Type de juridiction : Tribunal judiciaire

Juridiction : Tribunal judiciaire de Paris

Thématique : Avis en ligne : quelles données sont concervées par l’hébergeur ?

Les avis en ligne sont des données hébergées

Les avis en ligne sont des données hébergées. A titre d’exemple, le service  » Local Listing  » est exploité, au sein de l’Union Européenne notamment, par la société GOOGLE IRELAND LIMITED, laquelle a la qualité d’hébergeur au sens de l’article 6 I.-2 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Infractions pénales : l’identité civile de l’utilisateur

Les hébergeurs ne sont tenus de conserver, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les autres informations fournies par lui lors de la souscription du contrat ou de la création du compte ainsi que les informations relatives au paiement – les premières pendant cinq ans, les secondes pendant un an -, à l’exclusion des données techniques permettant d’identifier la source de la connexion et de celles relatives aux équipements terminaux utilisés.

En effet, ces dernières données ne peuvent être conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d’un an.

Ces dispositions encadrent la conservation des données. Leur adoption fait notamment suite à des décisions prononcées par la cour de justice de l’Union Européenne, jugeant que le droit de l’Union Européenne limite la possibilité d’imposer aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs, que cette conservation ne peut être généralisée et doit être encadrée, l’encadrement variant selon la nature des données en cause, les finalités poursuivies et le type de conservation.

Ainsi, si la conservation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d’accès à internet et aux hébergeurs en ce qu’elle peut constituer l’unique moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne, une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées qui justifie qu’elle ne puisse avoir lieu qu’aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale.

La Cour de justice de l’Union européenne a également jugé que l’accès aux données n’était possible que pour la finalité ayant justifié la conservation. (en ce sens : arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167 et arrêt du 2 mars 2021 H.K c/ Prokuratuur, point n°29).

En conséquence, seule peut être ordonnée, sur le fondement de l’article 145 du code de procédure civile, la communication de données dont le législateur autorise la conservation.

Dès lors, il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les  » autres informations fournies par lui lors de la souscription du contrat ou de la création du compte  » ainsi que  » les informations relatives au paiement « , à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP.

Les données relatives à l’auteur d’un l’avis litigieux

Au cas présent, les parties demanderesses sollicitent en premier lieu la communication d’une part des informations relatives à l’identité civile de l’utilisateur et des informations fournies par celui-ci lors de la création du compte, d’autre part des données techniques permettant l’identification de la source de la connexion liée à un compte Google, ce pour les besoins soit d’une procédure civile, soit d’une procédure pénale qu’elles entendent intenter du chef de harcèlement moral.

Elles n’agissent donc pas pour  » les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale  » visés au 3° de l’article L. 34-1 précité du code des postes et communications électroniques.

Dès lors, seule est légalement admissible la communication des informations relatives à l’identité civile et aux autres informations fournies par l’utilisateur lors de la création du compte, au sens des 1° et 2° de l’article L32-1 II bis du code des postes et des communications électroniques, aux fins d’établir la preuve d’une infraction pénale. Cette mesure préserve un juste équilibre entre la protection de la liberté d’expression et de la vie privée, d’une part, le droit d’accès au juge, d’autre part.

L’obligation de conservation des données

L’article 6 II de la loi n°2004-575, dans sa rédaction temporellement applicable, dispose :

 » Dans les conditions fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au III.
Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation.  »

L’article L.34-1 du code des postes et des communications électroniques précise :

 » II bis.-Les opérateurs de communications électroniques sont tenus de conserver :

1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;

2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.

III.-Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d’un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d’Etat.

L’injonction du Premier ministre, dont la durée d’application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édiction continuent d’être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III.

III bis.-Les données conservées par les opérateurs en application du présent article peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données.  »

Le décret n°2021-1362 du 20 octobre 2021, relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, a pour objet, ainsi que le prévoit son article premier, de préciser les obligations de conservation de données qui, en vertu du II de l’article 6 de la loi du 21 juin 2004 susvisée, incombent aux personnes mentionnées aux 1 et 2 du I du même article, dans les conditions prévues aux II bis, III et III bis de l’article L. 34-1 du code des postes et communications électroniques.

