29.04.25
Éclairages juridiques • Droit du numérique, données et conformité

Réseaux sociaux : comment obtenir l’identité du responsable d’une infraction ?

À l'heure où les cyberattaques prolifèrent via les réseaux sociaux, une décision du Tribunal judiciaire de Paris du 12 novembre 2024 apporte un rappel sur les moyens d'obtenir l'identité des auteurs présumés.

Le Tribunal judiciaire de Paris a rendu une décision importante le 12 novembre 2024. Celle-ci précise les règles d'accès aux données d’identification conservés par les opérateurs de réseaux sociaux.

1. Faits

Un pirate informatique serait parvenu à détourner des données personnelles et bancaires d’abonnés de Free et de Free Mobile (sociétés Free). Ce suspect a essayé d’obtenir le paiement d’une rançon via des messages envoyés à des responsables de Free, sur la plateforme Telegram.

Les sociétés Free ont été autorisées par ordonnance du 28 octobre 2024 à faire assigner la société Telegram Inc. Leur objectif était d’obtenir communication de tous les éléments permettant d’identifier la personne ayant effectué ces agissements : numéro de téléphone, la ou les adresses IP recueillies lors de la création du compte Telegram et de l’envoi des messages ; le port source des desdites adresses IP. Toutes les autres informations utiles détenues par Telegram pour identifier l'auteur présumé devront également être communiquées à Free.

Les sociétés Free se sont fondées sur l’article 145 du Code de procédure civile.

Telegram Inc. n’a pas comparu. Les sociétés Free n’avaient donc pas de contradiction. 

2. Les conditions de l’article 145 du CPC doivent être réunies

Cette décision permet de rappeler les conditions utiles à la mise en œuvre de l’article 145 du CPC. Ces conditions s’appliquent à la demande d’identification des personnes utilisatrices des réseaux sociaux. Lorsque ces personnes ont commis ou peuvent être suspectées avoir commis une infraction.

Quatre conditions doivent être réunies. L’article 145 du CPC dispose en effet que :

« 1) S'il existe un motif légitime de conserver ou d'établir 2) avant tout procès 3) la preuve de faits dont pourrait dépendre la solution d'un litige, 4) les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ».

Les faits suffisent à démontrer la troisième condition. Ainsi, seules les trois autres conditions s’appliquent.

2.1. Le motif légitime : la procédure pénale « en germe »

Le président du Tribunal judiciaire Paris le 12 novembre 2024 précise que les infractions pénales sont bien des motifs légitimes. Il convient qu’une action soit engagée dans ce cadre. L’action n’est pas nécessairement judiciaire et une plainte auprès du procureur suffit.

Pour leur part, les sociétés Free ont mis en œuvre une plainte pénale pour escroquerie et atteinte frauduleuse à un système de traitement automatisé de données. Cette plainte est qualifiée par le juge de procédure pénale « en germe ». Il estime donc qu’il y a bien un motif légitime. L’éventualité d’un procès suffit.

Il est néanmoins rappelé que le litige qui pourrait survenir doit être plausible et crédible. Ainsi, dans le cas d’espèce, les fondements pénaux semblent pouvoir correspondre aux agissements du suspect. Dans ce cadre, il est donc possible d’admettre l’existence d’un motif légitime des sociétés Free.

2.2. L’absence de procès au fond

Le juge examine la deuxième condition. Il constate qu’il n’y a pas de procès au fond. La plainte ne caractérise pas un procès.

2.3. Des mesures légalement admissibles, puisque cohérentes avec les dispositions du Code des postes et communications électroniques (CPCE)

Pour mettre en œuvre l’article 145 du CPC, il convient de demander des mesures légalement admissibles. La mesure doit dans ce cadre être proportionnée et adaptée à l’objectif poursuivi par les demandeurs.

L’objectif des sociétés Free est de permettre la poursuite des personnes ayant frauduleusement obtenu les données des abonnés Free.

Pour mettre en œuvre cette poursuite, il convient d’obtenir des informations identifiant les suspects.

Dans ce cadre, le Code des postes et des communications électroniques est d’une aide précieuse. En effet, il permet d’éviter la mise en œuvre de procédures lourdes. L’article 34-1 du CPCE oblige les opérateurs de communication électronique, tels que Telegram à conserver pour les « besoins des procédures pénales » les informations relatives à l’identité civile de l’utilisateur. Ils doivent aussi conserver les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte. 

L’article 10-13 du CPCE expose en détail ce que sont des données. Il s’agit des nom, prénom, date et lieu de naissance des personnes physiques, adresses postales et de courrier électronique, numéros de téléphone, l’identifiant utilisé, le ou les pseudonymes utilisés, les données de vérification de mot de passe ou de modification.

Ainsi, le Tribunal judiciaire de Paris confirme qu’étant donné la poursuite pénale potentielle, le CPCE s’applique. Il permet ainsi d'obtenir les données permettant d'identifier la personne suspectée d'escroquerie et d'atteinte à un système informatique de Free. Telegram inc. doit donc transmettre les éléments.

3. Nos recommandations

De plus en plus d’infractions sont commises sur internet. Les réseaux sociaux servent souvent de véhicule aux suspects. Or, les services de police sont souvent occupés par de nombreux dossiers et ces dossiers parfois complexes, les suspects difficiles à identifier.

Il est donc possible d’accélérer la procédure en obtenant l’identité des personnes par la voie du référé 145 du CPC à l’instar des sociétés Free.

Pour cela, un plan d’actions doit être mis en place :

  • dans un premier temps, il est essentiel de rassembler le maximum d'informations sur le suspect, l'infraction et ses impacts sur la société ;
  • rédiger et transmettre au procureur judiciaire compétent géographiquement une plainte pénale ;
  • demander l’identité du suspect, aux réseaux sociaux, à l’amiable ; 
  • engager une procédure en référé (d'heure à heure le cas échéant en cas d’extrême urgence), sur le fondement de l'article 145 du CPC, afin d'obtenir rapidement les données d'identification ;
  • compléter la plainte pénale.

Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion de votre stratégie et de vos demandes aux réseaux sociaux.

Pour toute question, n’hésitez pas à nous contacter.

Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.