Quelqu’un publie depuis un pseudonyme des contenus qui vous nuisent — des avis frauduleux, des messages diffamatoires, une usurpation d’identité, un raid numérique, un deepfake. Vous voulez savoir qui se cache derrière le compte. L’instinct est juste : sans identification, pas de procès au fond, pas d’indemnisation, pas de sanction.
Le réflexe est ensuite mauvais, à peu près systématiquement. On croit qu’il suffit d’écrire à la plateforme pour obtenir le nom de l’auteur. On croit que toute infraction permet de remonter à l’adresse IP. On croit qu’on a tout le temps. Trois croyances fausses. La réalité est qu’il existe en France une architecture juridique précise, modelée par la jurisprudence européenne, qui distingue trois niveaux de données et trois régimes d’accès. Et que cette architecture comporte un verrou : sans qualification d’une infraction suffisamment grave, les données techniques de connexion — celles qui permettent réellement d’identifier l’auteur — restent inaccessibles.
Plus grave encore : les données techniques ne sont conservées qu’un an. Chaque mois d’attente referme la fenêtre d’identification. Et lorsque l’auteur a utilisé un VPN, même l’adresse IP obtenue peut s’avérer fantaisiste.
L’objet de cet article est de décrire la procédure réelle d’identification d’un internaute anonyme en 2026 : quelles voies sont ouvertes, quelles données sont communicables, quelle entité viser, à quel coût et dans quels délais — et surtout, ce que vous n’obtiendrez pas.
L’architecture en trois niveaux : la clé de tout le dispositif
L’article L. 34-1, II bis, du Code des postes et des communications électroniques constitue désormais la grille de lecture de toute opération d’identification. Le texte, dans sa rédaction issue de la loi n° 2021-998 du 30 juillet 2021 et stabilisé après l’arrêt CJUE La Quadrature du Net II du 30 avril 2024 (aff. C-470/21), distingue trois catégories de données conservées par les opérateurs et hébergeurs, soumises à trois régimes d’accès très différents.
Premier niveau — l’identité civile (cinq ans)
Les opérateurs conservent, pendant cinq ans à compter de la fin de validité du contrat ou du service, les nom et prénom de l’utilisateur, sa date et son lieu de naissance, ses adresses postales, ses adresses électroniques et ses numéros de téléphone. Pour les personnes morales, on y ajoute la raison sociale et l’identité du représentant légal.
Ces données sont accessibles pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale. Aucune exigence de gravité particulière n’est requise : toute infraction pénale, même punie d’une simple amende, ouvre la porte.
Deuxième niveau — les autres informations déclaratives et les paiements (un an)
L’identifiant utilisé, les pseudonymes, les données de vérification du mot de passe, ainsi que le type de paiement, sa référence, son montant et sa date, sont conservés un an à compter de la fin du contrat ou de la clôture du compte. Mêmes finalités d’accès que pour le premier niveau : une procédure pénale suffit.
Troisième niveau — les données techniques de connexion (un an, et verrou pénal)
L’adresse IP attribuée à la source de la connexion, le port associé, le numéro d’identifiant utilisateur, le numéro d’identification du terminal et le numéro de téléphone à l’origine de la communication ne sont conservés qu’un an à compter de la connexion. Surtout, leur communication n’est admise « que pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale ».
C’est ici que joue le verrou : sans qualification d’une délinquance grave, l’accès aux adresses IP est refusé. Et sans adresse IP, l’identification matérielle de l’auteur reste, dans la plupart des cas, hors de portée — les données déclaratives, on le verra, sont souvent fantaisistes.
| Niveau | Données | Conservation | Accès |
|---|---|---|---|
| 1 | Identité civile (nom, prénom, naissance, adresse, e-mail, téléphone) | 5 ans | Toute procédure pénale |
| 2 | Autres déclaratives (identifiant, pseudonyme) + paiement (type, référence, montant, date) | 1 an | Toute procédure pénale |
| 3 | Données techniques (IP, port, identifiant utilisateur, équipement) | 1 an | Délinquance grave uniquement |
La grille du décret n° 2021-1362 du 20 octobre 2021 (codifié à l’article R. 10-13 du CPCE) précise pour chaque niveau les données effectivement à communiquer. Toute demande qui sort de cette grille — typiquement, la communication des coordonnées bancaires du compte bénéficiaire, et non du seul type et montant de paiement — sera rejetée comme excédant le périmètre légal.
