Par Laurent Goutorbe
A propos de TGI Paris, Ordonnance de référé, 2 août 2019
Le RGPD, qui s’impose à tous les responsables de données à caractère personnel et renforce la protection des personnes, a décidément des impacts insoupçonnés, puisque les contrefacteurs présumés sont couverts par cette protection renforcée.
Ainsi, la lutte contre la contrefaçon et l’identification des contrefacteurs doivent être menées en conformité avec le RGPD, à défaut de quoi la justice donnera raison aux contrefacteurs.
En l’espèce, une société canadienne, productrice de centaines d’œuvres audiovisuelles commercialisées sous forme de DVD ou de vidéos téléchargeables en ligne, a constaté la présence de ses œuvres sur différentes plateformes d’échanges de contenus en ligne.
Elle a alors mandaté une société allemande pour collecter les données de trafic en lien avec les téléchargements prétendument constitutifs de contrefaçon (titre de l’œuvre téléchargée, adresses IP utilisées lors du téléchargement et nom du Fournisseur d’Accès Internet (FAI) auxquelles elles se rattachent, date et heure du téléchargement). Près de 900 adresses IP ont ainsi été collectées.
D’abord saisi sur requête, le Président du TGI de Paris, par une ordonnance du 8 avril 2019, a ordonné au FAI Orange de conserver les informations utiles à l’identification des personnes titulaires d’adresse IP jusqu’à ce que le Juge des Référés se prononce, au visa de l’article 145 du Code de procédure civile, sur la demande de communication par le FAI Orange des données d’identification des contrefacteurs présumés (nom, prénom, adresses postales et toutes informations utiles) grâce aux adresses IP identifiées.
Devant le Juge des Référés, le FAI Orange conteste la légalité de la mesure d’injonction sollicitée, car selon elle, la collecte des adresses IP des contrefacteurs présumés n’a pas été faite légalement et la société canadienne ne justifie pas de la légalité du traitement de données qu’elle souhaite ainsi mettre en œuvre.
Le Juge des référés rappelle que l’article 145 du Code de procédure civile lui permet, toutes les fois qu’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, d’ordonner toutes mesures d’instruction légalement admissibles et notamment la communication de tout document ou information, sous réserve notamment de ne pas méconnaitre les règles susceptibles de s’appliquer en matière de droit au respect des libertés fondamentales et de la vie privée.
En l’espèce, le Juge des référés qualifie très justement de traitement de données à caractère personnel mis en œuvre par la société canadienne l’opération informatique ayant conduit à la collecte massive d’adresses IP, données personnelles susceptibles de permettre d’identifier indirectement une personne physique.
La collecte et le traitement de ces adresses IP doivent donc respecter le RGPD et la réglementation européenne en matière de protection des données à caractère personnel.
En l’espèce, la société canadienne ne justifie pas du respect des obligations pesant sur elle en vertu de cette réglementation.
En particulier, étant établie en dehors de l’Union Européenne, elle ne justifie pas avoir désigné un représentant en Europe.
En outre, elle ne justifie pas de la tenue d’un registre de traitements dans lequel figurerait ce traitement de lutte contre la contrefaçon, ni avoir désigné un Délégué à la Protection des Données (DPO), alors que ce traitement de données d’infractions à grande échelle rend cette désignation obligatoire.
Enfin, elle ne justifie pas des garanties de sécurité prises pour assurer la protection et la confidentialité des données ainsi collectées, ni des mesures prises pour garantir le transfert de ces données à caractère personnel hors Union Européenne.
Dès lors, échouant à démontrer la licéité de l’opération de collecte massive d’adresses IP qui fonde sa demande de communication d’identification des personnes, la société canadienne est déboutée de sa demande et condamnée à verser au FAI Orange 8.000 euros au titre de l’article 700 du Code de procédure civile.
Le cabinet HAAS Avocats est à votre disposition ICI pour vous accompagner dans votre mise en conformité RGPD et dans la lutte contre la contrefaçon.