Vous êtes victime d’un internaute qui publie des éléments vous concernant de manière anonyme ?
Rassurez-vous, vous n’êtes pas démuni et vous pouvez obtenir la levée de son anonymat afin de l’identifier.
Il vous suffit de déposer auprès du Président du tribunal judiciaire une requête aux fins de communication des données de connexion par l’hébergeur des contenus litigieux (META, Google, Microsoft, Amazon, Apple, etc.).
Votre but : obtenir communication des données d’identification de l’internaute.
Quelle entité viser ?
Il faut viser l’entité en charge de l’hébergement, de l’exploitation et du contrôle des plateformes en
cause soit dans l’Union Européenne, soit au-delà de l’Union européenne.
Facebook / Meta
La société META PLATFORMS IRELAND LIMITED, société de droit irlandais, dont le siège social est situé Merrion Road, Dublin 4, D04 X2K5, Irlande, prise en la personne de son représentant légal domicilié en cette qualité audit siège
La société META PLATFORMS, INC., société constituée et existant en vertu des lois de l’Etat du Delaware (Etats-Unis) dont le siège social est situé à 1 Mela Way, Menlo Park, CA 94025, prise en la personne de son représen-tant légal domicilié en cette qualité audit siège,
Wikipédia
“Wikimedia Foundation, Inc., 1 Montgomery Street, Suite 1600, San Francisco, California 94104 USA”
Tous les sites Wikipédias sont hébergés par la Wikimedia Foundation, aux États-Unis. Il n’y a pas de « responsable pour la France ».
L’hébergeur
Assigner par exemple OVH en sa triple qualité d’hébergeur, de bureau d’enregistrement et d’opérateur téléphonique
La levée de l’anonymat via la procédure sur requête non contradictoire
Les étapes de l’obtention de l’ordonnance sur requête
- Mise en demeure à l’hébergeur de communiquer les données de connexion
- Requête non contradictoire auprès du Président du tribunal judiciaire pour obtenir les données de connexion sur le fondement de l’article 145 du code de procédure civile
- Ordonnance sur requête
- Signification de l’ordonnance sur requête à l’hébergeur
- Communication par l’hébergeur des données de connexion
Que faire si le juge refuse de me délivrer l’ordonnance ?
Il peut arriver que le Président du tribunal judiciaire refuse de vous accorder l’ordonnance sur requête au motif que la dérogation au principe du contradictoire n’est pas justifiée.
Il convient alors d’assigner en référé l’hébergeur.
La procédure devant le juge des référés
En dépit de l’ouverture de la procédure accélérée au fond, le juge des référés reste compétent pour obtenir les données d’identifications sur le fondement de l’article 145 du code de procédure civile (Tribunal judiciaire de Paris, 18 juillet 2023, n° 23/51184).
Sur la compétence du juge des référés et le fondement juridique (article 145 CPC)
Sur le fondement de l’article 145 du code de procédure civile et dans le respect des dispositions précitées qui déterminent les cas dans lesquels peuvent être prescrites les mesures sollicitées, s’agissant de demandes tendant à la communication de données conservées par les hébergeurs ou fournisseurs d’accès à internet, le juge saisi peut prescrire à toute personne susceptible de contribuer à un dommage occasionné par le contenu d’un service de communication au public en ligne de communiquer les données d’identification ayant servi à la diffusion des propos incriminés, à condition que ceux-ci soient pénalement répréhensibles si les faits devaient être considérés comme constitués et qu’une telle mesure soit légitime et proportionnée au but poursuivi. (Tribunal judiciaire de Paris, 31 janvier 2023, n° 22/58589).
Il sera rappelé que l’article 6 II de la LCEN (mise à jour par la loi n°2021-1109 du 24 août 2021) prévoit que, dans les conditions fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.
L’article L34-1 précité prévoit que les opérateurs de communications électroniques sont tenus de conserver :
“1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de
l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;
2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que
les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;
3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.”
La nature des données mentionnées ci-avant, comme la durée et les modalités de leur conservation, sont précisées par le décret n°2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu en ligne, pris en application de l’article 6- II sus mentionné. Ce texte précise en particulier, dans ses articles 2 à 5, les données mentionnées dans l’article L34-1 du code des postes et des communications électroniques, évoqué ci dessus (Article R10-13) :
- les informations prévues au 1° sont les suivantes : les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d’une personne morale ; la ou les adresses postales associées ; la ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ; le ou les numéros de téléphone.
- les informations prévues au 2° sont les suivantes : l’identifiant utilisé ; le ou les pseudonymes utilisés ; les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour, outre le type de paiement utilisé ; la référence du paiement ; le montant ; la date, l’heure et le lieu en cas de transaction physique.
- les informations prévues au 3° sont les suivantes, pour les hébergeurs : l’identifiant de la connexion à l’origine de la communication ; et les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.
Le plus souvent, ce sera l’infraction d’usurpation d’identité (article 226-4-1 du code pénal) qui sera utilisée pour justifier la mesure d’instruction.
Puis-je obtenir la suppression du compte en référé ?
NON.