La grande question pratique : votre infraction franchit-elle le seuil de la délinquance grave ?
C’est la première question à se poser, et celle que la plupart des justiciables — et beaucoup d’avocats — n’examinent pas. Si la qualification pénale n’atteint pas le seuil, vous n’obtiendrez pas les adresses IP, et l’opération d’identification a toutes les chances d’échouer.
Les infractions qui franchissent le seuil
L’usurpation d’identité numérique (article 226-4-1 du Code pénal) : un an d’emprisonnement et 15 000 euros d’amende. C’est l’incrimination de référence pour les chaînes clones, les faux comptes Instagram, les profils miroirs sur TikTok, X ou LinkedIn. La pratique des juridictions parisiennes en fait un fondement solide pour la qualification de délinquance grave.
L’escroquerie (article 313-1 du Code pénal) : cinq ans d’emprisonnement et 375 000 euros d’amende. Couvre tout l’arsenal de la cyberfraude affectant les professionnels et les créateurs : faux placements de produits, dropshipping frauduleux, fausses opérations crypto, captation d’abonnés payants.
Le cyberharcèlement (article 222-33-2-2 du Code pénal) : deux ans et 30 000 euros lorsque l’infraction est commise par l’utilisation d’un service de communication au public en ligne ou d’un support numérique. Le texte couvre expressément le « raid numérique » coordonné — les propos de plusieurs personnes sur une même victime — et constitue l’arme privilégiée contre les vagues de haine ciblées.
Les atteintes à la vie privée et à l’image (articles 226-1 et 226-2 du Code pénal) : un an et 45 000 euros, portés à deux ans et 60 000 euros en cas de circonstance aggravante.
La diffusion de montages et de deepfakes (articles 226-8 et 226-8-1 du Code pénal, issus de la loi n° 2024-449 du 21 mai 2024 dite SREN) : deux ans et 45 000 euros pour la diffusion d’un contenu généré algorithmiquement sans qu’il apparaisse à l’évidence qu’il s’agit d’un contenu généré ; trois ans et 75 000 euros pour les deepfakes à caractère sexuel diffusés en ligne.
La contrefaçon de droits d’auteur et de droits voisins (articles L. 335-3 et L. 335-4 du Code de la propriété intellectuelle) : trois ans et 300 000 euros, jusqu’à sept ans et 750 000 euros en bande organisée. Le Tribunal judiciaire de Paris a explicitement jugé que la contrefaçon relevait de la délinquance grave au sens de l’article L. 34-1, II bis, du CPCE (TJ Paris, service des référés, 17 avril 2026, RG 26/52518) — mais cette qualification, non débattue dans l’espèce, n’est pas définitivement consolidée et reste contestée par une partie de la doctrine.
Les menaces et le chantage (articles 222-17, 222-18 et 312-10 du Code pénal) : peines allant jusqu’à cinq ans et 75 000 euros.
L’angle mort : la diffamation et l’injure publiques
C’est le piège le plus fréquent et le moins documenté. La diffamation publique envers un particulier (article 32, alinéa 1er, de la loi du 29 juillet 1881) et l’injure publique envers un particulier (article 33, alinéa 2) sont punies d’amendes, sans peine d’emprisonnement à titre principal.
Or l’article 60-1-2 du Code de procédure pénale, introduit par la loi n° 2022-299 du 2 mars 2022, réserve la possibilité d’ordonner des mesures techniques d’identification des auteurs d’infractions commises par l’utilisation d’un réseau de communications électroniques aux seuls délits punis d’au moins un an d’emprisonnement.
