■

N° RG 24/57625 – N° Portalis 352J-W-B7I-C6FPS

N° : 1/MC

Assignation du :
31 Octobre 2024

[1]

[1] 1 Copie exécutoire
délivrée le:

ORDONNANCE DE RÉFÉRÉ
rendue le 12 novembre 2024

par Sophie COUVEZ, Vice-présidente au Tribunal judiciaire de Paris, agissant par délégation du Président du Tribunal,

Assistée de Marion COBOS, Greffier.
DEMANDERESSES

Société FREE
[Adresse 4]
[Localité 3]

représentée par Maître Yves COURSIN, avocat au barreau de PARIS – #C2186

Société FREE MOBILE
[Adresse 2]
[Localité 3]

représentée par Maître Yves COURSIN, avocat au barreau de PARIS – #C2186

DEFENDERESSE

Société TELEGRAM MESSENGER INC
Vistra (Bvi) Limited, Vistra Corporate Service Centre
[Adresse 6]
[Localité 5]
BRITISH VIRGIN ISLANDS

non comparante, non constituée

DÉBATS

A l’audience du 08 Novembre 2024, tenue publiquement, présidée par Sophie COUVEZ, Vice-présidente, assistée de Marion COBOS, Greffier,

Après avoir entendu le conseils de la partie comparante,

Soutenant qu’un pirate informatique est parvenu à détourner des données personnelles et bancaires d’abonnés de Free et de Free mobile et qu’il a essayé d’obtenir le paiement d’une rançon par l’envoi de quatre messages sous le nom de [Z] [L], sur la plateforme délégué à la protection des données personnelles (DOP) et un adressé à M. [J] par l’intermédiaire de la messagerie électronique Telegram, les sociétés Free et Free mobile ont, sur autorisation donnée par ordonnance du 28 octobre 2024 par le magistrat délégué par le président du tribunal judiciaire de Paris, par acte de commissaire de justice en date du 31 octobre 2024, fait assigner à heure indiquée à l’audience du 8 novembre 2024 la société Telegram messenger inc devant le juge des référés aux fins de voir, au visa de l’article 145 du code de procédure :

Ordonner à la société Telegram messenger inc de leur communiquer tous les éléments permettant d’identifier la personne (ou les personnes) :Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J], ce compte apparaissant sous les identités « [Z] [L] » et « [Courriel 1] »,Qui a créé/envoyé le message destiné à M. [J] sous l’identité « [Z] [L] » et figurant en annexe 1 de la pièce n°20,Tout particulièrement, de communiquer le numéro de téléphone de cette personne, Ainsi que la ou les adresses IP qui ont pu être recueillies lors de la création du compte telegram et de l’envoi de ce message, ainsi que les ports-source desdites adresses IP, Toutes informations utiles à l’identification de la personne recherchée, telles que prévues par les dispositions des articles L. 34-1 et R. 10-13 du code des postes et communications électroniques, Et toutes informations disponibles dans ce contexte légal, et qui pourraient se rapporter à tout autre nouveau compte ou fonctionnalité de messagerie telegram qui seraient utilisés par le pirate,Ordonner que cette communication soit effectuée dans les 24 heures de la signification de ladite ordonnance, Dire qu’il pourra en être référé en cas de difficulté, Laisser aux sociétés Free et Free mobile la charge de leurs dépens.
A l’appui de leurs demandes, les sociétés Free et Free mobile exposent que le pirate informatique, qui est parvenu à détourner des données personnelles et bancaires des abonnés Free et Free mobile, aurait mis en vente les fichiers des données détournées sur le dark web et tente d’en négocier la restitution moyennant le versement d’une rançon.

Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.

Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram.

Elles relèvent qu’afin de se conformer au règlement 2022/2065 du parlement européen et du conseil du 19 octobre 2022 relatif au marché unique des services numériques, la société Telegram messenger inc a modifié ses règles de collaboration avec les autorités judiciaires et a décidé de répondre aux requêtes qui lui sont adressées pour communiquer les numéros de téléphone portable et les adresses IP qui sont en sa possession.

Elles soutiennent, en conséquence, disposer d’un motif légitime au sens de l’article 145 du code de procédure civile, dès lors que plusieurs dispositions du code pénal sont susceptibles de s’appliquer aux actes commis par le pirate (les articles 323-1, 223-3 et 313-1 du code pénal) et qu’elles ont déposé plainte auprès du procureur de la République le 25 octobre 2024.

Elles précisent que le dépôt de cette plainte n’est pas de nature à faire obstacle à la saisine du juge des référés, dès lors qu’il ne s’agit pas d’un procès en cours au sens de l’article 145 du code de procédure civile.

