7 octobre 2024
Tribunal judiciaire de Paris
RG n°
24/53208

TRIBUNAL
JUDICIAIRE
DE PARIS

■

N° RG 24/53208 – N° Portalis 352J-W-B7I-C4YDK

N° : 3

Assignation du :
30 Avril 2024

[1]

[1] 2 Copies exécutoires
délivrées le :

ORDONNANCE DE RÉFÉRÉ
rendue le 07 octobre 2024

par Caroline FAYAT, Juge au Tribunal judiciaire de Paris, agissant par délégation du Président du Tribunal,

Assistée de Larissa FERELLOC, Greffier.
DEMANDEUR

Monsieur [Z] [X]
[Adresse 1]
[Localité 3]

représenté par Maître Béatrice UZAN, avocat au barreau de PARIS – #C0805

DEFENDERESSE

YAHOO EMEA LIMITED
[Adresse 2]
[Adresse 4]
DUBLIN
IRLANDE

représentée par Maître Philippe ALLAEYS de l’AARPI TWELVE, avocats au barreau de PARIS – #C1212

DÉBATS

A l’audience du 30 Juillet 2024, tenue publiquement, présidée par Caroline FAYAT, Juge, assistée de Larissa FERELLOC, Greffier,

Nous, Président, après avoir entendu les conseils des parties,

Exposant avoir été victime d’un vol de données et d’une usurpation d’identité résultant de l’utilisation frauduleuse par un tiers de son compte e-mail « [Courriel 5] » sur la plateforme Yahoo et de plusieurs modifications à son insu de son mot de passe, Monsieur [Z] [X] a, par exploit délivré le 30 avril 2024, fait citer la société YAHOO EMEA LIMITED devant le président du tribunal judiciaire de Paris, statuant en référé, aux fins de voir, au visa des articles 145, 834 et 835 du code de procédure civile :
« ▪ CONSTATER la compétence des tribunaux français
▪ ORDONNER à la société YAHOO EMEA LIMITED de fournir les éléments suivants :
Les connexions au compte, et le mode d’authentification utilisé au cours des 12 derniers moisLes modifications des facteurs d’authentification (mot de passe, MFA par SMS/application/OTP…) ▪ ORDONNER que pour chacune de ces actions, les métadonnées suivantes concernant la période des 12 derniers mois soient fournies à Monsieur [X] :
La date et l’heure de l’actionL’adresse IP à l’origine de l’action, et sa “géolocalisation IP” ▪ AUTORISER Monsieur [X] à prendre possession et à se prévaloir dans le cadre de toute action en justice ultérieure de tous les éléments obtenus en exécution de l’Ordonnance à intervenir ;
▪ STATUER ce que de droit sur les dépens ».
A l’audience du 30 juillet 2024, le requérant, représenté, maintient ses prétentions.
En réplique, dans ses écritures déposées à l’audience, la société YAHOO EMEA LIMITED, représentée, sollicite du juge des référés de :
« – DONNER ACTE à la société YAHOO EMEA LIMITED qu’elle s’en remet à la décision du Président du Tribunal quant aux demandes de communication de données de Monsieur [Z] [X], à savoir d’avoir à fournir, concernant l’adresse de courrier électronique [Courriel 5] :
Les connexions au compte, et le mode d’authentification utilisé au cours des 12 derniers moisLes modifications des facteurs d’authentification (mot de passe, MFA par SMS/application/OTP…) et pour chacune de ces actions, les métadonnées suivantes concernant la période des 12 derniers mois lui soient fournies :La date et l’heure de l’action ;L’adresse IP à l’origine de l’action.- DONNER ACTE à la société YAHOO EMEA LIMITED qu’elle communiquera les données dont la communication sera ordonnée selon les termes de la décision à intervenir, à compter de la signification de ladite ordonnance au siège de la société YAHOO EMEA LIMITED ;
– LAISSER à chacune des parties la charge de ses dépens d’instance. ».
Pour un plus ample exposé des prétentions et moyens des parties, il est renvoyé à l’acte introductif d’instance, aux conclusions déposées à l’audience et soutenues oralement ainsi qu’aux notes d’audience, sur le fondement des dispositions de l’article 446-1 du code de procédure civile.

MOTIFS
Il ressort des termes des demandes de la partie requérante que la demande de communication de données d’identification est présentée au visa de l’article 145 du code de procédure civile en vue d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige et notamment aux fins d’établir l’identité d’utilisateur(s), dans la perspective de poursuites à son/leur encontre.
S’il résulte des dispositions de l’article 6-3 de la loi n°2004-575 pour la confiance en l’économie numérique du 21 juin 2004 (LCEN), dans sa version applicable, que le président du tribunal judiciaire saisi selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d’y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne, lesquelles peuvent inclure la communication de données d’identification, il n’est pas exclu par ce texte la faculté de solliciter du juge des référés les mesures d’instruction légalement admissibles, aux fins de voir conserver ou établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige.

Aux termes de l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé sur requête ou en référé.

Si les dispositions de l’article 145 ne visent expressément que les mesures d’instruction légalement admissibles, leur champ d’application a été étendu à toutes les mesures tendant à conserver ou établir la preuve de faits ; sont ainsi concernées non seulement les mesures d’instruction proprement dites mais aussi les mesures de production de pièces.
Monsieur [X] sollicite la communication de données d’identification du tiers qui s’est connecté sur sa messagerie et a modifié son mot de passe à plusieurs reprises, à son insu, pour les besoins d’une procédure pénale.