La Cour de cassation l’a rappelé dans l’affaire YouTube « Les dossiers Monaco » (Cass. 1re civ., 26 février 2025, n° 23-16.762, FS-B+R) : la diffamation publique envers un particulier n’entre pas dans le périmètre de l’article 60-1-2 CPP. L’identification technique des auteurs n’a pas pu aboutir, et la chambre d’instruction a notifié un réquisitoire de non-lieu motivé par cette impossibilité.
Seules les versions discriminatoires de la diffamation et de l’injure — commises en raison de l’origine, de la religion, du sexe, de l’orientation sexuelle ou du handicap (article 32, alinéas 2 et 3, et article 33, alinéas 3 et 4) — sont assorties de peines d’emprisonnement et franchissent le seuil.
Pour une simple diffamation envers un particulier sur les réseaux sociaux, sans circonstance aggravante, on peut obtenir l’identité civile déclarée par l’utilisateur, mais pas son adresse IP. Et l’identité civile déclarée se révèle, le plus souvent, soit fantaisiste, soit usurpée. C’est tout l’enjeu de la qualification à travailler en amont.
Quand les propos sont à la fois diffamatoires et constitutifs de cyberharcèlement, ou s’inscrivent dans une campagne organisée, c’est la qualification de cyberharcèlement (deux ans d’emprisonnement) ou d’usurpation d’identité numérique qu’il faut faire valoir au juge — non la diffamation seule.
Viser la bonne entité : l’erreur procédurale qui coule le dossier
Avant de se demander quelle procédure engager, il faut savoir contre qui. C’est, en pratique, la difficulté la plus négligée et la plus sanctionnée.
Le principe est simple : il faut assigner le responsable de traitement des données, au sens du RGPD, désigné dans les conditions d’utilisation de la plateforme. Pas la maison mère américaine. Pas la filiale française qui ne fait que de la commercialisation. Le responsable de traitement pour l’Union européenne, qui est très généralement établi en Irlande pour les plateformes structurantes, mais pas systématiquement.
| Plateforme | Entité à assigner | Siège |
|---|---|---|
| Facebook, Instagram, WhatsApp, Threads | Meta Platforms Ireland Limited | Dublin (Irlande) |
| Google, YouTube, Gmail, Maps, Drive | Google Ireland Limited | Dublin (Irlande) |
| X (ex-Twitter) | X Internet Unlimited Company | Dublin (Irlande) |
| TikTok | TikTok Technology Limited | Dublin (Irlande) |
| LinkedIn Ireland Unlimited Company | Dublin (Irlande) | |
| Snapchat | Snap Group Limited (Royaume-Uni) ou Snap Inc. (États-Unis) | Londres ou Santa Monica |
| Reddit Inc. | San Francisco | |
| Discord | Discord Inc. | San Francisco |
| Telegram | Telegram Group Inc. — Belgique pour l’UE | Bruxelles |
| Microsoft (Outlook, OneDrive, Teams) | Microsoft Ireland Operations Limited | Dublin (Irlande) |
| Wikipédia | Wikimedia Foundation, Inc. | San Francisco |
Les conditions générales d’utilisation de chaque plateforme désignent expressément le responsable de traitement. Il faut les consulter avant l’assignation et viser nominativement cette entité.
Les sanctions de l’erreur sont sèches. Le Tribunal judiciaire de Nanterre, dans une ordonnance du 17 avril 2026 (RG 26/00440), a déclaré irrecevable l’action d’un député qui avait visé la maison mère américaine d’un réseau social alors que les conditions d’utilisation désignaient un responsable de traitement établi en Irlande. Le même jour, le Tribunal judiciaire de Paris (TJ Paris, 20 avril 2026, RG 26/51179) a débouté une avocate qui cherchait à identifier les auteurs d’avis dénigrants en ligne, assignant Google France au lieu de Google Ireland Limited — quand bien même Google France avait, entre-temps, transmis l’assignation à son homologue irlandaise.
L’erreur peut se réparer par une nouvelle assignation, mais elle coûte une procédure, des honoraires, et surtout du temps — ressource précieuse compte tenu du délai de conservation à un an.
