Tribunal judiciaire de Paris, 8 août 2023, 23/55920

TRIBUNAL
JUDICIAIRE
DE PARIS

No RG 23/55920 – No Portalis 352J-W-B7H-C2MKQ

No : 1/MM

Assignation du :
27 et 28 juillet 2023

JUGEMENT RENDU SELON LA PROCEDURE ACCELEREE AU FOND
le 08 août 2023

par Nathalie SABOTIER, 1ère vice-présidente adjointe au Tribunal judiciaire de Paris, agissant par délégation du Président du Tribunal,

Assistée de Minas MAKRIS, Faisant fonction de Greffier.
DEMANDERESSE

CNIL
[Adresse 3]
[Adresse 3]
[Localité 5]

représentée par M^e Gregoire WEIGEL avocats au barreau de PARIS – #G 0766

DEFENDEURS

S.A. ORANGE
[Adresse 1]
[Localité 10]

représentée par Maître Christophe CARON de l’AARPI Cabinet Christophe CARON, avocats au barreau de PARIS – #C0500

S.A.S. FREE
[Adresse 9]
[Localité 6]

représentée par Maître Yves COURSIN de l’AARPI COURSIN CHARLIER AVOCATS, avocats au barreau de PARIS – #C2186

S.A. BOUYGUES TELECOM
[Adresse 4]
[Localité 8]

représenté par Maître François DUPUY de la SCP HADENGUE et Associés, avocats au barreau de PARIS – #B0873

S.A. SOCIETE FRANCAISE DU RADIOTELEPHONE – SFR
[Adresse 2]
[Localité 7]

représentée par Maître Pierre-olivier CHARTIER de l’ASSOCIATION CARRERAS, BARSIKIAN, ROBERTSON & ASSOCIES, avocats au barreau de PARIS – #R0139

DÉBATS

A l’audience du 02 Août 2023, tenue publiquement, présidée par Nathalie SABOTIER, 1ère vice-présidente adjointe, assistée de Minas MAKRIS, Faisant fonction de Greffier

EXPOSÉ DU LITIGE :

1. La Commission Nationale Informatique et Libertés, instituée par la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour mission de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

2. Ayant constaté que le site « leakbase » proposait à la vente les données personnelles des clients d’une armurerie en ligne, la CNIL a, par actes d’huissier des 27 et 28 juillet 2023 fait assigner devant le délégataire du président de ce tribunal siégeant à l’audience du 3 août 2023 à 10 heures les principaux fournisseurs d’accès à Internet en France afin qu’ils mettent en oeuvre des mesures de blocage de l’accès à ce site.

3. A l’audience du 3 août 2023, la CNIL a confirmé les termes de son assignation par laquelle elle demande au président de:
 – Enjoindre aux sociétés ORANGE, FREE, SFR et BOUYGUES TELECOM de mettre en oeuvre ou de faire mettre en oeuvre, sans délai et pour une durée qui ne saurait être inférieure à 18 mois, toutes mesures les plus adaptées et les plus efficaces de nature à assurer le blocage effectif du service de communication au public en ligne accessible aux adresses suivantes <www.leakbase.cc> et <www.leakbase.io> ;
 – Ordonner, vu l’urgence, l’exécution provisoire de l’ordonnance sur minute et même avant enregistrement ;
 – Condamner les sociétés Orange, Free, SFR et Bouygues Télécom, aux entiers dépens.

4. Par des conclusions notifiées par la voie électronique le 31 juillet 2023 et développées oralement à l’audience, la société Free demande au président de :
 – Apprécier si les demandes de la présidente de la CNIL sont proportionnées et fondées;
 – Constater que la société Free déclare être en mesure de bloquer les noms de domaine visées dans l’assignation ;
 – Dire que les éventuels blocage devront être effectués pour une durée limitée de 12 mois à compter de la décision à intervenir ;
 – Dire que la société Free disposera d’un délai compris entre 15 et 3 jours pour mettre en oeuvre les mesures de blocage ;
 – Dire qu’en cas de blocage, la présidente de la CNIL devra prévenir sans délai la société Free, au cas où l’un des noms de domaine venait à être désactivé, afin de ne pas maintenir un blocaghe devenu inutile ;
 – Donner acte à la société Free de ce qu’elle se réserve la possibilité de demander à la présidente de la CNIL le remboursement du coût éventuel des mesures de blocage;
 – Laisser à la présidente de la CNIL la charge des dépens.