Son article 2 dispose :

 » Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité du contrat de l’utilisateur, sont les suivantes :

1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d’une personne morale ;

2° La ou les adresses postales associées ;

3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;

4° Le ou les numéros de téléphone.  »

Son article 3 dispose :

 » Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L. 34-1, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai du code des postes et des communications électroniques d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte, sont les suivantes :

1° L’identifiant utilisé ;

2° Le ou les pseudonymes utilisés ;

3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.  »

Son article 5 dispose :

 » Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux, sont les suivantes :

1° Pour les personnes mentionnées au 1 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés :

a) L’identifiant de la connexion ;

b) L’identifiant attribué par ces personnes à l’abonné ;

c) L’adresse IP attribuée à la source de la connexion et le port associé ;

2° Pour les personnes mentionnées au 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d’un contenu telle que définie à l’article 6 :

a) L’identifiant de la connexion à l’origine de la communication ;

b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.

Le délai mentionné au premier alinéa du présent article court à compter du jour de la connexion ou de la création d’un contenu, pour chaque opération contribuant à cette création.  »

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

20 mars 2024
Tribunal judiciaire de Paris
RG n°
23/58267

TRIBUNAL
JUDICIAIRE
DE PARIS

■

N° RG 23/58267 – N° Portalis 352J-W-B7H-C3CEU

AS M N° : 3

Assignation du :
03 Novembre 2023

[1]

[1] 2 Copies exécutoires
délivrées le:

ORDONNANCE DE RÉFÉRÉ
rendue le 20 mars 2024

par Marie-Hélène PENOT, Juge au Tribunal judiciaire de Paris, agissant par délégation du Président du Tribunal, assistée de Anne-Sophie MOREL, Greffier.
DEMANDEURS

Madame [C] [B]
[Adresse 2]
[Localité 3]

Monsieur [K] [J]
[Adresse 1]
[Localité 6]

Madame [D] [P]
[Adresse 8]
[Localité 4]

tous en qualité d’ayants droit de Monsieur [R] [S]

représentés par Maître Elise FABING de la SAS ALKEMIST AVOCAT, avocats au barreau de PARIS – #R0046

DEFENDERESSE

Société GOOGLE IRELAND LIMITED
en son établissement secondaire en France
[Adresse 7]
[Localité 5]

représentée par Maître Aurélie BREGOU de la SELARL DEPREZ, GUIGNOT & ASSOCIES, avocats au barreau de PARIS – #P0221

DÉBATS

A l’audience du 07 Février 2024, tenue publiquement, présidée par Marie-Hélène PENOT, Juge, assistée de Anne-Sophie MOREL, Greffier,

Nous, Président,

Après avoir entendu les conseils des parties,

Par acte extrajudiciaire délivré le 3 novembre 2023, Madame [C] [B], Madame [D] [P] et Monsieur [K] [J] ont assigné la société de droit étranger GOOGLE IRELAND LIMITED devant le Président du tribunal judiciaire de Paris statuant en référé, aux fins de voir :

-ORDONNER à la Société Google lreland Limited de communiquer, sous astreinte de 1.000 € par jour de retard à compter de l’expiration d’un délai de 10 jours suivant la signification de la décision à intervenir, l’ensemble des données en sa possession (les noms et prénoms, adresses emails et numéros de téléphone éventuellement renseignés par l’utilisateur dans le cadre de son compte Google, l’adresse IP utilisée pour l’ouverture de son compte Google, ainsi que les adresses IP correspondants aux connexions les plus récentes de cet utilisateur dans le cadre de l’utilisation de son compte Google depuis l’Espace économique européen) permettant l’identification de la personne ou des personnes ayant écrit l’avis sous le pseudonyme  » lxrd_vfx  » sur la fiche Google My Business de l’agence Société Générale [Localité 9]-CENTRE ;