Trois voies procédurales, et comment choisir
Trois fondements procéduraux coexistent. Ils ne sont pas exclusifs et le choix dépend de l’urgence, de l’effet recherché et de la nature des contenus.
La requête sur le fondement de l’article 145 du Code de procédure civile
Procédure non contradictoire, déposée auprès du Président du tribunal judiciaire compétent. La dérogation au contradictoire suppose une justification motivée — typiquement, le risque que la partie adverse, informée de la demande, ne supprime le compte et les contenus avant l’exécution de la mesure. La pratique du tribunal judiciaire de Paris est exigeante sur ce point : à défaut de motif sérieux de surprise, l’ordonnance est refusée et il faut basculer en référé.
L’avantage est la rapidité — quelques semaines depuis le dépôt jusqu’à la signification de l’ordonnance. L’inconvénient est la fragilité : l’hébergeur peut former un référé-rétractation sur le fondement de l’article 496, alinéa 2, du CPC, et obtenir l’annulation de la mesure en cas de défaut de motif légitime de non-contradiction.
Le référé sur le fondement de l’article 145 du Code de procédure civile
Procédure contradictoire devant le juge des référés. C’est la voie principale lorsque la dérogation au contradictoire n’est pas justifiée ou lorsque la requête a été refusée. Quatre conditions cumulatives de l’article 145 CPC doivent être réunies :
- un motif légitime de conserver ou d’établir la preuve avant tout procès ;
- une mesure d’instruction sollicitée avant tout procès au fond ;
- la preuve de faits dont pourrait dépendre la solution d’un litige potentiel et plausible ;
- une mesure d’instruction légalement admissible et proportionnée.
Le motif légitime est apprécié au regard de l’utilité de la mesure pour réunir des éléments susceptibles de commander la solution d’un litige potentiel. Le demandeur n’a pas à démontrer le bien-fondé de ses prétentions au fond — il lui suffit d’établir que le litige potentiel n’est pas manifestement voué à l’échec (Cass. 2e civ., 4 novembre 2021, n° 21-14.023).
Le Tribunal judiciaire de Paris a confirmé que le référé 145 CPC reste compétent pour ordonner la communication des données d’identification, en parallèle de la procédure accélérée au fond de l’article 6-3 LCEN (TJ Paris, 18 juillet 2023, n° 23/51184 ; TJ Paris, 31 janvier 2023, n° 22/58589). La cour d’appel de Paris l’a confirmé en présence d’une plainte pénale en cours, dans une affaire impliquant Twitter et la société RT France : la procédure pénale ne fait pas obstacle au 145 CPC dès lors qu’aucun juge du fond civil n’a encore été saisi.
Le Tribunal judiciaire de Paris a même admis, dans une décision relative au produit Gmail, que la voie du référé 145 CPC est ouverte contre Google Ireland pour identifier l’auteur de courriels constitutifs de chantage et de menaces (TJ Paris, 28 mars 2024, RG 24/51026).
La procédure accélérée au fond sur le fondement de l’article 6-3 de la LCEN
L’article 6-I.8 de la LCEN, devenu article 6-3 à la suite de la loi SREN n° 2024-449 du 21 mai 2024, ouvre une procédure accélérée au fond devant le Président du tribunal judiciaire pour prescrire toutes mesures propres à prévenir ou faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.
L’avantage de cette voie est qu’elle permet de cumuler dans la même instance la demande de communication des données d’identification et la demande de retrait du contenu — ce que le référé 145 CPC ne permet pas, le retrait n’étant pas une mesure d’instruction (CA Paris, pôle 1, ch. 2, 21 décembre 2023, n° 23/06581).
Inconvénient majeur, posé par la Cour de cassation dans l’affaire des « Dossiers Monaco » : pour ordonner le retrait du contenu en l’absence de débat contradictoire avec son auteur, le juge doit constater le caractère manifestement illicite des propos. Ce caractère manifestement illicite n’est pas établi par la seule communication de propos diffamatoires, dès lors que la diffamation peut être écartée si la preuve de la vérité est rapportée ou si l’excuse de bonne foi est admise (Cass. 1re civ., 26 février 2025, n° 23-16.762, FS-B+R). En d’autres termes, le retrait par la PAF est extrêmement difficile à obtenir lorsque le contenu litigieux relève des infractions de presse — il l’est davantage pour les contenus relevant du Code pénal (cyberharcèlement, usurpation, atteinte à la vie privée, deepfake).