Sur l’existence d’un motif légitime

Au cas particulier, il est établi que Monsieur [X] est titulaire d’un compte e-mail correspondant à l’adresse « [Courriel 5] » sur la plateforme internet Yahoo.
A l’appui de ses prétentions, le requérant verse notamment les pièces suivantes :
Deux courriels de l’Equipe des comptes Microsoft adressés à Monsieur [X] les 23 octobre 2023 et 25 novembre 2023, signalant la modification du mot de passe pour accéder à son compte email Yahoo ;

Un procès-verbal de plainte déposée le 23 octobre 2023 au commissariat de [Localité 6] par Monsieur [X], dénonçant la modification à son insu du mot de passe de son compte email « [Courriel 5] » le même jour ; Un procès-verbal de constat d’huissier de justice établi le 4 novembre 2023 dont il résulte que certaines connexions au compte email du requérant sont classées « suspectes » par le service YAHOO et que des modifications du mot de passe ont eu lieu sur le compte ;Un procès-verbal de plainte déposée le 29 novembre 2023 au commissariat de [Localité 6] par Monsieur [X], dénonçant un « piratage » de son compte email « [Courriel 5] » le 25 novembre 2023 ; Un courrier recommandé électronique du conseil de Monsieur [X] adressé le 13 février 2024 à la société YAHOO France SAS afin de solliciter la communication d’un certain nombre de données à propos du compte email.Il ressort des éléments qui précèdent que le requérant démontre suffisamment qu’une action pénale engagée sur le fondement de l’usurpation d’identité numérique, du vol de données à caractère personnel et du faux et usage de faux, réprimés par les dispositions du code pénal, ne serait pas manifestement vouée à l’échec.
Ainsi, le demandeur justifie d’un motif légitime à rechercher la preuve de l’identité de l’usurpateur de son compte email « [Courriel 5] » et à établir les différentes connexions à son compte email à son insu, les modifications du mot de passe et les modes de connexions utilisés par ce tiers, en vue d’engager une action au fond à son encontre.

Sur la nature légalement admissible des mesures sollicitées

Il est constant que les services yahoo.fr sont exploités, au sein de l’Union européenne, par la société YAHOO EMEA LIMITED, laquelle a la qualité d’opérateur de messagerie électronique au sens de l’article L.32 du code des postes et des communications électroniques.

Selon l’article 6. V-A de la LCEN, dans sa version applicable, dispose que dans les conditions fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

En application de l’article L.34-1, II Bis, du code des postes et des communications électroniques, les opérateurs de communications électroniques sont tenus de conserver :

1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat.
2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.
Aux termes de l’article R.10-13 du même code, « I.- Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale ;

2° La ou les adresses postales associées ;

3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;

4° Le ou les numéros de téléphone.

II. -Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

1° L’identifiant utilisé ;

2° Le ou les pseudonymes utilisés ;

3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.
III. -Les informations relatives au paiement mentionnées au 2° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, pour chaque opération de paiement, lorsque la souscription du contrat ou la création du compte est payante, sont :

1° Le type de paiement utilisé ;

2° La référence du paiement ;

3° Le montant ;

4° La date, l’heure et le lieu en cas de transaction physique.

IV. -Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

1° L’adresse IP attribuée à la source de la connexion et le port associé ;

2° Le numéro d’identifiant de l’utilisateur ;

3° Le numéro d’identification du terminal ;

4° Le numéro de téléphone à l’origine de la communication.

V. -Les données de trafic et de localisation mentionnées au III de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver sur injonction du Premier ministre, sont :

1° Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

2° Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

3° Les données techniques permettant d’identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article ;

4° Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.

VI. – Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l’article R. 213-1 du code de procédure pénale. ».

Il résulte de la combinaison de ces dispositions que les opérateurs de communications électroniques ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur, les informations « fournies par lui lors de la souscription du contrat ou de la création du compte » et « les informations relatives au paiement », à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP.
Ces dispositions encadrent la conservation des données. Leur adoption fait notamment suite à des décisions prononcées par la cour de justice de l’Union Européenne, jugeant que le droit de l’Union Européenne limite la possibilité d’imposer aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs, que cette conservation ne peut être généralisée et doit être encadrée, l’encadrement variant selon la nature des données en cause, les finalités poursuivies et le type de conservation.
Ainsi, si la conservation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d’accès à internet et aux hébergeurs en ce qu’elle peut constituer l’unique moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne, une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées qui justifie qu’elle ne puisse avoir lieu qu’aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale.
La Cour de justice de l’Union européenne a également jugé que l’accès aux données n’était possible que pour la finalité ayant justifié la conservation. (en ce sens : arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167 et arrêt du 2 mars 2021 H.K c/ Prokuratuur, point n°29).
En conséquence, seule peut être ordonnée, sur le fondement de l’article 145 du code de procédure civile, la communication de données dont le législateur autorise la conservation.

Au cas présent, Monsieur [X] sollicite la communication des données de connexion et des modes d’authentification, les modifications des facteurs d’authentification, et pour chaque opération la date, l’heure et l’adresse IP à l’origine de la connexion, pour les besoins d’une procédure pénale qu’il entend intenter du chef d’usurpation d’identité numérique, vol de données à caractère personnel et faux et usage de faux.
Il n’agit donc pas pour les besoins de la lutte contre la criminalité et la délinquance grave, ni pour la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale visés au 3° de l’article L.34-1 II bis du code des postes et communications électroniques.
Dans ces circonstances, la demande de communication des données de connexions au compte, du mode d’authentification utilisé au cours des douze derniers mois, les modifications des facteurs d’authentification ainsi que pour chacune de ces actions la date, l’heure et l’adresse IP à l’origine de chaque action, données non communicables, sera rejetée.

Sur les demandes accessoires
Eu égard aux circonstances de l’espèce, il y a lieu de laisser à chacune des parties la charge des dépens qu’elle a exposés.

Dispositif