L’ouverture d’une nouvelle et unique voie procédurale pour solliciter toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de
communication au public en ligne, en lieu et place de celle existante jusqu’alors, celle de la requête ou du référé, ne laisse pas de doute sur l’intention du législateur de fermer au justiciable cette dernière possibilité s’agissant des mesures de suppression de comptes en ligne.
Dans ces conditions, la demande de suppression de comptes en ligne, estimés occasionner un dommage, ne peut emprunter la voie du référé.
C’est pourquoi toute demande en référé aux fins de voir ordonner la suppression de comptes litigieux sera déclarée irrecevable.
Il convient de saisir le Président via la Procédure Accélérée au Fond (PAF).
Sur la compétence du président du tribunal judiciaire en procédure accélérée au fond (PAF)
Par un arrêt [CA Paris, pôle 1 ch. 2, 21 déc. 2023, n° 23/06581], il est désormais établi que le Président du tribunal judiciaire saisi en procédure accélérée au fond, sur le fondement des dispositions de l’article 6,I, 8 de la LCEN, est compétent pour prescrire les mesures propres à prévenir ou faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne – ce qui peut inclure, le cas échéant, la communication de données d’identification lorsque celle-ci s’avère nécessaire à la prévention ou à l’arrêt du dommage.
Cette compétence ddu Président en PAF est parallèle (et non exclusive) à celle du juge des référés saisi sur le fondement de l’article 145 CPC.
La saisine en PAF permet donc de demander au même juge les données d’identification ET le retrait des publications litigieuses.
Vais-je obtenir une astreinte ?
Le tribunal judiciaire de Paris juge qu’il n’y a pas lieu d’assortir l’obligation faite à l’hébergeur d’une quelconque astreinte, aucun élément ne permettant de considérer qu’il n’exécutera pas spontanément la présente ordonnance, qui constitue une décision judiciaire et non une sollicitation du demandeur.
Quelles données vais-je obtenir ? Quelles sont les données communicables ?
Voici les données et informations que vous pourrez obtenir en combinaison des articles L. 34-1 et R. 10-13 CPCE pour les besoins des procédures pénales :
- L’identité civile de l’utilisateur
- 1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale ;
- 2° La ou les adresses postales associées ;
- 3° Les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;
- 4° Les numéros de téléphone.
- les autres informations founies par l’utilisateur lors de la création du compte :
- identifiant de connexion utilisé à l’origine de la communication,
- pseudonymes utilisés,
- les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.
- les informations relatives au paiement (informations bancaires) :
- 1° Le type de paiement utilisé ;
- 2° La référence du paiement ;
- 3° Le montant ;
- 4° La date, l’heure et le lieu en cas de transaction physique.
Quelles sont les données que je ne vais pas obtenir ?
La cour d’appel de Paris refuse en l’état de condamner les GAFA à communiquer pour les besoins des procédures pénales :
- les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés (II bis 3° de l’article L 34-1)
- 1° L’adresse IP attribuée à la source de la connexion et le port associé ;
- 2° Le numéro d’identifiant de l’utilisateur ;
- 3° Le numéro d’identification du terminal ;
- 4° Le numéro de téléphone à l’origine de la communication.
- Les données de trafic et de localisation (III)
- 1° Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
- 2° Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
- 3° Les données techniques permettant d’identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article ;
- 4° Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.
En effet, ces dernières données ne peuvent être :
- conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d’un an (CA Paris, pôle 1 ch. 2, 21 déc. 2023, n° 23/06581. Lire en ligne : https://www.doctrine.fr/d/CA/Paris/2023/CAPC5ED0752A2438A1D2BAE)
- communiquées que pour la finalité ayant justifié la conservation : « S’agissant des conditions dans lesquelles l’accès aux données relatives au trafic et aux données de localisation conservées par les fournisseurs de services de communications électroniques peut, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, être accordé à des autorités publiques, en application d’une mesure prise au titre de l’article 15, paragraphe 1, de la directive 2002/58, la Cour a jugé qu’un tel accès ne peut être octroyé que pour autant que ces données aient été conservées par ces fournisseurs d’une manière conforme audit article 15, paragraphe 1 (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167) » (CJUE, 2 mars 2021, C-746/18, H.K c/ Prokuratuur, point 29).
Ces données ne peuvent être communiquées que pour “les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale » visés au 3° de l’article L. 34-1 précité du code des postes et communications électroniques.
Pourquoi suis-je obligé d’aller devant le juge ?
Les GAFA ont pour pratique de ne communiquer les données de connexion qu’en vertu d’une décision de justice émanant d’un juge. Même s’ils se savent tenus de le faire, ils ne coopèreront pas tant qu’une décision les condamne.
Serai-je indemnise de mes frais de justice ?
Non, la pratique du tribunal judiciaire de Paris est de ne pas accorder d’article 700 pour les demandes de données de connexion à l’encontre des hébergeurs.
Vous pourrez néanmoins obtenir un remboursement partiel lors de votre procès au fond contre l’auteur des contenus litigieux.
Que faire si l’hébergeur ne communique pas les coordonnées ?
Il est possible d’obtenir la fixation d’une astreinte par le juge de l’exécution.