La voie pénale parallèle
Indépendamment de l’action civile, la victime peut déposer plainte simple, plainte avec constitution de partie civile devant le doyen des juges d’instruction, ou citation directe (cette dernière étant impossible tant que l’auteur n’est pas identifié).
Une fois l’enquête ouverte, le parquet peut requérir les données auprès des hébergeurs sur le fondement des articles 60-1, 60-1-1, 77-1-1 et 77-1-2 du Code de procédure pénale. Le juge d’instruction peut le faire sur le fondement des articles 99-3 et 99-4. Avantage : la voie pénale donne accès aux données techniques pour les infractions punies d’au moins un an d’emprisonnement, et permet d’obtenir, en aval, des données auxquelles le juge civil n’a pas accès — typiquement les coordonnées du compte bancaire bénéficiaire des paiements, via la voie des réquisitions ou des commissions rogatoires.
Le dépôt d’une plainte avec constitution de partie civile a un effet précieux : il interrompt la prescription, en particulier la prescription trimestrielle de la loi de 1881 en matière de diffamation et d’injure publiques. Combiné à un référé 145 CPC parallèle, c’est souvent la stratégie la plus efficace : la plainte avec CPC sécurise le délai pendant que le 145 CPC obtient l’identification (TJ Paris, réf., 25 février 2021).
Ce que vous obtiendrez — et ce que vous n’obtiendrez pas
Les données effectivement communicables
Sous condition d’une procédure pénale ouverte (Niveaux 1 et 2) ou d’une délinquance grave qualifiée (Niveau 3), vous obtiendrez :
- L’identité civile déclarée par l’utilisateur : nom et prénom, date et lieu de naissance pour une personne physique ; raison sociale et identité du représentant légal pour une personne morale ; adresses postales associées ; adresses électroniques ; numéros de téléphone.
- L’identifiant de connexion et les pseudonymes utilisés.
- Les données du paiement : type de paiement utilisé, référence du paiement, montant, date et lieu de la transaction physique le cas échéant.
- Les données techniques (uniquement en cas de délinquance grave) : adresse IP de la source de la connexion, port associé, numéro d’identifiant de l’utilisateur, numéro d’identification du terminal, numéro de téléphone à l’origine de la communication.
Les données que vous n’obtiendrez pas par la voie civile
Plusieurs catégories de données restent hors de portée de l’article 145 CPC et de la PAF 6-3 LCEN, et nécessitent une voie pénale :
- Les coordonnées bancaires du compte bénéficiaire des paiements. L’article R. 10-13, III, du CPCE autorise la communication du type, de la référence, du montant et de la date du paiement, mais pas des coordonnées bancaires elles-mêmes. Le Tribunal judiciaire de Paris l’a explicitement rappelé dans l’ordonnance du 17 avril 2026 (RG 26/52518). Pour obtenir ces données, il faut passer par les réquisitions du parquet (article 60-1 ou 77-1-1 CPP) ou par une commission rogatoire après ouverture d’une instruction.
- Les données de trafic et de localisation au-delà de la source de connexion : la date, l’horaire et la durée de chaque communication, les services complémentaires utilisés, les destinataires de la communication, la localisation pour les communications mobiles. La cour d’appel de Paris a refusé d’ordonner leur communication même en matière pénale (CA Paris, pôle 1, ch. 2, 21 décembre 2023, n° 23/06581 — Meta / ANPAA), au motif qu’elles ne peuvent être conservées que pour les besoins de la criminalité grave et que leur communication suppose une finalité conforme à celle ayant justifié la conservation (CJUE, 2 mars 2021, C-746/18, H.K. c/ Prokuratuur).