Elles relèvent que les mesures qu’elles sollicitent sont légalement admissibles, l’article L. 34-1 II bis 1° du code des postes et des communications électroniques prévoyant que, pour les besoins des procédures pénales, les opérateurs de communications électroniques sont tenus de conserver les informations relatives à l’identité civile de l’utilisateur, telles que, suivant l’article R. 10-13 le ou les numéros de téléphone, l’adresse IP attribuée, l’identifiant utilisé, l’adresse IP attribuée à la source de la connexion et le port associés et le numéro de téléphone à l’origine de la communication.

A l’audience qui s’est tenue le 8 novembre 2024, les sociétés Free et Free mobile, représentées par leur conseil, ont maintenu leurs demandes telles que contenues dans l’acte introductif d’instance et les moyens qui y sont contenus.

La société Telegram messenger inc, ayant son siège social aux Iles vierges britanniques, a été assignée le 31 octobre 2024, en application de l’article 686 du code de procédure civile, par remise de l’acte de signification traduit en anglais à l’autorité compétente, « The Registrar of the Supreme court », conformément à la Convention de la Haye du 15 novembre 1965 relative à la signification et la notification à l’étranger des actes judiciaires et extrajudiciaires en matière civile ou commerciale et par l’envoi d’une copie de l’acte par lettre recommandée avec accusé de réception à son siège social. Dès lors qu’elle n’a pas constitué avocat, il sera statué par décision réputée contradictoire.

Conformément à l’article 446-1 du code de procédure civile, pour plus ample informé de l’exposé et des prétentions des parties, il est renvoyé à l’assignation introductive d’instance.

A l’issue de l’audience, l’affaire a été mise en délibéré au 12 novembre 2024.

En application de l’article 472 du code de procédure civile, lorsque le défendeur ne comparaît pas, il est statué sur fond et le juge ne fait droit à la demande que dans la mesure où il l’estime régulière, recevable et bien fondée.

Sur la demande de communication de données d’identification

Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé.

L’obtention de telles mesures est subordonnée à plusieurs conditions : l’absence de procès devant le juge du fond, l’existence d’un motif légitime, l’intérêt probatoire du demandeur -apprécié notamment au regard de la mesure sollicitée et des intérêts du défendeur- et la nature légalement admissible de la mesure demandée.

La mesure sollicitée n’implique pas d’examen de la responsabilité des parties ou des chances de succès du procès susceptible d’être ultérieurement engagé, il suffit que soit constatée l’éventualité d’un procès dont la solution peut dépendre de la mesure d’instruction sollicitée, à condition que cette mesure ne porte pas une atteinte illégitime aux droits d’autrui.

Si le litige au fond peut n’être qu’éventuel, la mesure sollicitée doit toutefois reposer sur des faits précis, objectifs et vérifiables, qui permettent de projeter ce litige futur comme plausible et crédible.

A cet égard, si le demandeur à la mesure d’instruction n’a pas à démontrer la réalité des faits qu’il allègue, il doit justifier d’éléments rendant crédibles ses suppositions, ne relevant pas de la simple hypothèse, en lien avec un litige potentiel futur dont l’objet et le fondement juridique sont suffisamment déterminés et dont la solution peut dépendre de la mesure d’instruction, la mesure demandée devant être pertinente et utile.

Il convient néanmoins de rappeler qu’une mesure ne peut être ordonnée que si elle est légalement admissible et qu’elle ne cause pas une atteinte disproportionnée au droit au respect de la vie privée de l’auteur des propos, à son droit à la protection de ses données personnelles, garantis par l’article 8 de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales, ainsi qu’à son droit à la liberté d’expression, garanti par l’article 10 de la même convention.

Sur le motif légitime
Suivant l’article 323-1 du code pénal, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.

En vertu de l’article 323-3, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.

Aux termes de l’article 313-1, « l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. »

En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».

Les sociétés Free et Free mobile ont, en conséquence, déposé plainte le 25 octobre 2024 auprès du procureur de la République.

Dès lors, il existe bien à ce stade de la procédure un procès pénal en germe. Les sociétés Free et Free mobile justifient donc d’un intérêt légitime à obtenir les éléments permettant d’identifier l’auteur du message adressé à M. [J] par l’intermédiaire de la messagerie Telegram à partir du comte de « [Z] [L] », en vue d’engager une action au fond contre le ou les auteurs des infractions qu’ils dénoncent.

Sur l’absence de procès au fond
Si les sociétés Free et Free mobile ont déposé plainte le 25 octobre 2024 auprès du procureur de la République, le dépôt d’une plainte ne caractérise pas un procès au fond au sens de l’article 145 du code de procédure civile.