-ORDONNER à la Société Google lreland Limited de communiquer, sous astreinte de 1.000 € par jour de retard à compter de l’expiration d’un délai de 10 jours suivant la signification de la décision à intervenir, l’ensemble des données en sa possession (les noms et prénoms, adresses emails et numéros de téléphone éventuellement renseignés par l’utilisateur dans le cadre de son compte Google, l’adresse IP utilisée pour l’ouverture de son compte Google, ainsi que les adresses IP correspondants aux connexions les plus récentes de cet utilisateur dans le cadre de l’utilisation de son compte Google depuis l’Espace économique européen) permettant l’identification des trois personnes ayant réagi favorablement à l’avis publié sous le pseudonyme « lxrd_vfx  » sur la fiche Google My Business de l’agence Société Générale [Localité 9]-CENTRE ;
-DIRE ET JUGER qu’il serait inéquitable de laisser à la charge de Mesdames [P], [B] et Monsieur [J] les frais irrépétibles
qu’ils ont été contraint d’exposer en justice aux fins de défendre ses intérêts

En conséquence,

CONDAMNER la Société Google lreland LIMITED au paiement de la somme de 2.000 euros au titre de l’article 700 du Code de procédure civile

CONDAMNER la Société Google lreland aux entiers dépens.

A l’audience du 29 novembre 2023, Madame [C] [B], Madame [D] [P] et Monsieur [K] [J] soutiennent les prétentions et moyens formulés dans leur assignation. Ils précisent, s’agissant des données relatives aux auteurs des réactions favorables dites  » like  » postés en réaction à l’avis litigieux, maintenir leurs demandes dès lors que la société défenderesse ne démontre pas ne pas avoir collecté les données afférentes.

Aux termes de ses écritures déposées et soutenues à l’audience du 29 novembre 2023, la société GOOGLE IRELAND LIMITED entend voir :

 » 1) Sur la demande de communication des données d’identification du ou des auteur(s) de l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local Listings  » au nom de  » SG  » :
DONNER ACTE à la société GOOGLE IRELAND LIMITED de ce qu’elle s’en rapporte à justice sur le principe même de la communication des données d’identification du ou des auteur(s) de l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local Listings  » au nom de  » SG « ;JUGER que la société GOOGLE IRELAND LIMITED ne devra cependant communiquer à Mesdames [C] [B], [D] [P] et Monsieur [K] [J] que les seules données habituellement collectées, qui compte tenu des dispositions légales régissant la durée de conservation des données à caractère personnel, seraient éventuellement toujours en sa possession et qui pourraient être les suivantes :-Le nom et prénom, le numéro de téléphone et l’adresse e-mail (y compris d’autres adresses e-mail éventuellement renseignées) du ou des titulaire(s) des comptes Google, auteur(s) de l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local Listings  » au nom de  » SG  » qui est accessible à l’adresse URL suivante : https://www.google.com/maps/contrib/115437636773926781917/reviews/@48.8879594,2.2683815,15z/data=!4m3!8m2!3m1!1e1?entry=ttu
-L’adresse IP à partir de laquelle le compte Google du ou des auteur(s) de l’Avis a été créé et l’adresse IP à partir de laquelle l’Avis a été publié.
DONNER ACTE à la société GOOGLE IRELAND LIMITED de ce qu’elle s’engage, sous les réserves précitées et après en avoir informé la ou les personne(s) concernée(s) afin qu’elle(s) ai(en)t la possibilité de s’y opposer le cas échéant, à exécuter l’ordonnance à intervenir, laquelle devra mentionner l’adresse URL à laquelle est accessible l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local Listings  » au nom de  » SG « , et qui est reproduite ci-dessus, dans un délai de 15 jours ouvrés suivant la signification de l’ordonnance à son siège social selon les modalités requises par la loi ;DEBOUTER Mesdames [B], [P] et Monsieur [J] de leur demande d’astreinte ;

2) Sur la demande de communication des données d’identification du ou des auteur(s) de l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local Listings  » au nom de  » SG  » :
? DEBOUTER Mesdames [C] [B], [D] [P] et Monsieur [K] [J] de leur demande de communication, sous astreinte, des données d’identification des trois personnes
ayant réagi favorablement à l’Avis publié sous le pseudonyme  » lxrd_vfx  » sur la fiche  » Local
Listings  » au nom de  » SG  » ;

3) En tout état de cause :
DEBOUTER Mesdames [B], [P] et Monsieur [J] de leur demande de condamnation de la société GOOGLE IRELAND LIMITED au paiement de la somme de 2.000 euros sur le fondement de l’article 700 du Code de procédure civile et des dépens ;LAISSER les entiers dépens à la charge de Mesdames [C] [B], [D] [P] et Monsieur [K] [J].  »
Par ordonnance du 10 janvier 2024, la réouverture des débats a été ordonnée pour permettre aux demandeurs de produire la preuve de leur qualité d’ayants droit de Monsieur [R] [S].

