Pour rappel, l’article 6-II de la loi du 21 juin 2004 dite « loi pour la confiance dans l’économie numérique », dispose que les fournisseurs d’hébergement « détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires », l’autorité judiciaire pouvant en requérir la communication à la demande de tiers y ayant un intérêt.

Le dernier alinéa de cet article prévoit cependant qu’ « un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation. »

L’étendue de cette obligation est une question qui a été posée à de nombreuses reprises devant les juridictions parisiennes, sans que celles-ci ne parviennent à établir une jurisprudence uniforme.

Ainsi, alors que le juge des référés du Tribunal de grande instance de Paris, statuant en référé, avait considéré que la communication d’une adresse IP permettait au fournisseur d’hébergement de respecter son obligation, cette donnée technique suffisant à permettre l’identification nominative de l’auteur d’un contenu auprès du fournisseur d’accès à Internet (TGI PARIS, référé, 29 octobre 2007, M.B. c/ Wikimedia Foundation), le juge du fond du même Tribunal a estimé, quelques mois plus tard, qu’un fournisseur d’hébergement avait failli à ses obligations en ne collectant pas, « à tout le moins dans l’attente du décret d’application », les données d’identification des personnes diffusant du contenu « telles qu’expressément et clairement définies par l’article 6-III 1° de la loi pour la confiance dans l’économie numérique, à savoir leur nom, prénoms, domicile et numéro de téléphone ». (TGI PARIS, 3ème chambre, 2ème section, 14 novembre 2008, Jean-Yves L. / Sté Youtube Inc.)

De même, alors que la Cour d’appel de Paris, statuant au fond, avait considéré que la communication de la seule adresse IP, si elle constitue une donnée personnelle, ne permettait d’identifier qu’un ordinateur et n’était donc pas de nature à satisfaire à l’obligation prescrite aux fournisseurs d’hébergement (CA PARIS, 14ème chambre, 12 décembre 2007, Google Inc. c/ Benetton, Bencom), la même Cour, statuant cette fois-ci en la forme des référés, vient d’estimer - au contraire - qu’un fournisseur d’hébergement n’était pas tenu de conserver les données nominatives de ses utilisateurs. (CA PARIS, 1ère chambre, section P, 7 janvier 2009, Monsieur M., Sté Troyes dans l’Aube Prod c/ Sté Youtube Inc.)

En l’espèce, une personne avait assigné la société YOUTUBE aux fins de se voir communiquer les informations nominatives, c’est-à-dire les noms, adresses, y compris électroniques, et/ou les dénominations sociales, noms des représentants légaux, formes sociale/associative… des personnes ayant diffusé, sur la plateforme du même nom, pas moins de 56 œuvres sur lesquelles il détient les droits d’auteur.

La société YOUTUBE sollicitait la restriction de cette communication aux seules données qu’elle collectait, à savoir les noms d’utilisateur, adresses e-mail et adresses IP des personnes à l’origine de la diffusion de ces vidéos contrefaisantes, ces informations étant selon elle suffisantes à satisfaire à son obligation de conservation en qualité d’hébergeur en l’absence de définition légale ou réglementaire des données en cause.

La Cour d’appel a fait droit à cette dernière demande en considérant que « les éléments d’identification personnelle que l’hébergeant est susceptible de recueillir à l’occasion des mises en ligne ne font pas actuellement, en l'absence de décret d'application de la loi LCEN du 21 juin 2004, l'objet d'une communication susceptible d'être ordonnée ; qu'il n'apparaît pas au demeurant que le projet de décret fasse obligation à l'hébergeur de collecter les noms, prénoms, adresses et numéros de téléphone de l'éditeur du contenu ».

Il convient néanmoins de rester prudent sur l’appréciation portée par la Cour d’appel de Paris, notamment dans la mesure où le projet de décret auquel elle fait référence pour limiter l’étendue de l’obligation de conservation des données d’identification personnelle incombant aux fournisseurs d’hébergement, fait bien obligation à ces derniers de collecter « lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte : (…) [ses] nom et prénom ou raison sociale, adresses postales associées, (…), numéros de téléphone (…) ».

Cette décision démontre une nouvelle fois les difficultés éprouvées par les juridictions à établir, en l’absence de textes législatifs et réglementaires spécifiques, une jurisprudence uniforme et aboutie sur les problématiques nouvelles posées par le développement des technologies de l’information.

Cour d'appel de Paris, 1ère chambre, section P, 7 janvier 2009, Monsieur M., Société TROYES DANS L'AUBE PROD c/ Sté YOUTUBE