TGI Paris, ordonnance de référé du 2 août 2019, Mile High Distribution / Orange
L’absence du caractère licite du traitement des adresses IP de présumés contrefacteurs est un empêchement légitime à la communication, par un fournisseur d’accès internet, des données permettant d’identifier les titulaires de ces adresses IP.
Une société de production d’œuvres audiovisuelles canadienne a découvert que certaines de ses œuvres étaient disponibles sur des plateformes d’échange de fichiers en ligne sans son autorisation.
Elle a alors mandaté une société de droit allemand afin de capter des données de trafic en lien avec ses téléchargements en vue d’identifier les auteurs des téléchargements prétendument illicites.
Ces données de trafic incluent notamment l’adresse IP utilisée lors du téléchargement, la date et l’heure du téléchargement, l’intitulé de l’œuvre téléchargée ainsi que le nom du fournisseur d’accès Internet auquel se rattache l’adresse IP identifiée.
La société de production a ainsi constitué un fichier répertoriant près de 900 adresses IP qui auraient permis le téléchargement illicite d’œuvres audiovisuelles.
Par une ordonnance du 8 avril 2019, le juge des requêtes du tribunal de grande instance de Paris a ordonné à la société Orange de conserver toutes les informations qui permettraient d’identifier les titulaires des adresses IP figurant dans le fichier de la société de production.
La société a ensuite fait citer devant le juge des référés la société Orange pour obtenir en urgence la communication des données d’identification.
À cette occasion, la société Orange a considéré que la mesure d’identification sollicitée ne pouvait être admissible que si la collecte réalisée des adresses IP des présumés contrefacteurs par la société de production avait elle-même été réalisée légalement.
À cet effet, la société Orange a précisé que conformément à la réglementation applicable en matière de protection des données à caractère personnel, tant la loi informatique et libertés que le Règlement Général sur la Protection des Données (RGPD), avant toute sollicitation des données d’identification, la société de production canadienne devait démontrer avoir respecté les obligations qui découlent de cette réglementation.
Le juge des référés a suivi l’argumentation de la société Orange en précisant que pour être licites, la collecte et le traitement des adresses IP par la société de production canadienne doivent avoir été opérés dans le respect des règles applicables à la protection des données à caractère personnel.
Le juge a rappelé qu’en application des articles 27, 30 et 37 du RGPD, il incombe à la société canadienne, en sa qualité de responsable de traitement établi en dehors de l’Union européenne, de désigner un représentant en Europe et de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement des données des présumés contrefacteurs.
Par ailleurs, dans la mesure où les adresses IP collectées dans le contexte de la lutte contre la contrefaçon sur internet doivent être considérées comme une collecte à grande échelle de données d’infraction au sens de l’article 10 du RGPD, la société canadienne doit également désigner un délégué à la protection des données.
En outre, il appartient à la demanderesse d’assurer la sécurité des données et de garantir leur confidentialité.
A cet égard, la société de production n’a produit aucun élément démontrant sa conformité et par conséquent permettant de prouver la licéité de son traitement.
Dès lors, le juge des référés a précisé que l’absence du caractère licite du traitement constitue un empêchement légitime à la communication des données et ce, d’autant que les éléments produits par la société de production sont insuffisants à démontrer l’existence des œuvres litigieuses ainsi que la titularité des droits d’exploitation invoqués sur ces œuvres.
Pour ces raisons, la société canadienne a été déboutée de l’ensemble de ses demandes.
A rapprocher : Articles 27,30 et 37 du RGPD ; Article 145 du Code de procédure civile
1773 vues 