En considération de la transmission d’éléments par Madame [C] [B], Madame [D] [P] et Monsieur [K] [J] le 15 janvier 2024 et du courriel de la société GOOGLE IRELAND LIMITED indiquant ne pas avoir d’observations à formuler, les parties ont été, à leur demande, dispensées de se présenter à l’audience du 7 février 2024.

Conformément à l’article 446-1 du code de procédure civile, pour plus ample informé de l’exposé et des prétentions des parties, il est renvoyé à l’assignation introductive d’instance et aux écritures déposées et développées oralement à l’audience.

SUR CE,

A titre liminaire, il est rappelé que les  » demandes  » tendant à voir  » constater « ,  » donner acte  » ou  » dire et juger  » ne constituent pas des prétentions au sens des dispositions de l’article 4 du code de procédure civile et ne sont pas susceptibles de faire l’objet d’une exécution forcée. Ces demandes -qui n’en sont pas et constituent en fait un résumé des moyens- ne donneront pas lieu à mention au dispositif.

1. Sur les demandes principales

Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé.

L’obtention de telles mesures est subordonnée à plusieurs conditions : l’absence de procès devant le juge du fond, l’existence d’un motif légitime, l’intérêt probatoire du demandeur -apprécié notamment au regard de la mesure sollicitée et des intérêts du défendeur- et la nature légalement admissible de la mesure demandée.

A ce stade, le juge n’est pas tenu de caractériser l’intérêt légitime du demandeur au regard des règles de droit éventuellement applicables ou des différents fondements juridiques des actions que ce dernier envisage d’engager – puisqu’il s’agit seulement d’analyser le motif légitime que le demandeur a de conserver ou établir l’existence de faits en prévision d’un éventuel procès.

La mesure sollicitée n’implique pas d’examen de la responsabilité des parties ou des chances de succès du procès susceptible d’être ultérieurement engagé, il suffit que soit constatée l’éventualité d’un procès dont la solution peut dépendre de la mesure d’instruction sollicitée, à condition que cette mesure ne porte pas une atteinte illégitime aux droits d’autrui.

Si le litige au fond peut n’être qu’éventuel, la mesure sollicitée doit toutefois reposer sur des faits précis, objectifs et vérifiables, qui permettent de projeter ce litige futur comme plausible et crédible.

A cet égard, si le demandeur à la mesure d’instruction n’a pas à démontrer la réalité des faits qu’il allègue, il doit justifier d’éléments rendant crédibles ses suppositions, ne relevant pas de la simple hypothèse, en lien avec un litige potentiel futur dont l’objet et le fondement juridique sont suffisamment déterminés et dont la solution peut dépendre de la mesure d’instruction, la mesure demandée devant être pertinente et utile.

Il convient néanmoins de rappeler qu’une mesure ne peut être ordonnée que si elle est légalement admissible et qu’elle ne cause pas une atteinte disproportionnée au droit au respect de la vie privée de l’auteur des propos, à son droit à la protection de ses données personnelles, garantis par l’article 8 de la convention européenne des droits de l’Homme et des libertés fondamentales, ainsi qu’à son droit à la liberté d’expression, garanti par l’article 10 de la même convention.

Par ailleurs, la production ne peut être ordonnée que si l’existence de la pièce est certaine. Le demandeur doit ainsi faire la preuve que la pièce ou l’acte recherché est détenu par celui auquel il le réclame.

En l’espèce, Madame [C] [S] épouse [B], Madame [D] [S] épouse [P] et Monsieur [K] [J] sont, respectivement, les sœurs et le partenaire lié par un pacte civil de solidarité de Monsieur [R] [S].

