Cour de cassation, civile, Chambre civile 1, 3 novembre 2016, 15-22.595, Publié au bulletin

Références

Cour de cassation
chambre civile 1
Audience publique du jeudi 3 novembre 2016
N° de pourvoi: 15-22595
Publié au bulletin Cassation

Mme Batut, président
Mme Canas, conseiller rapporteur
M. Ingall-Montagnier, avocat général
SCP Waquet, Farge et Hazan, avocat(s)



Texte intégral

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS


LA COUR DE CASSATION, PREMIÈRE CHAMBRE CIVILE, a rendu l'arrêt suivant :


Attendu, selon l'arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d'ordinateurs extérieurs au groupe, mais faisant usage de codes d'accès réservés aux administrateurs du site internet logisneuf.com ; qu'elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d'accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL) et invoquant, par suite, l'illicéité de la mesure d'instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Attendu qu'aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l'arrêt retient que l'adresse IP, constituée d'une série de chiffres, se rapporte à un ordinateur et non à l'utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu'il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l'entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu'en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL, la cour d'appel a violé les textes susvisés ;

PAR CES MOTIFS et sans qu'il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 28 avril 2015, entre les parties, par la cour d'appel de Rennes ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel d'Angers ;

Condamne les sociétés Groupe logisneuf, C.Invest et European Soft aux dépens ;

Vu l'article 700 du code de procédure civile, condamne in solidum les sociétés Groupe logisneuf, C.Invest et European Soft à payer à la société Cabinet Peterson la somme de 3 000 euros ;

Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt cassé ;

Ainsi fait et jugé par la Cour de cassation, première chambre civile, et prononcé par le président en son audience publique du trois novembre deux mille seize.
MOYENS ANNEXES au présent arrêt

Moyens produits par la SCP Waquet, Farge et Hazan, avocat aux Conseils, pour la société Cabinet Peterson.

PREMIER MOYEN DE CASSATION

IL EST FAIT GRIEF à l'arrêt attaqué d'avoir débouté la société Cabinet Peterson de toutes ses demandes, fins et conclusions et d'avoir confirmé et maintenu en tous points l'ordonnance rendue sur requête le 18 janvier 2013 ;

AUX MOTIFS QUE l'appelant soutient l'incompétence matérielle du juge des requêtes du Tribunal de commerce s'agissant d'une demande portant sur la communication de données à caractère personnel, relevant de la vie privée et soumises au régime strict de la loi « informatique et liberté » à savoir les adresses IP, demande qui aurait dû être sollicitée du président du Tribunal de grande instance de Nantes ; mais que le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978 ; que l'adresse IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur ; que la loi en question vise en outre les personnes physiques, identifiées directement ou indirectement ; que les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales ; que le fait de conserver en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel ; qu'il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point ; que la mesure sollicitée avait vocation à obtenir des éléments dans le cadre de soupçons d'actes de concurrence déloyale au détriment du Groupe Logisneuf et s'agissant d'un litige commercial le président du Tribunal de commerce était donc matériellement compétent pour ordonner la mesure sur le fondement combiné des articles 145 et 875 du Code de procédure civile ; que le fait qu'ultérieurement les intimés aient assigné en référé ou encore au fond l'appelant devant le Tribunal de grande instance de Rennes compétent en matière de contrefaçon alors que le Groupe Logisneuf évoque également une contrefaçon de son site internet est une circonstance inopérante quant à la compétence matérielle du juge des référés du Tribunal de commerce de Nantes ;

1°- ALORS QUE le président du tribunal de commerce statue sur requête dans les limites de la compétence du tribunal ; que les tribunaux de commerce connaissent des contestations relatives aux engagements entre commerçants, entre établissements de crédit, entre sociétés de financement ou entre eux, de celles relatives aux sociétés commerciales et aux actes de commerce entre toutes personnes ; que ne relève pas de la compétence du président du tribunal de commerce statuant sur requête, la demande tendant à voir ordonner la communication par les fournisseurs d'accès des identités des titulaires d'adresses IP, laquelle ne constitue pas une contestation relative à une société commerciale ou à un acte de commerce ; qu'en décidant le contraire, la Cour d'appel a violé les articles 875 du code de procédure civile et L 721-3 du code de commerce ;

2°- ALORS QUE les actions civiles et les demandes relatives à la propriété littéraire et artistique, y compris lorsqu'elles portent également sur une question connexe de concurrence déloyale, sont exclusivement portées devant les tribunaux de grande instance déterminés par voie réglementaire ;
qu'en ne répondant pas aux conclusions de la société Cabinet Peterson qui faisait valoir que la requête déposée qui allègue une atteinte aux droits d'auteur et une contrefaçon de base de données relevait dès lors de la seule compétence du président du tribunal de grande instance, la Cour d'appel a violé l'article 455 du Code de procédure civile .