- Les données que l’intermédiaire technique ne collecte pas. L’article 8 du décret n° 2021-1362 est clair : on ne peut exiger d’un hébergeur la communication de données qu’il ne conserve pas, et encore moins l’obliger à en garantir la véracité. La sanction est immédiate : les demandes excédant le périmètre légal ou portant sur des données non collectées sont rejetées comme disproportionnées.
Le contrôle de proportionnalité
Le juge soumet systématiquement la demande à un contrôle de proportionnalité. Les demandes tentaculaires — communication des données de comptes connexes, cartographie d’écosystèmes plus larges, conservation prolongée au-delà du nécessaire — sont rejetées comme excédant l’objectif d’identification (TJ Paris, 17 avril 2026, RG 26/52518, qui a rejeté la demande de communication des données « d’autres chaînes YouTube ou comptes Google associés au même AdSense ou administrés depuis les mêmes IP », comme étant « sans lien suffisant avec les faits précités et, par conséquent, disproportionnée à l’objectif poursuivi »).
La leçon pratique est de circonscrire strictement la demande : aux comptes concernés, aux contenus identifiés, aux fenêtres temporelles nécessaires. Toute extension non motivée ferme la porte.
L’écueil pratique qui fait s’effondrer beaucoup d’identifications : le VPN
Vous avez obtenu votre ordonnance, l’hébergeur communique les données. Vous découvrez que les données déclaratives sont fantaisistes — nom inventé, adresse postale inexistante, numéro de téléphone bidon. Reste l’adresse IP, dernier recours pour identifier l’auteur.
Sauf que l’adresse IP communiquée est celle d’un fournisseur de VPN, typiquement NordVPN, ProtonVPN, ExpressVPN. Vous obtenez une requête au fournisseur de VPN : il vous répond que sa politique de confidentialité interdit la conservation des journaux de connexion, et que la personne qui s’est cachée derrière son service est juridiquement irrécupérable.
C’est précisément ce qui s’est passé dans l’affaire de la chaîne YouTube « Les dossiers Monaco » : Google Ireland avait communiqué les données collectées, qui se sont révélées « fantaisistes », l’adresse IP renvoyait à NordVPN, et même la plainte avec constitution de partie civile s’est soldée par un réquisitoire aux fins de non-lieu motivé par l’impossibilité d’identifier l’auteur (Cass. 1re civ., 26 février 2025, n° 23-16.762).
Cet écueil n’est pas marginal : il concerne aujourd’hui une part significative des dossiers d’identification d’auteurs déterminés et techniquement avertis. Lorsqu’il se produit, le seul recours résiduel est la mobilisation du dispositif pénal pour requérir, via le parquet ou le juge d’instruction, des données complémentaires — date et heure précise de connexion, croisement avec d’autres comptes, identification par le faisceau d’indices, exploitation des transactions bancaires si paiement il y a eu. C’est une voie longue et incertaine.
Avant de lancer la procédure, vérifiez si l’auteur supposé est manifestement avisé techniquement ou s’il agit en amateur. Un commentaire colérique sous un avis Google a peu de chances d’être posté derrière un VPN. Une campagne de harcèlement orchestrée par un comptable professionnel ou un cabinet d’intelligence économique adverse en utilisera presque toujours un.
La cascade hébergeur → fournisseur d’accès Internet
Lorsque l’identification ne peut pas se faire au niveau de l’hébergeur — soit que les données déclaratives sont fantaisistes, soit qu’il faut remonter à l’abonné réel derrière une adresse IP non-VPN —, une seconde ordonnance est souvent nécessaire pour interroger le fournisseur d’accès Internet (FAI) ayant attribué cette adresse IP à un instant donné.
La procédure se déroule alors en deux temps : première requête contre l’hébergeur (Meta, Google, X, TikTok) pour obtenir l’adresse IP de la source de la connexion ; seconde requête contre le FAI (Orange, Free, SFR, Bouygues Telecom) pour identifier le titulaire de l’abonnement utilisé au moment de la connexion. Le coût et le délai sont multipliés d’autant.