Les pièces versées aux débats établissent que Monsieur [R] [S] a été embauché en qualité de technicien des métiers de la banque par la société SOCIETE GENERALE à compter du 6 mai 2008, ce en exécution d’un contrat de travail à durée indéterminée. Monsieur [S], dont il est justifié d’un état dépressif diagnostiqué le 28 août 2018, a mis fin à ses jours le 6 avril 2023 après avoir laissé une note aux termes de laquelle il  » accuse la S.G société générale et le [Z] [U] « .

Le constat dressé par Maître [I] [T], commissaire de justice, le 6 août 2023, établit qu’au moins de novembre 2022, un avis a été publié sur la fiche  » Local Listing  » de l’agence de la société SOCIETE GENERALE de [Localité 9] Centre, soit l’agence au sein de laquelle travaillait Monsieur [R] [S], rédigé en les termes suivants :

 » Mr [S] est le pire conseiller que j’ai vu de ma vie.
Aigri, désagréable, il souffle chaque fois que je lui adresse la parole et il n’a aucune motivation.
Il me donne aucune envie de rester chez eux. à fuir.  »

Cet avis a fait l’objet de trois réactions positives, trois utilisateurs ayant utilisé la fonctionnalité  » like  » le concernant.

1.1 Sur l’existence d’un motif légitime

L’article L222-33-2 du code pénal incrimine, sous la qualification de harcèlement moral, le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale.

En premier lieu, les demandeurs versent aux débats des courriels envoyés à l’adresse électronique professionnelle de Monsieur [R] [L], dont le contenu se réfère explicitement à son homosexualité et apparaît, par son caractère parfaitement inadapté dans le cadre de relations de travail, susceptible d’avoir généré de la part de leur destinataire à tout le moins un sentiment de gêne.

En deuxième lieu, sont produits des éléments médicaux établissant que Monsieur [R] [L] s’est vu diagnostiquer un état dépressif le 28 août 2018, que son médecin traitant a lié au contexte dans lequel il exerçait ses fonctions.

En troisième lieu, la note laissée par Monsieur [L] lorsqu’il a mis fin à ses jours mentionne explicitement la société SOCIETE GENERALE comme l’un des éléments expliquant son geste.

Au regard de ces éléments, la publication de l’avis sus-mentionné, publié au mois de novembre 2022 sur la page  » Local Listing  » de l’agence au sein de laquelle travaillait Monsieur [R] [L], est susceptible, en ce que cet avis impute explicitement à ce dernier une insuffisance professionnelle se traduisant par un comportement antipathique, d’avoir dégradé la santé mentale de l’intéressé. Dès lors, la publication de cet avis pourrait être qualifiée d’élément matériel ayant contribué au harcèlement dont les ayants droits de Monsieur [L] estime qu’il a été victime.

Les demandeurs justifient donc d’un intérêt légitime à rechercher la preuve de l’auteur de cet avis, sans qu’il soit nécessaire d’examiner les moyens relatifs à la potentialité d’une action au fond en discrimination.

1.2 Sur l’absence de saisine du juge du fond

Il est constant qu’aucun juge du fond n’est saisi.

1.3 Sur l’utilité des mesures

Les mesures sollicitées revêtent un caractère utile et pertinent en ce qu’elles tendent à la communication aux demandeurs d’informations d’identité relatives à l’utilisateur qui a créé le contenu litigieux et à ceux y ayant réagi favorablement, et de données de connexion susceptibles d’en permettre l’identification si les données d’identité renseignées s’avéraient inexactes ou parcellaires.