DEUXIEME MOYEN DE CASSATION

IL EST FAIT GRIEF à l'arrêt attaqué d'avoir débouté la société Cabinet Peterson de toutes ses demandes, fins et conclusions et d'avoir confirmé et maintenu en tous points l'ordonnance rendue sur requête le 18 janvier 2013 ;

AUX MOTIFS QUE l'appelant soutient l'irrecevabilité de la requête fondée sur l'article 145 pour non respect de l'article 493 du code de procédure civile alors qu'il n'est justifié ni dans la requête ni dans l'ordonnance de la nécessité de déroger au principe de la contradiction et qu'aucun motif ne justifiait cette dérogation ; que le juge a pris en considération que les adresses IP se trouvaient au sein de la société cabinet Peterson alors même que la mesure visait seulement à obtenir de tiers l'identité de personnes détentrices d'adresses IP qui étaient en possession des intimés et qui ne pouvaient être modifiées et il n'appartient pas au juge de la rétractation de se reporter au moyen postérieur soulevé par les intimés selon lequel une procédure contradictoire aurait sans doute permis aux responsables des connexions prétendument illicites d'effacer toute trace des faits délictueux ; que l'intimée soutient quant à elle que la demande tendait à identifier l'adversaire non connu au jour de la requête et la procédure pouvait s'apparenter à une procédure gracieuse sans adversaire ; qu'en outre une procédure contradictoire aurait permis aux responsables des connexions illicites qu'elle dénonce d'effacer toute trace de faits délictueux et qu'il est possible de changer d'adresse IP ; que l'article 493 du Code de procédure civile dispose que : « l'ordonnance sur requête est une décision provisoire rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse » ; qu'il appartient au juge saisi de la rétractation de rechercher, au besoin d'office, au visa des dispositions de l'article 493, si la requête et l'ordonnance rendue sur son fondement exposaient les circonstances exigeant que la mesure réclamée ne soit pas prise contradictoirement ; que la requête présentée le 18 janvier 2013 exposait qu'elle visait à identifier l'origine des intrusions sur le réseau intranet des sociétés Groupe Logisneuf, C.Invest et European Soft ; que même si elles avaient des soupçons sur l'origine de ces intrusions, il n'est pas établi qu'elles savaient avec certitude d'où elles provenaient ; qu'il n'était pas possible à la date du dépôt de la requête d'identifier la partie adverse ; que la requête et l'ordonnance adoptant les motifs de la requête exposait donc ces circonstances exigeant que la mesure réclamée ne soit pas prise contradictoirement ; que la mesure ne pouvait être prise contradictoirement et la ou les parties adverses ne pouvaient être appelées ;

ET AUX MOTIFS éventuellement adoptés de l'ordonnance déférée qu'au moment où la requête nous a été présentée il y avait nécessité d'obtenir des preuves des agissements du cabinet Peterson qui auraient pu disparaitre du fait que les supports de ces preuves sont immatériels et de conservation précaire ; qu'admettre que seul un débat contradictoire quant à la légitimité d'une telle mesure était envisageable, ou possible aurait eu pour résultat de ruiner toute possibilité de preuve puisque la partie contre laquelle les faits sont à prouver aurait eu largement le temps de faire disparaitre toutes les traces de ses forfaits que ceux-ci soient imaginaires éventuels ou avérés ;
qu'en conséquence, la nécessité l'emportait et justifiait la dérogation au principe du contradictoire ;

1°- ALORS QUE les mesures d'instruction prises sur le fondement de l'article 145 du code de procédure civile ne peuvent être ordonnées sur requête que lorsque les circonstances exigent qu'elles ne le soient pas contradictoirement ; que la requête doit préciser les circonstances de nature à justifier qu'il soit procédé non contradictoirement ; qu'en l'espèce, ni la requête ni l'ordonnance rendue sur cette requête n'exposent les circonstances de nature à justifier l'absence de contradiction ; qu'il n'en résulte pas que cette absence de contradiction serait justifiée par l'impossibilité d'identifier la partie adverse ; qu'au contraire, la requête identifiait expressément la société Cabinet Peterson comme étant cette partie adverse ; qu'en énonçant que la requête dont les motifs ont été adoptés par le juge aurait justifié le caractère non contradictoire de la demande par l'impossibilité d'identifier l'adversaire, la Cour d'appel en a dénaturé les termes clairs et précis en violation de l'article 1134 du code civil ;