5. Par des conclusions notifiées par la voie électronique le 1er août 2023 dont elle a confirmé les termes à l’audience, la société Orange demande au président de :
 – Lui DONNER ACTE qu’elle ne s’oppose pas à la mesure de blocage sollicitée par la présidente de la CNIL, dès lors qu’elle réunit les conditions cumulatives, exigées par le droit positif, que sont : la proportionnalité de la mesure, le caractère obligatoirement judiciaire préalable et impératif de la mesure dans son principe, son étendue et ses modalités, y compris pour son actualisation ; l’absence d’obligation de surveillance à la charge des fournisseurs d’accès à internet ; la liberté de choix de la technique à utiliser pour réaliser le blocage ; la durée limitée de la mesure ; le délai pour mettre en place les mesures et la prise en charge des coûts de la mesure de blocage par la demanderesse ;
En tout état de cause, dans l’hypothèse où la demande de blocage serait jugée fondée, de:
 – DIRE que la société Orange ne peut être enjointe que de bloquer l’accès aux seuls noms de domaine <leakbase.cc> et < leakbase.io> ;
 – ORDONNER que la mesure de blocage soit mise en oeuvre au plus tard dans un délai maximal de 3 jours suivant la signification à partie de la présente décision et ce pour une durée limitée ;
 – DECLARER que la présidente de la CNIL doit indiquer au conseil de la société ORANGE si les noms de domaine visés dans la décision ne sont plus actifs, en parallèle de la signification de la décision à venir et par lettre officielle, afin de préciser qu’il n’est plus nécessaire de procéder à leur blocage ;
 – DECLARER que la présidente de la CNIL doit indiquer au conseil de la société ORANGE si, postérieurement à la décision à intervenir, les noms de domaine visés dans la décision ne sont plus actifs et par lettre officielle, afin que les mesures de blocage afférentes puissent être levées ;
 – ORDONNER que chaque partie conserve à sa charge ses frais et dépens.

6. Par des conclusions notifiées par la voie électronique le 31 juillet 2023 reprises oralement à l’audience, la société SFR demande au président de :
 – APPRECIER si les conditions de l’article 6-I-8 de la LCEN sont remplies concernant les noms de domaine
« leakbase.io » et « leakbase.cc » ;
Si le président ordonne la mise en oeuvre d’une mesure de blocage, il lui est demandé de:
 – JUGER que la mesure devra viser exclusivement le blocage des nom de domaine « leakbase.io » et « leakbase.cc » et non des adresses URL ;
 – JUGER que SFR implémentera la mesure de blocage ordonnée par la décision à intervenir dans un délai maximum de trois jours à compter de la signification de la décision à intervenir ;
 – JUGER que la mesure de blocage mise en oeuvre par SFR sera limitée à une durée maximum de dix-huit mois à compter de la signification de la décision à intervenir, à l’issue de laquelle la présidente de la CNIL devra saisir la présente juridiction, afin de lui permettre d’apprécier la situation et de décider s’il convient ou non de reconduire lesdites mesures de blocage ;
 – JUGER que l’injonction qui sera prononcée à l’encontre de SFR devra être formulée comme suit, pour qu’elle puisse être correctement exécutée : « ENJOINDRE SFR de mettre en oeuvre, dans un délai maximum de trois jours à compter de la signification de la présente décision et pendant une durée de dix-huit mois à compter de la signification de la décision, des mesures propres à prévenir l’accès de leurs abonnés, situés sur le territoire français (et des abonnés situés sur le territoire français de sociétés qui utilisent le réseau de SFR pour fournir des services d’accès à internet), aux noms de domaine leakbase.io et leakbase.cc ;
 – DEBOUTER la présidente de la CNIL de sa demande tendant à ce que la décision à intervenir soit exécutoire sur minute et même avant enregistrement ;
 – DONNER ACTE à SFR qu’elle se réserve le droit de présenter à la CNIL une facture correspondant au montant de coûts de la mesure de blocage sollicitée par cette dernière;
En tout état de cause :
 – DEBOUTER la présidente de la CNIL de l’ensemble de ses autres demandes ;
 – DIRE que les parties pourront saisir la Présidente en cas de difficultés ou d’évolution du litige ;
 – JUGER QUE les dépens seront laissés à la charge de la présidente de la CNIL.