1.4 Sur la nature légalement admissible des mesures sollicitées

Il est constant que le service  » Local Listing  » est exploité, au sein de l’Union Européenne notamment, par la société GOOGLE IRELAND LIMITED, laquelle a la qualité d’hébergeur au sens de l’article 6 I.-2 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

L’article 6 II de la loi n°2004-575, dans sa rédaction temporellement applicable, dispose :
 » Dans les conditions fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.
Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au III.
Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation.  »

L’article L.34-1 du code des postes et des communications électroniques précise :
 » II bis.-Les opérateurs de communications électroniques sont tenus de conserver :
1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;
2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;
3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.
III.-Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d’un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d’Etat.
L’injonction du Premier ministre, dont la durée d’application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édiction continuent d’être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III.
III bis.-Les données conservées par les opérateurs en application du présent article peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données.  »

Le décret n°2021-1362 du 20 octobre 2021, relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, a pour objet, ainsi que le prévoit son article premier, de préciser les obligations de conservation de données qui, en vertu du II de l’article 6 de la loi du 21 juin 2004 susvisée, incombent aux personnes mentionnées aux 1 et 2 du I du même article, dans les conditions prévues aux II bis, III et III bis de l’article L. 34-1 du code des postes et communications électroniques.

Son article 2 dispose :
 » Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité du contrat de l’utilisateur, sont les suivantes :
1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d’une personne morale ;
2° La ou les adresses postales associées ;
3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;
4° Le ou les numéros de téléphone.  »

Son article 3 dispose :
 » Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L. 34-1, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai du code des postes et des communications électroniques d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte, sont les suivantes :
1° L’identifiant utilisé ;
2° Le ou les pseudonymes utilisés ;

3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.  »

Son article 5 dispose :
 » Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux, sont les suivantes :
1° Pour les personnes mentionnées au 1 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’adresse IP attribuée à la source de la connexion et le port associé ;
2° Pour les personnes mentionnées au 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d’un contenu telle que définie à l’article 6 :
a) L’identifiant de la connexion à l’origine de la communication ;
b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.
Le délai mentionné au premier alinéa du présent article court à compter du jour de la connexion ou de la création d’un contenu, pour chaque opération contribuant à cette création.  »

Il ressort de ces dispositions que les hébergeurs ne sont tenus de conserver, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les autres informations fournies par lui lors de la souscription du contrat ou de la création du compte ainsi que les informations relatives au paiement – les premières pendant cinq ans, les secondes pendant un an -, à l’exclusion des données techniques permettant d’identifier la source de la connexion et de celles relatives aux équipements terminaux utilisés. En effet, ces dernières données ne peuvent être conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d’un an.

Ces dispositions encadrent la conservation des données. Leur adoption fait notamment suite à des décisions prononcées par la cour de justice de l’Union Européenne, jugeant que le droit de l’Union Européenne limite la possibilité d’imposer aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs, que cette conservation ne peut être généralisée et doit être encadrée, l’encadrement variant selon la nature des données en cause, les finalités poursuivies et le type de conservation.

Ainsi, si la conservation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d’accès à internet et aux hébergeurs en ce qu’elle peut constituer l’unique moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne, une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées qui justifie qu’elle ne puisse avoir lieu qu’aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale.

La Cour de justice de l’Union européenne a également jugé que l’accès aux données n’était possible que pour la finalité ayant justifié la conservation. (en ce sens : arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167 et arrêt du 2 mars 2021 H.K c/ Prokuratuur, point n°29).

En conséquence, seule peut être ordonnée, sur le fondement de l’article 145 du code de procédure civile, la communication de données dont le législateur autorise la conservation.

Dès lors, il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les  » autres informations fournies par lui lors de la souscription du contrat ou de la création du compte  » ainsi que  » les informations relatives au paiement « , à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP.

1.4.1Sur les données relatives à l’auteur de l’avis litigieux

Au cas présent, les parties demanderesses sollicitent en premier lieu la communication d’une part des informations relatives à l’identité civile de l’utilisateur et des informations fournies par celui-ci lors de la création du compte, d’autre part des données techniques permettant l’identification de la source de la connexion liée à un compte Google, ce pour les besoins soit d’une procédure civile, soit d’une procédure pénale qu’elles entendent intenter du chef de harcèlement moral.

Elles n’agissent donc pas pour  » les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale  » visés au 3° de l’article L. 34-1 précité du code des postes et communications électroniques.

Dès lors, seule est légalement admissible la communication des informations relatives à l’identité civile et aux autres informations fournies par l’utilisateur lors de la création du compte, au sens des 1° et 2° de l’article L32-1 II bis du code des postes et des communications électroniques, aux fins d’établir la preuve d’une infraction pénale. Cette mesure préserve un juste équilibre entre la protection de la liberté d’expression et de la vie privée, d’une part, le droit d’accès au juge, d’autre part.

