Selon l’article 145 du Code de procédure civile, « s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ».
Par une ordonnance du 2 août 2019, le Tribunal de grande instance de Paris a rappelé que les demandes de communication ordonnées dans ce cadre doivent, entre autres, respecter la législation relative à la protection des données personnelles.
En l’espèce, une société canadienne avait constaté qu’un nombre important d’œuvres audiovisuelles dont elle était à l’origine en qualité de producteur étaient téléchargeables sur une plateforme d’échange de fichiers, alors que son autorisation préalable n’avait pas été sollicitée.
Elle avait donc mandaté une société allemande pour recueillir, pendant près d’une année (novembre 2017-décembre 2018), entre autres, les adresses IP utilisées pour ces téléchargements, selon elle contrefaisants, et l’identité du fournisseur d’accès à internet concerné.
Elle a ensuite :
• saisi avec succès sur requête le Président du Tribunal de grande instance de Paris afin qu’il ordonne à Orange de conserver les adresses IP en cause (plus de 895),
• sollicité en référé la communication par la société Orange de l’identité des personnes derrière ces adresses IP.
La société Orange soutenait que cette dernière communication ne pouvait intervenir dans la mesure où le recueil des adresses IP avait été réalisé au mépris des dispositions relatives à la protection des données personnelles, à savoir notamment :
• aucun représentant n’avait été désigné sur le territoire de l’Union européenne alors pourtant que la société demanderesse est canadienne,
• aucun registre de traitement n’avait été tenu,
• aucun justificatif n’était fourni démontrant que les mesures nécessaires avaient été prises pour assurer la sécurité et la confidentialité des données dont, par ailleurs, le transfert hors de l’Union européenne ne semblait pas avoir été spécifiquement encadré.
Les juges ont souligné dans un premier temps que les adresses IP sont des données personnelles et que la société demanderesse était le responsable du traitement opéré. Ainsi « pour être licites, la collecte et le traitement des adresses IP précitées [devaient] avoir été opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel ».
Or, tel n’était pas le cas en l’espèce, le Tribunal ayant par ailleurs notamment relevé que, s’agissant d’une collecte de données à grande échelle, un délégué à la protection des données aurait dû être désigné.
Le traitement étant illicite, la société demanderesse a donc été déboutée de sa demande.