenu.

Par conséquent et en principe, il conviendra d’invoquer ensemble les articles 6-I et 6-II de la LCEN afin d’obtenir la communication des données litigieuses auprès de ces prestataires.

Toutefois, en ce qui concerne les hébergeurs de contenus, l’article 6-I-2 introduit une nuance subtile. En effet, le texte n’envisage alors que les contenus mis à disposition du public « par des services de communication au public en ligne ».

Or, selon l’article 1er de la LCEN, « on entend par communication au public en ligne toute transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur ».

Dès lors, les articles 6-I et 6-II ne peuvent pas être invoqués dans le cadre d’une requête en communication de données portant sur des contenus qui n’ont pas été publiquement mis en ligne, comme c’est le cas pour les contenus transmis par messagerie électronique.

Aussi, lorsqu’il est question d’identifier l’auteur d’une correspondance de nature privée, il convient de rechercher la collaboration des éditeurs de services de messagerie sur le fondement des dispositions du Code des Postes et des Communications Electroniques (CPCE).

II. L’application des dispositions du Code des Postes et de Communications Electroniques (CPCE) dans le cas des correspondances de nature privée.

A. Indifférence de l’article L.34-1 du CPCE quant au caractère « public » ou « privé » des contenus.

L’article L.34-1 du Code des postes et de communications électroniques est un fondement méconnu de la législation concernant la communication des données d’identification.

Pourtant, cet article a pour objet de régir « le traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques » et vise de façon très générale les « opérateurs de communications électroniques », lesquels englobent notamment les éditeurs de services de messagerie électronique.

En effet, l’article L.34-1 du CPCE ne fait pas référence à la notion de « services de communication au public en ligne ».

Par conséquent, rien ne s’oppose à ce que les gestionnaires de messagerie électronique soient soumis aux dispositions de l’article L.34-1 du CPCE.

Bien au contraire, il apparaît que cet article est le seul fondement juridique mis à la disposition de toute personne cherchant à obtenir, auprès d’un éditeur de messagerie, des informations sur l’auteur d’un email litigieux.

Ainsi, les données concernant des contenus de nature « privée » (emails ou messages privés), et notamment les données relatives aux auteurs de ces contenus, doivent faire l’objet d’une requête en communication de données auprès des éditeurs de services de messagerie électronique sur le fondement spécifique de l’article L.34-1 du CPCE.

B. Similitudes entre l’article L.34-1 du CPCE et les dispositions de la LCEN.

Tout comme la LCEN, l’article L.34-1 impose aux opérateurs de communication électronique la même obligation de détention, de conservation et de communication des données d’identification pendant un an, mais dans des hypothèses plus restreintes.

En effet, en vertu de cet article, les opérateurs de communications électroniques sont tenus d’effacer ou d’anonymiser « toute donnée relative au trafic », sauf si l’un des trois fondements suivants est invoqué :
- la recherche, la constatation et la poursuite des infractions pénales ;
- la contrefaçon de droits d’auteur ;
- la prévention des atteintes aux systèmes de traitement automatisé de données.

Toutefois, si les hypothèses de transmission des données sont plus restreintes, les données en elles-mêmes sont peu ou prou les mêmes que celles prévues par le décret d’application de la LCEN . En effet, l’article L.34-1 évoque « toute donnée relative au trafic ».

Or, l’article R10-13 du CPCE précise qu’il s’agit :
- des informations permettant d’identifier l’utilisateur ;
- des données relatives aux équipements terminaux de communication utilisés ;
- des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
- des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
- des données permettant d’identifier le ou les destinataires de la communication.

Toutefois, et cette précision a son importance en pratique, l’article L.34-1 du CPCE ne peut-être invoqué que sur la base des trois fondements listés ci-avant - infraction pénale, contrefaçon, atteinte à un STAD - et ne peut dès lors être utilisé si le contenu litigieux est une correspondance privée dont le contenu relève d’un délit civil, comme c’est le cas du dénigrement ou d’actes de concurrence déloyale.