7. Par des conclusions notifiées par la voie électronique le 1er août 2023 dont elle a confirmé les termes à l’audience, la société Bouygues Télécom demande au président de :
 – Constater qu’elle s’en rapporte à la décision du président quant à la qualification du contenu du service de communication au public en ligne visé et aux dommages invoqués par la présidente de la CNIL ;
 – Apprécier s’il est proportionné et nécessaire à la protection des droits en cause d’ordonner aux fournisseurs d’accès à internet, dont la société Bouygues Telecom, la mise en oeuvre de la mesure de blocage sollicitée ;
Si le président du tribunal judiciaire de Paris considère qu’il est proportionné et nécessaire à la protection des droits en cause d’ordonner cette mise en oeuvre alors :
 – Enjoindre à la société Bouygues Telecom de mettre en oeuvre, dans un délai de quinze jours à compter de la notification de la décision à intervenir, les mesures de son choix propres à empêcher l’accès de ses abonnés et des abonnés des opérateurs utilisant son réseau situé sur le territoire français, aux noms de domaine « leakbase.cc » et « leakbase.io » ;
 – Dire que les mesures de blocage seront mises en oeuvre pour une durée limitée à dix-huit mois à compter de la signification de la décision à intervenir ;
 – Dire que la Présidente de la CNIL informera sans délai la société Bouygues Telecom dans l’hypothèse où la mesure de blocage deviendrait inutile ;
 – Dire que la société Bouygues Telecom, si elle l’estime utile, pourra se faire rembourser les coûts afférents à la mesure de blocage du site sur présentation des factures correspondantes à la présidente de la CNIL ;
 – Débouter la présidente de la CNIL de ses plus amples demandes, fins et conclusions ;
 – Dire que les parties pourront saisir le président du tribunal en cas de difficultés ou d’évolution du litige ;
 – Mettre les dépens à la charge de la présidente de la CNIL.

MOTIFS DE LA DÉCISION

8. Aux termes de l’article 21, IV, Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction issue de l’ordonnance no 2018-1125 du 12 décembre 2018, portant adaptation de la réglementation concernant la protection des données à caractère personnel, en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.

9. Selon l’article 1er de cette loi, l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 et de la présente loi.

10. L’article 6., I, 8., de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique prévoit quant à lui que le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d’y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.
11. Pour la mise en oeuvre de cette disposition, qui réalise la transposition en droit interne de la Directive 2000/31 du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), la Cour de justice de l’Union européenne a jugé (à propos des droits de propriété intellectuelle la solution étant transposable ici) que les juridictions nationales doivent assurer un juste équilibre entre la protection de ces droits et la liberté d’entreprendre dont bénéficient les FAI en vertu de l’article 16 de la Charte des droits fondamentaux (CJUE, 24 novembre 2011, Scarlet Extended, Aff. C-70/10; CJUE, 16 février 2012, SABAM, Aff. C-360/10).

12. Il résulte en l’occurrence des pièces produites aux débats que la CNIL a été informée le 27 juin 2023 de ce que le site en langue anglaise « Leakbase » (littéralement la base des fuites), accessible par les noms de domaines <www.leakbase.cc> et <www.leakbase.io>, proposait à la vente les données personnelles collectées par l’armurerie en ligne « Meyson » auprès de sa clientèle, ce que la CNIL a fait constater par ses agents vérificateurs.

13. Les vérifications opérées le 7 juillet 2023 ont mis en évidence qu’étaient ainsi accessibles sur le site litigieux, moyennant le paiement d’une inscription de 300 USD, les données d’environ 150.000 personnes (nom, prénom, civilité, adresse électronique notamment) ayant créé un compte auprès de la société Meyson qui exploite une armurerie en ligne, dont 25 entrées fournies gratuitement à titre d’ « échantillon ». Il résulte également des constatations des agents de la CNIL que le site « Leakbase », accessible par les noms de domaine leakbase.cc et leakbase.io, est entièrement dédié au partage de données personnelles piratées (« compromised data »). L’administrateur de ce site (qui s’identifie comme étant "[T]") n’est en outre accessible que par le service de messagerie instantanée cryptée Telegram par ses propres contacts. Le message de réponse d’indisponibilité est rédigé en langue russe. Aucun hébergeur de ce site n’est identifié.