La condition tenant à l’absence de procès au fond est donc remplie.

Sur la nature légalement admissible des mesures sollicitées

Aux termes de l’article L 34-1 du code des postes et des télécommunications (version en vigueur depuis le 31 juillet 2021 – Modifié par la loi n°2021-998 du 30 juillet 2021) :

« I. – Le présent article s’applique au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques ; il s’applique notamment aux réseaux qui prennent en charge les dispositifs de collecte de données et d’identification.

II. – […].

II bis.- Les opérateurs de communications électroniques sont tenus de conserver :

1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;

2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

[…]. »

L’article R. 10-3 I (version en vigueur depuis le 21 octobre 2021 – Modifié par décret n°2021-1361 du 20 octobre 2021) précise que:

« I.-Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale ;
2° La ou les adresses postales associées ;
3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;
4° Le ou les numéros de téléphone.

II.- Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

1° L’identifiant utilisé ;
2° Le ou les pseudonymes utilisés ;
3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.

III.-Les informations relatives au paiement mentionnées au 2° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, pour chaque opération de paiement, lorsque la souscription du contrat ou la création du compte est payante, sont :

1° Le type de paiement utilisé ;
2° La référence du paiement ;
3° Le montant ;
4° La date, l’heure et le lieu en cas de transaction physique.

[…]. »

En l’espèce, il convient de relever que les faits dénoncés par les sociétés Free et Free mobile sont susceptibles de constituer les infractions d’accès et maintien frauduleux dans un système de traitement automatisé de données, d’extraction et de détention frauduleuses de données contenues dans un système de traitement et de tentative d’escroquerie.

Il s’agit de faits pour lesquels les opérateurs de communication électroniques, tels que la société Telegram messenger inc, sont tenus de conserver les données d’identification pendant une durée de cinq ans et qui justifient la communication des données d’identification dans le cadre prévu par l’article L 34-1 II bis 1° et 2° du code des postes et des télécommunications « pour les besoins des procédures pénales ».

Dans ces conditions, il convient de faire droit à la demande de communication de données d’identification formée par les sociétés demanderesses suivant les termes du présent dispositif, cette mesure étant proportionnée et adaptée à l’objectif poursuivi par les sociétés défenderesses, ce aux fins exclusives de poursuites engagées contre les auteurs présumés d’infractions pénales, dont le droit à la protection des données cède ici légitimement face au droit au respect de la vie privée des abonnés Free et Free mobile dont les données personnelles et bancaires ont été détournées.

Une fois transmises, ces données ne devront pas être utilisées à d’autres fins que celles pour lesquelles leur communication est ici ordonnée.

Il convient, enfin, de préciser que les parties ayant la faculté de saisir le juge des référés en cas de circonstances nouvelles en application de l’article 488, alinéa 2, du code de procédure civile, il n’y a pas lieu de faire droit à la demande des sociétés Free et Free mobile tendant à ce qu’il soit dit qu’il pourra en être référé en de difficultés.

Sur les demandes accessoires

Conformément à la demande des société Free et Free mobile sur ce point, les dépens de la présente instance seront laissés à leur charge.

Statuant en référé, par mise à disposition au greffe, après débats en audience publique, par ordonnance réputée contradictoire et en premier ressort,

Ordonnons à la société Telegram messenger inc de communiquer aux sociétés Free et Free mobile, pour les besoins des poursuites pénales, dans un délai de 48 heures à compter de la signification de la présente ordonnance, toutes les données d’identification de la personne qui a créé le compte de la messagerie ayant permis d’envoyer le message litigieux à M. [J], ce compte apparaissant sous les identités « [Z] [L] » et « [Courriel 1] » et qui a envoyé le message destiné à M. [J] sous l’identité « [Z] [L] », notamment :
Le numéro de téléphone de cette personne, La ou les adresses IP qui ont pu être recueillies lors de la création du compte Telegram et de l’envoi de ce message, ainsi que les ports-source desdites adresses IP, Toutes informations utiles à l’identification de la personne recherchée, telles que prévues par les dispositions des articles L. 34-1 et R. 10-13 du code des postes et communications électroniques, Toutes informations disponibles dans ce contexte légal, et qui pourraient se rapporter à tout autre nouveau compte ou fonctionnalité de messagerie Telegram qui seraient utilisés par le pirate
Laissons les dépens de l’instance à la charge des sociétés Free et Free mobile ;

Rejetons toutes les autres demandes des parties demanderesses ;

Rappelons que la présente ordonnance est exécutoire de plein droit.

Fait à Paris le 12 novembre 2024

Le Greffier, Le Président,

Marion COBOS Sophie COUVEZ