En conséquence, il sera ordonné à la société GOOGLE IRELAND LIMITED de communiquer aux demandeurs les données suivantes, relatives au compte Google auteur de l’avis publié sous le pseudonyme lxrd_vfx sur la fiche Local Listing au nom de SG, accessible à l’adresse URL https://www.google.com/maps/contrib/115437636773926781917/reviews/@48.8879594,2.2683815,15z/data=!4m3!8m2!3m1!1e1?entry=ttu : les noms, prénoms, numéros de téléphone, adresses mails renseignés par l’utilisateur le cas échéant. Le surplus des demandes, qui porte sur des données non communicables, sera rejeté.

Il n’y a pas lieu d’ordonner cette communication sous astreinte, la société GOOGLE IRELAND LIMITED ne s’opposant pas à cette mesure dès lors qu’elle est judiciairement ordonnée.

1.4.2Sur les données relatives aux utilisateurs ayant marqué leur approbation à l’égard de l’avis litigieux

En second lieu, les parties demanderesses sollicitent la communication d’une part des informations relatives à l’identité civile de l’utilisateur et des informations fournies par celui-ci lors de la création du compte, d’autre part des données techniques permettant l’identification de la source de la connexion liée aux utilisateurs ayant manifesté leur approbation à l’égard de l’avis litigieux par l’utilisation de la fonctionnalité  » like « .

Or, ainsi que le souligne la société défenderesse, l’utilisation d’une telle fonctionnalité ne constitue pas une création ou une modification de contenu, au sens de l’article 6 II de la loi pour la confiance dans l’économie numérique et de l’article 7 du décret n°2021-1362.

En conséquence, les demandeurs, qui supportent la charge de la preuve de l’existence des données qu’ils entendent se voir communiquer, échouent à démontrer la collecte et la conservation des données afférentes aux utilisateurs ayant  » liké  » l’avis litigieux.

Ils seront dès lors déboutés de leur demande de communication concernant les auteurs des  » like « .

2. Sur les mesures accessoires

Eu égard aux circonstances de l’espèce, notamment à la nature probatoire des mesures ordonnées et au seul motif de confidentialité à l’origine du refus de communication par la société GOOGLE IRELAND LIMITED, il y a lieu de laisser les dépens à la charge des parties demanderesses et de rejeter les demandes formulées sur le fondement des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Statuant publiquement, par mise à disposition au greffe, par ordonnance contradictoire et en premier ressort ,

Ordonnons à la société GOOGLE IRELAND LIMITED de communiquer à Madame [C] [B], Madame [D] [P] et Monsieur [K] [J], dans un délai de dix jours à compter de la signification de la présente décision, les données suivantes, relatives au compte Google auteur de l’avis publié sous le pseudonyme lxrd_vfx sur la fiche Local Listing au nom de SG, accessible à l’adresse URL https://www.google.com/maps/contrib/115437636773926781917/reviews/@48.8879594,2.2683815,15z/data=!4m3!8m2!3m1!1e1?entry=ttu :
-le prénom renseigné par l’utilisateur ;
-le nom éventuellement renseigné par l’utilisateur, le cas échéant
-le numéro de téléphone renseigné par l’utilisateur, le cas échéant
-toute adresse mail renseignée par l’utilisateur, le cas échéant ;

Disons n’y avoir lieu à prononcer cette condamnation sous astreinte et rejetons la demande de Madame [B] et [P] et Monsieur [J] à cette fin ;

Rejetons le surplus des demandes de communication ;

Rejetons la demande des parties présentée sur le fondement de l’ article 700 du code de procédure civile ;

Condamnons Madame [C] [B], Madame [D] [P] et Monsieur [K] [J] aux dépens de l’instance ;

Rappelons que la présente décision bénéficie de l’exécution provisoire de droit.

Fait à Paris le 20 mars 2024

Le Greffier,Le Président,

Anne-Sophie MORELMarie-Hélène PENOT