Par une ordonnance de référé du 2 août 2019, le TGI de Paris a débouté un producteur canadien de films de sa demande de communication des données d’identification détenues par Orange concernant les adresses IP liées à des supposés téléchargements illicites. Se fondant sur la loi Informatique et libertés applicable avant le 25 mai 2018 et sur le RGPD, le tribunal a considéré que « l’absence de caractère licite du traitement constitue un empêchement légitime à l’application des dispositions précitées de l’article 145 du code de procédure civile, sauf à porter une atteinte illégitime et disproportionnée aux droits et libertés fondamentales d’autrui, en l’espèce le droit à la protection des données à caractère personnel des individus dont les adresses IP ont été collectées ».
La société de droit canadien Mile High Distribution avait constaté la présence de ses œuvres sur des plateformes d’échange de fichiers en ligne offertes au téléchargement sans son autorisation. Elle avait mandaté la société allemande Media Protector pour collecter des données de trafic en lien avec ces téléchargements prétendument illicites. Une liste de 895 adresses IP relatives à ces actes avait ainsi été constituée entre novembre 2017 et décembre 2018. Par une ordonnance du juge des requêtes, le TGI de Paris a ordonné à Orange de conserver les informations utiles à l’identification des personnes. Et Mile High Distribution a fait citer en urgence Orange devant le tribunal des référés pour obtenir la communication des données d’identification des personnes relatives à ces adresses IP. Mais Orange a soulevé la question de la légalité de la collecte et du traitement de données, sans quoi la mesure d’identification ne peut être admissible. Et le tribunal a approuvé ses arguments.
Le tribunal a examiné les points soulevés au vu de l’ancienne version de la loi du 6 janvier 1978 puis de la nouvelle à compter de mai 2018 puisque le traitement est à cheval sur les deux périodes. Il a commencé par poser le fait que cette collecte et ce traitement portent sur des données permettant d’identifier indirectement les personnes et qu’il s’agit d’une opération de profilage dont la finalité est le suivi du comportement des personnes sur le territoire de l’Union européenne. De ce fait, le responsable de traitement, Mile High Distribution, qui est établi en dehors de l’UE, aurait dû désigner un représentant européen. Il aurait également dû tenir un registre des traitements dans lequel cette liste d’adresses IP aurait dû apparaître. Il n’a pas davantage désigné un délégué à la protection des données (DPO) du fait qu’il collecte à grande échelle des données d’infraction. Par ailleurs, le tribunal constate qu’en raison du transfert des données vers un pays extérieur à l’UE, il aurait dû prévoir un encadrement juridique spécifique. Enfin, Mile High Distribution se prévaut d’une déclaration en référence à une autorisation unique auquel il a procédé. Or, cette formalité préalable qui ne préjuge pas de la licéité du traitement a été jugée insuffisante pour démontrer le caractère licite du traitement mis en cause.