Si une telle injonction est possible dans le cadre d’une affaire pénale à la demande des autorités judiciaires, le principe n’était pas encore fermement établi en ce qui concerne les procédures civiles. La Cour de Justice de l’Union européenne avait déjà évoqué cette question dans l’arrêt « Promusicae », rendu le 29 janvier 2008. La Cour avait déjà rappelé à l’occasion de ce premier arrêt que les adresses IP étaient des « données à caractère personnel », donc susceptibles de protection par la législation européenne et des Etats membres. Dans l’arrêt « Bonnier Audio Ab » (), prononcé le 19 avril 2012, la Cour a dit pour droit qu’une telle procédure d’injonction était envisageable, moyennant certains garde-fous. Bonnier Audio e.a., société d’édition, titulaire de droits exclusifs de reproduction, d’édition et de mise à disposition du public de 27 ouvrages se présentant sous la forme de livres audio, a saisi le tribunal de première instance de Solna, en Suède, d’une demande d’injonction aux fins de communication des nom et adresse de la personne faisant usage de l’adresse IP à partir de laquelle il est présumé que des fichiers sur lesquels elle dispose de droits de reproduction auraient été transmis. Cette affaire a donné lieu en appel à la saisine de la Cour de Justice à titre préjudiciel aux fins de préciser si la directive 2006/24 s’oppose à ce que des informations concernant un abonné, à qui une adresse IP a été attribuée, soient communiquées à d’autres personnes qu’aux autorités visées par ladite directive La Cour a considéré que la directive 2006/24 concerne exclusivement le traitement et la conservation de données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, aux fins de recherche, de détection et de poursuite d’infractions graves, ainsi que leur transmission aux autorités nationales compétentes. Cette directive ne concerne donc que les demandes d’information formulées par les autorités judiciaires, et ne doit pas être appliquée en l’espèce. La Cour, qui prend alors en considération une norme du droit de l’Union à laquelle le juge national n’a pas fait référence dans l’énoncé de sa question, comme elle y est autorisée, soit la directive 2004/48. Or dans son arrêt « Promusicae », la Cour a déjà jugé que l’article 8, paragraphe 3, de la directive 2004/48, lu en combinaison avec l’article 15, paragraphe 1, de la directive 2002/58, ne s’oppose pas à ce que les États membres établissent une obligation de transmission à des personnes privées de données à caractère personnel pour permettre d’engager, devant les juridictions civiles, des poursuites contre les atteintes au droit d’auteur, mais n’oblige pas non plus ces États à prévoir une telle obligation. La Cour précise que, lors de la transposition des directives 2002/58 et 2004/48, il incombe aux États membres de veiller à se fonder sur une interprétation de ces dernières qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique de l’Union. Ensuite, lors de la mise en œuvre des mesures de transposition de ces directives, il incombe aux autorités et aux juridictions des États membres non seulement d’interpréter leur droit national d’une manière conforme à ces mêmes directives, mais également de veiller à ne pas se fonder sur une interprétation de celles‑ci qui entrerait en conflit avec lesdits droits fondamentaux ou avec les autres principes généraux du droit de l’Union, tels que le principe de proportionnalité. En l’occurrence, la législation suédoise en question exige, notamment, que pour qu’une injonction de communiquer les données en cause puisse être ordonnée, des indices réels d’atteinte à un droit de propriété intellectuelle sur une œuvre existent, que les informations demandées soient susceptibles de faciliter l’enquête sur la violation du droit d’auteur ou l’atteinte à un tel droit et que les raisons motivant cette injonction soient d’un intérêt supérieur aux inconvénients ou aux autres préjudices qu’elle peut entraîner pour son destinataire ou à tout intérêt qui s’y oppose. Ainsi, cette législation permet à la juridiction nationale saisie de pondérer, en fonction des circonstances de chaque espèce et en tenant dûment compte des exigences résultant du principe de proportionnalité, les intérêts opposés en présence. Dans cette situation, une telle législation doit être considérée comme susceptible, en principe, d’assurer un juste équilibre entre la protection du droit de propriété intellectuelle, dont jouissent les titulaires de droit d’auteur, et la protection des données à caractère personnel dont bénéficie un abonné à Internet ou un utilisateur d’Internet. La Cour conclut donc que les directives 2002/58 et 2004/48 doivent être interprétées en ce sens qu’elles ne s’opposent pas à une législation nationale qui permet à la juridiction nationale saisie d’une demande d’injonction de communiquer des données à caractère personnel, introduite par une personne ayant qualité pour agir, de pondérer, en fonction des circonstances de chaque espèce et en tenant dûment compte des exigences résultant du principe de proportionnalité, les intérêts opposés en présence. Etat de la question en doit belge: La Cour de cassation estime de façon très restrictive que l’article 21, §2, de la loi du 11 mars 2003 sur certains aspects juridiques des services de la société de l’information, qui prévoit l’obligation pour les fournisseurs d’accès de communiquer aux autorités judiciaires ou administratives compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services, ne vise que les demandes formulées dans un cadre pénal, et non civil. Cette jurisprudence est en contradiction avec la position adoptée par la CJUE dans l’arrêt commenté et pourrait inciter le législateur belge à modifier la loi du 11 mars 2003 en vue de contrer une éventuelle impunité sur internet, les poursuites pénales étant très rares.
Notre conseil : En l’état actuel de la législation, il est judicieux de prévoir au sein des conditions générales une clause autorisant spécifiquement le prestataire à communiquer les données d'identification à des tiers en cas de plainte, et définissant les conditions requises pour ce faire.
«