14. De tout ce qui précède il résulte que :
 – la CNIL est recevable à solliciter la mise en oeuvre de mesures propres à faire cesser la divulgation sur Internet des données personnelles des clients de la société Meyson,
 – le site litigieux permet aux internautes, moyennant paiement, de télécharger des milliers de données personnelles volées, dont certaines très sensibles,
 – l’anonymisation intégrale du site démontre la parfaite connaissance du caractère illicite de son activité par son ou ses responsables, et l’impossibilité pour la CNIL d’agir à leur encontre.

15. Aussi, il apparaît justifié et proportionné d’enjoindre aux fournisseurs d’accès à Internet de mettre en oeuvre et/ou faire mettre en oeuvre, toutes mesures propres à empêcher l’accès au site « Leakbase », à partir du territoire français par leurs abonnés, à raison d’un contrat souscrit sur ce territoire, par tout moyen efficace de leur choix.

16. Les mesures de blocage concerneront les noms de domaine mentionnés au dispositif de la présente décision, et permettant l’accès au site litigieux, dont le caractère entièrement ou essentiellement illicite a été établi.

17. Ces mesures devront être mises en oeuvre sans délai, et au plus tard à l’expiration d’un délai de 3 jours suivant la signification de la présente décision, et pendant une durée de 18 mois.

18. Le coût des mesures de blocage, dont il n’est pas allégué ici qu’il porterait atteinte à leur liberté d’entreprendre (dès lors qu’il est réalisé par noms de domaine), restera à la charge des fournisseurs d’accès internet.

19. Chaque partie conservera la charge de ses dépens.

20. Il est rappelé qu’en application des articles 481-1 et 514-1 du code de procédure civile, le présente décision est de plein droit assortie de l’exécution provisoire de droit laquelle est compatible avec la nature de l’affaire.

PAR CES MOTIFS,

Le président, statuant publiquement, par mise à disposition au greffe, par jugement contradictoire et en premier ressort ,

ORDONNE aux sociétés ORANGE, BOUYGUES TELECOM, FREE et SFRde mettre en oeuvre et/ou faire mettre en oeuvre, toutes mesures propres à empêcher l’accès au site « Leakbase », à partir du territoire français, y compris dans les départements ou régions d’outre-mer et collectivités uniques ainsi que dans les îles Wallis et Futuna, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, par leurs abonnés (et ceux qui utilisent le réseau de SFR dans les mêmes conditions) à raison d’un contrat souscrit sur ce territoire, par tout moyen efficace, et notamment par le blocage des noms de domaine :
<leakbase.cc> et <leakbase.io>,
sans délai et au plus tard à l’expiration d’un délai de 3 jours suivant la signification du présent jugement, et pendant une durée de 18 mois à compter de la présente décision ;

DIT que le coût de la mise en oeuvre des mesures ordonnées restera à la charge des sociétés ORANGE, BOUYGUES TELECOM, FREE et SFR ;

RAPPELLE qu’en cas d’évolution du litige notamment par la modification des noms de domaines ou chemins d’accès au site « leakbase » lequel serait toujours actif, la CNIL pourra en référer à la présente juridiction selon la procédure accélérée au fond, en mettant à nouveau en cause par voie d’assignation les parties présentes à cette instance ou certaines d’entre elles, afin que l’actualisation des mesures soit ordonnée ;

DIT que s’il était porté à la connaissance de la CNIL au cours des 18 prochains mois que le site « leakbase » avait cessé d’être actif, sa présidente en informera les fournisseurs d’accès à Internet afin que la mesure soit levée (et éviter ainsi les blocages inutiles) ;

LAISSE à chacune des parties la charge de ses propres dépens ;

RAPPELLE que le présent jugement est exécutoire de plein droit.

Fait à Paris le 08 août 2023.

Le Greffier, La Présidente,

Minas MAKRIS Nathalie SABOTIER