Par conséquent, si l’article L.34-1 du CPCE permet de requérir auprès des éditeurs de services de messagerie la communication de données d’identification relatives à des contenus échangés de manière non-publique, ce que ne permet pas la LCEN, les hypothèses permettant d’invoquer cet article sont quant à elles plus limitées.

III. Exemples concrets.

Afin de bien comprendre tout l’intérêt pratique de la distinction que nous venons d’évoquer, nous nous proposons de résoudre une série de cas pratique susceptibles de faire l’objet d’une requête en communication de données.

A. Cas n°1

Une entreprise a reçu un email provenant d’une adresse Gmail inconnue et contenant des propos dénigrants à l’encontre des produits et services qu’elle propose. Celle-ci souhaite connaître l’identité de la personne à l’origine de ce courriel. Est-ce possible ?

Ici, il s’agit de solliciter de la part de la société Google LLC, éditeur du service de messagerie Gmail, la communication des données d’identification du titulaire du compte litigieux.

Puisque le contenu n’a pas été transmis par le biais d’un service « de communication au public en ligne », un email étant par principe une correspondance privée, les dispositions de la LCEN sont inapplicables en l’espèce. Il convient donc, en principe, d’invoquer l’article L.34-1 du CPCE afin d’obtenir la communication des données relatives à l’auteur du contenu litigieux.

Cependant, le fondement juridique qui sert de base à la demande, à savoir le dénigrement (prévu et réprimé à l’article 1240 du Code civil), est un délit civil qui n’entre pas dans les exceptions prévues par l’article L.34-1 du CPCE.

Par conséquent, l’entreprise ne pourra pas requérir la communication des données relatives à l’auteur du courriel litigieux.

B. Cas n° 2

Une jeune femme fait l’objet d’une virulente compagne de cyberharcèlement par un inconnu sur « Instagram Direct », la messagerie privée du réseau social Instagram. Peut-elle obtenir la communication des données relatives à l’auteur de ces faits ?

Ici, il s’agit d’obtenir de la part de la société Facebook Ireland Ltd. - propriétaire d’Instagram depuis 2012 - la communication des données d’identification relatives au titulaire du compte Instagram utilisé pour harceler la jeune femme.

Là-encore, les messages litigieux n’ont pas été transmis à l’aide d’un service « de communication au public en ligne » puisque ces messages relèvent de la correspondance privée. Les dispositions de la LCEN sont donc inapplicables. En revanche, l’article L.34-1 du CPCE peut quant à lui être invoqué à l’appui de la requête en communication des données.

En effet, le fondement juridique qui sert alors de base à la demande est l’infraction pénale de cyberharcèlement (prévue et réprimée à l’article 222-33-2 du Code pénal). Or, l’infraction de cyberharcèlement étant un délit de nature pénale, les exceptions prévues par l’article L.34-1 du CPCE peuvent être mises en œuvre.

La société Facebook est donc légalement tenue de transmettre les données liées au compte Instagram qui a été utilisé pour commettre les faits de cyberharcèlement.

C. Cas n°3

Un homme politique fait l’objet de propos diffamatoires publiés sur le fil d’actualité public du réseau social Twitter par un individu utilisant un pseudonyme. Peut-il obtenir la communication des données d’identification relatives à cet individu ?

En l’espèce, il convient de solliciter auprès de la société Twitter Inc., hébergeur du compte Twitter litigieux, les données d’identification dudit compte.

Dès lors que les propos en cause ont fait l’objet d’une « mise à disposition du public » par le biais d’un service « de communication au public en ligne », les articles 6-I et 6-II de la LCEN sont susceptibles d’être invoqués à l’appui de la requête en communication.

La société Twitter Inc. est donc légalement tenue de transmettre les éléments d’identification du compte litigieux.

Romain Darriere Avocat au Barreau de Paris [->www.romain-darriere.fr] Henri de Charon Juriste