2°- ALORS QUE les mesures d'instruction prises sur le fondement de l'article 145 du code de procédure civile ne peuvent être ordonnées sur requête que lorsque les circonstances exigent qu'elles ne le soient pas contradictoirement ; qu'en se bornant à énoncer que la requête présentée le 18 janvier 2013 exposait qu'elle visait à identifier l'origine des intrusions sur le réseau intranet des sociétés Groupe Logisneuf, C.Invest et European Soft, que même si elles avaient des soupçons sur l'origine de ces intrusions, il n'est pas établi qu'elles savaient avec certitude d'où elles provenaient et qu'il n'était pas possible à la date du dépôt de la requête d'identifier la partie adverse, quand la requête qui mettait expressément en cause la société Cabinet Peterson accusée de piratage, devait préciser en quoi les circonstances exigeaient que la société Cabinet Peterson ne soit pas appelée à l'instance, la Cour d'appel a violé les articles 145, 493 et 875 du Code de procédure civile ;

3°- ALORS QU'en justifiant l'absence de contradiction par la prétendue nécessité de préserver les preuves, quand la Cour d'appel saisie d'une demande de rétractation de l'ordonnance devait statuer au vu des seuls motifs exposés dans la requête laquelle n'invoquait pas un risque de dépérissement des preuves et n'invoquait au demeurant aucune circonstance de nature à justifier l'absence de contradiction, la Cour d'appel a encore violé les articles 145, 493 et 875 du Code de procédure civile.

TROISIEME MOYEN DE CASSATION

IL EST FAIT GRIEF à l'arrêt attaqué d'avoir débouté la société Cabinet Peterson de toutes ses demandes, fins et conclusions et d'avoir confirmé et maintenu en tous points l'ordonnance rendue sur requête le 18 janvier 2013 ;

AUX MOTIFS QUE comme il a été vu supra, le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter sans y être autorisé, sur le réseau de l'entreprise ne constitue pas en soi une violation des règles édictées par la loi du 16 janvier 1978 ;

ET AUX MOTIFS QUE le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978 ; que l'adresse IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur ; que la loi en question vise en outre les personnes physiques, identifiées directement ou indirectement ; que les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales ; que le fait de conserver en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel ; qu'il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point ;

1°- ALORS QUE la collecte pendant plusieurs années, d'adresses IP qui permettent l'identification des utilisateurs constitue un traitement automatisé de données à caractère personnel contenu dans un fichier lequel doit donner lieu à déclaration à la CNIL ; qu'en décidant le contraire, la Cour d'appel a violé les articles 2 et 22 de la loi du 6 janvier 1978 ;

2°- ALORS QUE ne constitue pas une mesure d'instruction légalement admissible, l'injonction faite aux fournisseurs d'accès à internet de communiquer l'identité des titulaires des adresses IP utilisées pour les connexions dont la liste a été collectée en violation des dispositions de la loi du 6 janvier 1978 ; qu'en entérinant une mesure illicite, la Cour d'appel a violé l'article 145 du Code de procédure civile ;

3°- ALORS QU'en entérinant la mesure illicite litigieuse laquelle constitue une atteinte à la vie privée, la Cour d'appel a violé les articles 9 du Code civil et 8 de la Convention européenne de sauvegarde des droits de l'homme.



ECLI:FR:CCASS:2016:C101184

Analyse

Publication :

Décision attaquée : Cour d'appel de Rennes , du 28 avril 2015


    Titrages et résumés : PROTECTION DES DROITS DE LA PERSONNE - Informatique et libertés (loi du 6 janvier 1978) - Traitement de données à caractère personnel - Données à caractère personnel - Qualification - Applications diverses - Adresses IP - Portée

    Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la Commission nationale de l'informatique et des libertés

    INFORMATIQUE - Informatique et libertés (loi du 6 janvier 1978) - Traitement de données à caractère personnel - Données à caractère personnel - Qualification - Applications diverses - Adresses IP - Portée
    FICHIERS ET LIBERTES PUBLIQUES - Informatique - Informatique et libertés (loi du 6 janvier 1978) - Traitement de données à caractère personnel - Données à caractère personnel - Qualification - Applications diverses - Adresses IP - Portée


    Précédents jurisprudentiels : Sur la qualification de données à caractère personnel des adresses IP, cf. :CJUE, arrêt du 24 novembre 2011, Scarlet Extended, C-70/10 ;CJUE, arrêt du 19 octobre 2016, Breyer, C-582/14

    Textes appliqués :
    • articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés