27 octobre 2023
Cour d'appel de Paris
RG n°
23/04254
Pôle 1 - Chambre 8
Texte de la décision
Copies exécutoires REPUBLIQUE FRANCAISE
délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS
COUR D'APPEL DE PARIS
Pôle 1 - Chambre 8
ARRET DU 27 OCTOBRE 2023
(n° , 14 pages)
Numéro d'inscription au répertoire général : N° RG 23/04254 - N° Portalis 35L7-V-B7H-CHHEZ
Décision déférée à la Cour : Ordonnance du 01 Février 2023 -TJ hors JAF, JEX, JLD, J. EXPRO, JCP de PARIS - RG n° 22/58843
APPELANTE
S.A.S. REXEL DEVELOPPEMENT
[Adresse 1]
[Localité 2]
Représentée par Me François TEYTAUD de l'AARPI TEYTAUD-SALEH, avocat au barreau de PARIS, toque : J125 et assistée de Me Marie SOULIZ
INTIMEE
TWITTER INTERNATIONAL UNLIMITED COMPANY, prise en la personne de ses représentants légaux domiciliés en cette qualité au siège
[Adresse 4]
[Adresse 4] - IRLANDE
Représentée par Me Florence GUERRE de la SELARL SELARL PELLERIN - DE MARIA - GUERRE, avocat au barreau de PARIS, toque : L0018 et assistée par Me Karim BEYLOUMI
COMPOSITION DE LA COUR :
En application des dispositions de l'article 805 du code de procédure civile, l'affaire a été débattue le 28 septembre 2023, en audience publique, les avocats des parties ne s'y étant pas opposés, devant Florence LAGEMI, Président et Rachel LE COTTY, Conseiller chargée du rapport.
Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la cour, composée de:
Florence LAGEMI, Président,
Rachel LE COTTY, Conseiller,
Patrick BIROLLEAU, magistrat honoraire
Greffier, lors des débats : Jeanne BELCOUR
ARRÊT :
- CONTRADICTOIRE
- rendu publiquement par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.
- signé par Florence LAGEMI, Présidente de chambre et par Jeanne BELCOUR, Greffière, présente lors de la mise à disposition.
*****
La société Twitter international unlimited company (ci-après la société Twitter) est en charge de l'hébergement, de l'exploitation et du contrôle de la plateforme X (anciennement dénommée « Twitter ») au Royaume-Uni, dans les Etats de l'AELE et dans l'Union Européenne.
Le groupe Rexel est spécialisé dans la distribution professionnelle de produits et services pour le monde de l'énergie, notamment dans la construction, la rénovation, la production et la maintenance. La société Rexel France été créée en 1997. Elle est spécialisée dans la vente et la distribution de matériels électriques, électroniques et informatiques pour les professionnels. Elle est constituée d'un réseau de plus de 400 agences en France.
La société Rexel développement (ci-après la société Rexel) est l'actionnaire de Rexel France.
La société Rexel déplore subir, depuis le 19 juin 2021, les envois répétés de messages malveillants à son encontre ou à l'encontre de ses salariés ou administrateurs par le biais de comptes Twitter différents.
Par ordonnance du 15 novembre 2021, le président du tribunal judiciaire de Paris a ordonné à la société Twitter international unlimited company la communication des données d'identification afférentes à six comptes Twitter.
Puis, par ordonnance du 14 juin 2022, le même président a ordonné à la société Bouygues Télécom de communiquer à la société Rexel les données permettant l'identification du titulaire des comptes Twitter litigieux, ce qui a permis à celle-ci d'identifier un ancien salarié comme étant l'auteur des messages diffusés.
A l'issue de cette identification du titulaire des six premiers comptes Twitter, un ou plusieurs titulaires de comptes Twitter a/ont publié des tweets via huit nouveaux comptes Twitter : « [R][X] , ' [C][H]710 , ' [H][Z] , ' [F][W] , ' [M]30742898 , ' [M]-0052 , ' [U]04722007 et ' [U][H]999 .
Par acte du 17 novembre 2022, la société Rexel a assigné la société Twitter devant le président du tribunal judiciaire de Paris afin qu'il lui soit ordonné de lui communiquer sous astreinte l'ensemble des données qu'elles détient de nature à permettre l'identification du ou des utilisateurs des comptes Twitter ' [R][X] , ' [C][H]710 , ' [H][Z] , ' [F][W] , ' [M]30742898 , ' [M]-0052 , ' [U]04722007 , ' [U][H]999 , notamment :
les noms et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électroniques associées ;
les numéros de téléphone ;
les données et identifiants de connexion, en particulier la ou les adresses IP utilisées lors de la création du compte Twitter associé aux comptes ' [R][X] , ' [C][H]710 , ' [H][Z] , ' [F][W] , ' [M]30742898 , ' [M]-0052 , ' [U]04722007 , ' [U][H]999 , dans le cas où il s'agirait d'adresses IP dynamiques, la ou les plages de ports source desdites adresses, ainsi que lors de la publication de l'ensemble des tweets visés à l'assignation.
Par ordonnance contradictoire du 1er février 2023, le juge des référés a :
écarté l'exception d'incompétence matérielle soulevée par la société défenderesse ;
ordonné à la société Twitter de communiquer à la société Rexel dans un délai de huit jours à compter de la signification de l'ordonnance les données qu'elles détient de nature à permettre l'identification de ou des utilisateurs des comptes Twitter ' [R][X] , ' [H][Z] , ' [F][W] , ' [M]30742898 , ' [M] 0052 , ' [U]04722007 , ' [U][H]999 , concernant les informations relatives à l'identité civile suivantes :
les noms et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électronique associées ;
les numéros de téléphone ;
dit n'y avoir lieu à référé sur le surplus de la demande de communication des données d'identification ;
dit n'y avoir lieu à astreinte ;
débouté les parties de leurs demandes au titre de l'article 700 du code de procédure civile ;
laissé la charge des dépens à la société Rexel.
Par déclaration du 27 février 2023, la société Rexel a relevé appel de cette décision en ce qu'elle a cantonné la communication ordonnée aux informations relatives à l'identité civile des utilisateurs des comptes Twitter, refusé la communication des informations relatives au compte ' [C][H]710 , dit n'y avoir lieu à astreinte, rejeté sa demande au titre de l'article 700 du code de procédure civile et laissé les dépens à sa charge.
Dans ses dernières conclusions remises et notifiées le 23 août 2023, elle demande à la cour de :
la déclarer recevable et bien fondée en l'ensemble de ses demandes et y faire droit ;
en conséquence,
confirmer l'ordonnance entreprise en ce qu'elle a :
écarté l'exception d'incompétence matérielle soulevée par la société Twitter ;
ordonné à la société Twitter de lui communiquer, dans les huit jours à compter de la signification de la décision, les données qu'elle détient de nature à permettre l'identification du ou des utilisateurs des comptes Twitter « [R][X] », « [H][Z] », « [F][W] », « [M]30742898 », « [M]-0052 », « [U]04722007 », « [U][H]999 », concernant les informations relatives à l'identité civile suivantes :
les nom et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électronique associées ;
les numéros de téléphone ;
infirmer l'ordonnance entreprise en ce qu'elle a :
dit n'y avoir pas à référé sur le surplus de la demande de communication de données d'identification, en ce qu'elle n'a pas fait droit à sa demande de communication des données d'identification associées à l'utilisateur ou aux utilisateurs des comptes Twitter « [R][X] », « [H][Z] », « [F][W] », « [M]30742898 », « [M]-0052 », « [U]04722007 », « [U][H]999 », concernant les informations suivantes :
la ou les adresses IP utilisées lors de la création des comptes Twitter associés aux comptes « [R][X] », « [H][Z] », « [F][W] », « [M]30742898 », « [M]-0052 », « [U]04722007 », « [U][H]999 », dans le cas où il s'agirait d'adresses IP dynamiques, la ou les plages de ports source desdites adresses, ainsi que lors de la publication de l'ensemble des tweets identifiés dans le dispositif de ses conclusions en référé ;
dit n'y avoir lieu à référé sur le surplus de la demande de communication des données d'identification, en ce qu'elle n'a pas fait droit à sa demande de communication des données d'identification associées à l'utilisateur du compte Twitter « [C][H]710 » :
les nom et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électronique associées ;
les numéros de téléphone ;
les données et identifiants de connexion, en particulier la ou les adresses IP utilisées lors de la création du compte Twitter associé au compte « @[C][H]710 » dans le cas où il s'agirait d'adresses IP dynamiques, la ou les plages de ports source desdites adresses, ainsi que lors de la publication de l'ensemble des tweets identifiés dans le dispositif de ses conclusions en référé ;
dit n'y avoir lieu à astreinte ;
rejeté sa demande au titre de l'article 700 du code de procédure civile et laissé les dépens à sa charge ;
écarté la communication des données d'identification du ou des utilisateurs du compte Twitter « [C][H]710 » ;
statuant à nouveau,
ordonner à la société Twitter de lui communiquer, dans les huit jours à compter de la signification de la décision à intervenir, les données techniques qu'elle détient de nature à permettre l'identification du ou des utilisateurs des comptes Twitter « [R][X] », « [H][Z] », « [F][W] », « [M]30742898 », « [M]-0052 », « [U]04722007 », « [U][H]999 » permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, à savoir les adresses IP dynamiques, la ou les plages de ports source desdites adresses ;
ordonner à la société Twitter de lui communiquer, dans les huit jours à compter de la signification de la décision à intervenir, les données qu'elle détient de nature à permettre l'identification du ou des utilisateurs du compte Twitter « [C][H]710 » :
les nom et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électronique associées ;
les numéros de téléphone ;
les adresses IP dynamiques, la ou les plages de ports source desdites adresses ;
condamner la société Twitter à lui payer la somme de 7.000 euros au titre de l'article 700 du code de procédure civile ;
condamner la société Twitter aux dépens de la présente instance, avec faculté de recouvrement direct au profit de Maître Teytaud dans les conditions de l'article 699 du code de procédure civile.
Dans ses dernières conclusions remises et notifiées le 6 septembre 2023, société Twitter demande à la cour de :
infirmer l'ordonnance entreprise en ce qu'elle a rejeté l'exception d'incompétence ;
statuant à nouveau,
juger bien fondée l'exception de compétence qu'elle soulève ;
juger le juge des référés incompétent au profit du président du tribunal judiciaire de Paris, statuant selon la procédure accélérée au fond ;
si la cour confirmait la compétence du juge des référés,
à titre principal,
infirmer l'ordonnance entreprise en ce qu'elle a jugé que l'appelante caractérisait l'existence d'un motif légitime pour solliciter les données d'identification des comptes @[R][X], @[H][Z], @[F][W], @[M]30742898 et @[M]-0052 ;
confirmer l'ordonnance entreprise en ce qu'elle a jugé que l'appelante ne caractérisait pas l'existence d'un motif légitime pour solliciter les données d'identification du compte @[C][H]710 ;
débouter l'appelante de l'ensemble de ses demandes à ce titre ;
à titre subsidiaire,
confirmer l'ordonnance entreprise en ce qu'elle a jugé non légalement admissible la demande de communication des données et identifiants de connexion, en particulier des adresses IP et ports sources utilisés lors de la création des comptes Twitter @[R][X], @[H][Z], @[F][W], @[M]30742898, @[M]-0052, @[U]04722007 et @[U][H]999 et la publication des tweets visés au dispositif de l'assignation et débouté la société Rexel de ses demandes à ce titre ;
confirmer que les données qui seront communiquées le cas échéant à la société Rexel seront limitées aux informations sur l'identité civile des utilisateurs que sont leurs « nom, prénom, raison sociale, date de naissance, adresse postale associée, adresse de messagerie électronique et numéro de téléphone » ;
ordonner à la société Rexel de réserver l'usage des informations qui lui seront communiquées le cas échéant aux seuls besoins de la poursuite d'une infraction pénale ;
en tout état de cause,
confirmer l'ordonnance entreprise en ce qu'elle a débouté l'appelante de sa demande d'astreinte ;
confirmer l'ordonnance en ce qu'elle a rejeté la demande de l'appelante au titre de l'article 700 du code de procédure civile et des dépens.
L'ordonnance de clôture est intervenue le 13 septembre 2023.
Conformément aux dispositions de l'article 455 du code de procédure civile, il est renvoyé aux conclusions des parties pour un plus ample exposé des moyens développés au soutien de leurs prétentions respectives.
SUR CE, LA COUR,
Sur l'exception d'incompétence soulevée par la société Twitter
La société Rexel a assigné la société Twitter sur le fondement de l'article 145 du code de procédure civile et des dispositions de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN).
Elle affirme que le président du tribunal judiciaire de Paris statuant en référé était compétent, comme il l'a retenu, pour connaître de ses demandes, en application de l'article 145 du code de procédure civile, celles-ci visant à obtenir la preuve de l'identité de l'auteur des tweets litigieux, dont pourrait dépendre la solution d'un éventuel litige.
La société Twitter soutient qu'il résulte de l'article 6, I, 8 de la LCEN, telle que modifiée par la loi n° 2021-1109 du 24 août 2021, que les demandes de communication de données d'identification doivent désormais être formées devant le président du tribunal judiciaire statuant selon la procédure accélérée au fond. Selon elle, alors que l'ancienne rédaction de ce texte renvoyait à la compétence du juge des référés ou des requêtes, la nouvelle rédaction, applicable au présent litige, prévoit désormais que seul le juge du fond peut être saisi, selon la procédure accélérée au fond, des demandes tendant à prévenir ou faire cesser un dommage résultant d'un service de communication au public en ligne - incluant les demandes de communication de données d'identification.
Elle ajoute que le raisonnement du premier juge est mal fondé en ce qu'il méconnaît l'application exclusive de la procédure accélérée au fond prévue à l'article L. 213-2 du code de l'organisation judiciaire et l'incompatibilité entre les mesures d'instruction de l'article 145 du code de procédure civile et la procédure au fond, les mesures in futurum ne pouvant plus être ordonnées lorsque le juge du fond est saisi.
Elle sollicite donc l'infirmation de l'ordonnance entreprise en ce qu'elle a rejeté l'exception d'incompétence au profit du tribunal judiciaire de Paris statuant selon la procédure accélérée au fond.
Aux termes de l'article 145 du code de procédure civile, s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé sur requête ou en référé.
L'article 6, I, 8 de la LCEN disposait, dans sa rédaction antérieure à celle issue de la loi n° 2021-1109 du 24 août 2021 :
« L'autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».
Ce texte dispose désormais que :
« Le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d'y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».
Il en résulte que seul le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, est compétent pour prescrire les mesures propres à prévenir ou faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne - ce qui peut inclure, le cas échéant, la communication de données d'identification lorsque celle-ci s'avère nécessaire à la prévention ou à l'arrêt du dommage -.
Mais cette compétence n'exclut nullement celle du juge des référés pour ordonner, en application de l'article 145 du code de procédure civile, les mesures d'instruction légalement admissibles - dont la communication de données d'identification -, s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige.
Contrairement à ce que soutient la société Twitter, la nouvelle rédaction de l'article 6, I, 8 de la LCEN n'a retiré aucune attribution au juge des référés sur le fondement de l'article 145 du code de procédure civile, le premier texte visant la prévention et la cessation des dommages, non les mesures d'instruction in futurum concernées par le second.
De même, si l'article L. 213-2 du code de l'organisation judiciaire prévoit qu' « en toutes matières, le président du tribunal judiciaire statue en référé ou sur requête » et que « dans les cas prévus par la loi ou le règlement, il statue selon la procédure accélérée au fond », il en résulte qu'hors les cas dans lesquels la loi ou le règlement renvoie expressément à la procédure accélérée au fond, le président du tribunal judiciaire statue « en toutes matières » en référé ou sur requête.
L'article 145 du code de procédure civile permet ainsi la saisine du président du tribunal judiciaire sur requête ou en référé lorsque les conditions prévues par ce texte sont réunies.
Au cas présent, d'une part, la demande de la société Rexel tend uniquement à l'obtention de la preuve de l'identité de l'auteur de tweets litigieux et non à la prévention ou la cessation d'un dommage, d'autre part, le juge du fond n'a pas été préalablement saisi.
La saisine du juge des référés était donc possible et l'exception d'incompétence soulevée par la société Twitter sera rejetée.
L'ordonnance entreprise sera confirmée de ce chef.
Sur la demande de communication des données d'identification
La société Twitter oppose à la demande de communication formée par la société Rexel qu'elle est dépourvue de motif légitime en ce que, d'une part, l'appelante a déposé plainte avec constitution de partie civile contre personne non dénommée le 19 avril 2022 du chef d'envoi réitéré de messages malveillants, plainte qui tend aux mêmes fins que les mesures d'investigation demandées au juge civil, à savoir l'identification de l'auteur de l'infraction, d'autre part, elle dispose, selon ses propres écritures, des éléments permettant d'identifier le ou les utilisateurs de quatre comptes Twitter : ' [C][H]710 , ' [F][W] , ' [M]30742898 et ' [M]-0052 .
La société Rexel réplique qu'il existe un éventuel litige sur le fondement de l'article 222-16 du code pénal, qui réprime les envois réitérés de messages malveillants par la voie des communications électroniques, 453 tweets malveillants ayant été directement adressés au groupe Rexel ou à ses salariés et administrateurs entre le 19 juin 2021 et le 25 octobre 2022.
Aux termes de l'article 222-16 du code pénal, « les appels téléphoniques malveillants réitérés, les envois réitérés de messages malveillants émis par la voie des communications électroniques ou les agressions sonores en vue de troubler la tranquillité d'autrui sont punis d'un an d'emprisonnement
et de 15.000 euros d'amende ».
Il résulte des procès-verbaux de constat produits par l'appelante que les messages diffusés à partir des comptes twitters visés dans ses conclusions contiennent des propos violents, dévalorisants et humiliants à l'égard de la société Rexel et de ses membres. Ces messages à l'évidence malveillants ont été maintes fois réitérés.
Il existe donc un procès en germe non manifestement voué à l'échec entre la société Rexel et le ou les auteurs de ces tweets, rendant légitime la recherche par celle-ci de la preuve de l'identité du ou des auteurs en vue de poursuites pénales sur le fondement de l'article 222-16 du code pénal.
Si une plainte avec constitution de partie civile a été déposée entre les mains du doyen des juges d'instruction, l'ouverture d'une information judiciaire contre personne non dénommée n'est pas de nature à priver le juge des référés des pouvoirs que lui confère l'article 145 du code de procédure civile dès lors qu'aucun juge du fond n'est saisi.
Ainsi que le relève la société Rexel, l'objet de la plainte pénale et celui de la mesure d'instruction in futurum ne sont pas les mêmes puisque l'intervention du juge d'instruction ne se limite nullement à la recherche de l'auteur des messages litigieux, contrairement à la procédure de l'article 145 du code de procédure civile, qui ne tend qu'à la communication de données d'identification.
En outre, en l'espèce, la société Rexel expose qu'aucune information judiciaire n'a été ouverte à ce jour. En tout état de cause, elle ne l'était pas à la date de saisine du juge des référés, le 17 novembre 2022.
Enfin, si la société Rexel a établi un tableau de concordance supposée d'adresses email avec les comptes twitters litigieux, elle ne dispose pas pour autant de l'identité certaine des titulaires de ces comptes, comme le soutient la société Twitter, les hypothèses qu'elle fait, à partir d'homonymies, ne lui permettant nullement d'agir en justice contre les intéressés, sauf à se voir opposer une carence dans l'administration de la preuve.
Il doit encore être ajouté que le risque de dépérissement des données est réel dès lors que la société Twitter n'est tenue de conserver certaines données d'identification que pendant un an, en application de l'article L. 34-1 du code des postes et communications électroniques.
La demande de communication des éléments d'identification n'est donc pas inutile et elle sera accueillie, y compris pour le compte ' [C][H]710 . En effet, si la société Rexel a, comme l'a relevé le premier juge, obtenu la communication de l'identité du titulaire de l'adresse email « [Courriel 3] » auprès de la société Google et si l'on peut supposer que cette adresse email soit associée au compte Twitter « @[C][H]710 », ces hypothèses et suppositions ne permettent pas d'établir avec certitude la preuve de l'identité du titulaire du compte et d'agir en justice à son encontre.
L'ordonnance entreprise sera donc infirmée de ce chef.
Sur les données communicables
La société Rexel critique l'ordonnance entreprise en ce qu'elle a refusé la communication de l'adresse IP de l'auteur des messages incriminés.
Elle soutient, en premier lieu, que la décision procède d'une confusion entre les règles applicables à la communication et celles applicables à la conservation des données selon l'article L. 34-1 du code des postes et communications électroniques.
Selon elle, les champs d'application des articles 6, II, de la LCEN et L. 34-1 sont différents et ils poursuivent des finalités différentes, le premier ayant pour objet la conservation par le fournisseur d'accès de toutes données permettant l'identification de quiconque a contribué à la création de contenu sans distinction de procédure, le second prévoyant des cas particuliers de conservation des données en distinguant des finalités spécifiques. Dès lors, cantonner la communication des données en application de l'article 6, II, aux finalités prévues par l'article L. 34-1 serait contraire au texte et procéderait d'une erreur de raisonnement.
Elle avance également que l'article 6, II, de la LCEN vise les « hébergeurs » alors que l'article L. 34-1 vise les « opérateurs de communications électroniques », de sorte que la société Twitter, qui est hébergeur, ne devrait se voir appliquer que l'article 6, II.
Elle ajoute qu'en pratique, refuser la communication des données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés rend l'injonction de communication vaine car les informations renseignées par les utilisateurs de comptes sont souvent fausses, en particulier lorsqu'il s'agit d'envoyer des messages malveillants comme en l'espèce. Elle précise à cet égard que dans les fichiers communiqués par la société Twitter en exécution de l'ordonnance du 15 novembre 2021 relative aux premiers comptes créés, seule l'adresse IP a permis d'identifier avec certitude le titulaire des comptes, M. [K].
Elle fait valoir, en second lieu, que la communication de l'ensemble des éléments permettant d'identifier une personne ayant abusé de sa liberté d'expression sur les réseaux sociaux est une mesure nécessaire et qui assure un équilibre entre la liberté d'expression et le droit au respect de la vie privée d'une part, la possibilité d'agir en justice pour la victime des abus afin d'obtenir réparation, d'autre part.
Elle soutient, en troisième lieu, que l'article 145 du code de procédure civile est un texte autonome par rapport aux dispositions de l'article 6 de la LCEN et de l'article L. 34-1 du code des postes et communications électroniques, ce qu'a rappelé la Cour de cassation dans un arrêt du 25 mars 2021 (2e Civ., 25 mars 2021, pourvoi n° 18-18.824, non publié).
La société Twitter sollicite la confirmation de l'ordonnance entreprise de ce chef, faisant valoir que la collecte des données de connexion est désormais nécessairement limitée aux finalités listées par l'article L. 34-1 du code des postes et communications électroniques. Elle précise que l'évolution législative et réglementaire fait suite à la jurisprudence de la Cour de justice de l'Union européenne (CJUE, 6 octobre 2020, C-511/18, C-512/18, C-520/18, La Quadrature du Net et autres) et du Conseil d'Etat (CE, ass., 21 avril 2021, n° 393099, [S]), qui interdit toute conservation généralisée et indifférenciée des données de trafic et de localisation, limitant celle-ci aux infractions pénales graves.
Elle rappelle que l'arrêt de la Cour de cassation visé par la société Rexel a été rendu en application des dispositions anciennes et que les contenus visés étaient des correspondances privées, non des contenus publiés sur un service de communication en ligne, de sorte que l'application de l'article 6 de la LCEN a été expressément écartée.
Il est constant que la société Twitter est l'hébergeur, au sens de l'article 6, I, 2 de la LCEN, des contenus des comptes incriminés « [R][X] , ' [C][H]710 , ' [H][Z] , ' [F][W] , ' [M]30742898 , ' [M] 0052 , ' [U]04722007 et ' [U][H]999 .
L'article 6, II, de la LCEN dispose, dans sa rédaction actuelle :
« Dans les conditions fixées aux II bis, III et III bis de l'article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d'identification prévues au III.
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ».
Ce texte disposait, dans sa rédaction antérieure à celle issue de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement :
« Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d'identification prévues au III.
L'autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa.
Les dispositions des articles 226-17,226-21 et 226-22 du code pénal sont applicables au traitement de ces données.
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ».
La nouvelle rédaction fait donc référence, à la différence de l'ancienne, aux conditions de détention et de conservation des données fixées aux II bis, III et III bis de l'article L. 34-1 du code des postes et des communications électroniques.
Ces articles prévoient que :
« II bis.-Les opérateurs de communications électroniques sont tenus de conserver :
1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l'identité civile de l'utilisateur, jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité de son contrat ;
2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;
3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux.
III.-Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d'un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d'Etat.
L'injonction du Premier ministre, dont la durée d'application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édiction continuent d'être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III.
III bis.-Les données conservées par les opérateurs en application du présent article peuvent faire l'objet d'une injonction de conservation rapide par les autorités disposant, en application de la loi, d'un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d'assurer le respect, afin d'accéder à ces données ».
Le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique dispose que :
« Article 1
Le présent décret précise les obligations de conservation de données qui, en vertu du II de l'article 6 de la loi du 21 juin 2004 susvisée, incombent aux personnes mentionnées aux 1 et 2 du I du même article, dans les conditions prévues aux II bis, III et III bis de l'article L. 34-1 du code des postes et communications électroniques.
Article 2 :
Les informations relatives à l'identité civile de l'utilisateur, au sens du 1° du II bis de l'article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l'article 1er sont tenues de conserver jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité du contrat de l'utilisateur, sont les suivantes :
1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d'une personne morale ;
2° La ou les adresses postales associées ;
3° La ou les adresses de courrier électronique de l'utilisateur et du ou des comptes associés le cas échéant ;
4° Le ou les numéros de téléphone.
Article 3 :
Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte, mentionnées au 2° du II bis de l'article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l'article 1er sont tenues de conserver jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité du contrat de l'utilisateur ou de la clôture de son compte, sont les suivantes :
1° L'identifiant utilisé ;
2° Le ou les pseudonymes utilisés ;
3° Les données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour.
Article 4 :
Les informations relatives au paiement, mentionnées au 2° du II bis de l'article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l'article 1er sont tenues de conserver, pour chaque opération de paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité du contrat de l'utilisateur ou de la clôture de son compte, sont les suivantes :
1° Le type de paiement utilisé ;
2° La référence du paiement ;
3° Le montant ;
4° La date, l'heure et le lieu en cas de transaction physique.
Article 5 :
Les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l'article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l'article 1er sont tenues de conserver jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux, sont les suivantes :
1° Pour les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés :
a) L'identifiant de la connexion ;
b) L'identifiant attribué par ces personnes à l'abonné ;
c) L'adresse IP attribuée à la source de la connexion et le port associé ;
2° Pour les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d'un contenu telle que définie à l'article 6 :
a) L'identifiant de la connexion à l'origine de la communication ;
b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.
Le délai mentionné au premier alinéa du présent article court à compter du jour de la connexion ou de la création d'un contenu, pour chaque opération contribuant à cette création ».
De ces dispositions, il ressort que les hébergeurs ne sont tenus de conserver, pour les besoins des procédures pénales, que les informations relatives à l'identité civile de l'utilisateur et les autres informations fournies par lui lors de la souscription du contrat ou de la création du compte ainsi que les informations relatives au paiement - les premières pendant cinq ans, les secondes pendant un an -, à l'exclusion des données techniques permettant d'identifier la source de la connexion et de celles relatives aux équipements terminaux utilisés. En effet, ces dernières données ne peuvent être conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d'un an.
Ces nouvelles dispositions légales et réglementaires ont été adoptées, ainsi que le relève la société Twitter, à la suite de décisions de la Cour de justice de l'Union européenne ayant retenu que le droit de l'Union limitait la possibilité d'imposer aux opérateurs de communications électroniques, aux fournisseurs d'accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs, que cette conservation ne pouvait être généralisée et indifférenciée et qu'elle devait être encadrée, l'encadrement variant selon la nature des données en cause, les finalités poursuivies et le type de conservation (CJUE, 6 octobre 2020, C-511/18, C-512/18, C-520/18, La Quadrature du Net et autres).
A la suite de ces décisions, le Conseil d'Etat a rappelé que, selon la jurisprudence de la CJUE, si la conservation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d'accès à internet et aux hébergeurs, pour une période limitée au strict nécessaire, dès lors qu'elle peut constituer le seul moyen d'investigation permettant l'identification d'une personne ayant commis une infraction en ligne, une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées qui justifie qu'elle ne puisse avoir lieu qu'aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale (CE, ass., 21 avril 2021, n° 393099, [S], point 33).
Ces décisions concernent la conservation des données.
Toutefois, la Cour de justice de l'Union européenne a également jugé que l'accès aux données n'était possible que pour la finalité ayant justifié la conservation : « S'agissant des conditions dans lesquelles l'accès aux données relatives au trafic et aux données de localisation conservées par les fournisseurs de services de communications électroniques peut, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales, être accordé à des autorités publiques, en application d'une mesure prise au titre de l'article 15, paragraphe 1, de la directive 2002/58, la Cour a jugé qu'un tel accès ne peut être octroyé que pour autant que ces données aient été conservées par ces fournisseurs d'une manière conforme audit article 15, paragraphe 1 (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167) » (CJUE, 2 mars 2021, C-746/18, H.K c/ Prokuratuur, point 29).
Il doit également être relevé que l'article 6, II, de la LCEN, dans sa nouvelle rédaction, fait expressément référence aux conditions de conservation prévues par l'article L. 34-1 du code des postes et communications électroniques.
De même, le décret du 20 octobre 2021, qui abroge le décret n° 2011-219 du 25 février 2011, est expressément visé au dernier alinéa de l'article 6, II, de la LCEN.
Or, selon ce dernier alinéa, le décret « définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ». Il en résulte que « les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires » visées au premier alinéa de l'article 6, II, de la LCEN sont celles définies par le décret du 20 octobre 2021, avec les conditions et restrictions ci-dessus rappelées.
Contrairement à ce que soutient l'appelante, la référence à « l'hébergeur » par l'article 6, II, de la LCEN et aux « opérateurs de communications électroniques » par l'article L. 34-1 du code des postes et communications électroniques est indifférente eu égard au renvoi exprès d'un texte à l'autre.
En outre, les dispositions européennes, telles qu'interprétées par la Cour de justice de l'Union européenne, qui sont à l'origine de la modification des textes de droit interne, concernent tant les opérateurs de communications électroniques que les hébergeurs (cf. CE, ass., 21 avril 2021, n° 393099, [S], point 29).
En tout état de cause, fixer une règle de communication des données plus large que la règle de conservation résultant des textes, comme le demande l'appelante, serait sans emport puisque les données ne seraient pas conservées et seraient donc indisponibles.
De même, l'autonomie de l'article 145 du code de procédure civile par rapport à l'article 6 de la LCEN, dont l'appelante fait état, ne saurait conduire le juge des référés à autoriser la communication de données dont le législateur n'autorise pas la conservation.
Dès lors, il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l'identité civile de l'utilisateur et les « autres informations fournies par lui lors de la souscription du contrat ou de la création du compte » ainsi que « les informations relatives au paiement », à l'exclusion des données techniques permettant d'identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l'adresse IP.
Au cas présent, la société Rexel a sollicité la communication de données d'identification de l'auteur de messages Twitter pour les besoins d'une procédure pénale, celle-ci souhaitant poursuivre l'intéressé pour des faits délictuels d'envoi réitéré de messages malveillants, prévus et réprimés par l'article 222-16 du code pénal.
Elle n'agit donc pas pour « les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale » visés au 3° de l'article L. 34-1 précité du code des postes et communications électroniques.
C'est dès lors à bon droit que le premier juge a limité les données communicables aux informations relatives à l'identité civile, étant précisé que la société Rexel ne demande pas la communication des « autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte » et des « informations relatives au paiement » visées au 2° de l'article L. 34-1 précité du code des postes et communications électroniques.
Cette mesure, qui tend à préserver un juste équilibre entre la protection de la liberté d'expression et de la vie privée, d'une part, le droit d'accès au juge, d'autre part, ne porte pas une atteinte excessive aux droits de l'appelante garantis par l'article 6, § 1, de la Convention européenne des droits de l'homme, dès lors que celle-ci a parallèlement pu déposer une plainte pénale entre les mains du juge d'instruction et que la présente décision lui permet d'obtenir les données d'identité civile de l'auteur des messages litigieux.
La société Twitter ne contestant pas être en possession des données en cause, l'ordonnance sera confirmée en ce qu'elle a ordonné leur communication.
Sur les frais et dépens
La société Rexel conservera la charge des dépens de cette instance, engagée dans son seul intérêt, sa demande formée en application de l'article 700 du code de procédure civile étant rejetée.
PAR CES MOTIFS
Confirme l'ordonnance entreprise, sauf qu'elle a dit n'y avoir lieu à référé sur la demande de communication des données d'identification associées à l'utilisateur du compte Twitter « [C][H]710 » ;
Statuant à nouveau de ce chef,
Ordonne à la société Twitter international unlimited company de communiquer à la société Rexel développement, dans les huit jours à compter de la signification du présent arrêt, les données qu'elle détient de nature à permettre l'identification du ou des utilisateurs du compte Twitter « [C][H]710 » :
les nom et prénom ou raison sociale ;
la date de naissance ;
l'adresse postale associée ;
les adresses de courrier électronique associées ;
les numéros de téléphone ;
Laisse à la charge de la société Rexel développement les dépens d'appel ;
Rejette sa demande formée en application de l'article 700 du code de procédure civile.
LE GREFFIER LE PRÉSIDENT