La donnée IP fournie par l’hébergeur n’est utilisable que dans la fenêtre d’un an de conservation par le FAI, qui court à compter de la connexion elle-même. Si la connexion litigieuse remonte à treize mois, la donnée existe peut-être encore chez l’hébergeur (1 an à compter de la connexion ou de l’utilisation des équipements terminaux) mais aura disparu chez le FAI. D’où l’importance, à nouveau, de la rapidité.
L’urgence : un an pour agir
Le délai d’un an pour les données de niveau 2 et 3 court à compter de la connexion, de la fin du contrat ou de la clôture du compte, selon le type de donnée. Pour les données techniques de niveau 3 (l’adresse IP, en particulier), le délai d’un an se déclenche à la date de la connexion elle-même — c’est-à-dire à la date de publication du contenu litigieux.
Concrètement : un avis Google diffamatoire posté le 15 mai 2025, signalé en interne au cabinet le 1er février 2026, ne laisse plus que jusqu’au 15 mai 2026 pour obtenir une ordonnance signifiée et exécutée. Quatre mois pour rédiger l’assignation, obtenir la décision, signifier, et obtenir l’exécution. C’est court — surtout si on doit gérer un référé-rétractation ou une mauvaise désignation d’entité.
Cette donnée temporelle gouverne la stratégie d’ensemble. Plus vous tardez, plus le faisceau d’identification se rétracte. Au-delà d’un an et un jour, l’identification par adresse IP est juridiquement éteinte — sauf à reposer sur les seules données déclaratives, qui sont, on l’a vu, souvent fantaisistes.
Le constat de commissaire de justice : la preuve qui ne tient pas s’évapore
Une procédure d’identification suppose, en amont, que les contenus litigieux soient figés de manière probante. Une simple capture d’écran ne suffit pas : elle peut être manipulée, datée incorrectement, ou contestée. Et surtout, le contenu litigieux peut être supprimé par son auteur dès qu’il sent venir l’action — privant la procédure de son objet.
Le seul mode de preuve robuste est le constat de commissaire de justice (anciennement huissier de justice) respectant la norme AFNOR NF Z67-147. Cette norme encadre les modalités techniques du constat sur Internet : matériel utilisé, identification précise de l’URL, horodatage, vidage des caches, capture des en-têtes HTTP, traçabilité de la chaîne de garde. Un constat qui ne respecte pas la norme peut être écarté par les tribunaux.
Le coût d’un constat sur Internet à la norme AFNOR varie de 250 à 800 euros selon la complexité — c’est un investissement marginal au regard de la valeur de la procédure subséquente. Le délai pour faire dresser un constat est généralement de quelques jours.
C’est cette étape qui fait, en pratique, la différence entre une procédure aboutie et un dossier qui s’effondre faute de preuve. À faire en priorité, avant même de saisir un avocat — ou simultanément.
L’astreinte : un faux ami
Beaucoup de demandeurs croient nécessaire de demander une astreinte pour contraindre l’hébergeur à exécuter. C’est en général inutile : les plateformes étrangères structurantes (Meta, Google, X, TikTok) exécutent spontanément les décisions de justice qui leur sont signifiées, dans les délais ordonnés. La pratique du Tribunal judiciaire de Paris est de refuser l’astreinte au motif qu’« aucun élément ne permet de considérer que l’hébergeur n’exécutera pas spontanément la présente ordonnance, qui constitue une décision judiciaire et non une sollicitation du demandeur » (TJ Paris, réf., positions constantes 2023-2026).
L’astreinte ne devient utile qu’en cas de retard d’exécution avéré, et se demande alors au juge de l’exécution — voie efficace mais qui suppose une nouvelle procédure. Pour les plateformes secondaires ou moins coopératives (certains forums, certains éditeurs marginaux), l’astreinte d’origine peut être justifiée.
Coût et frais : le client doit savoir
Trois postes de coûts à anticiper.
Le constat de commissaire de justice : 250 à 800 euros HT selon la complexité. Indispensable.
Les honoraires d’avocat : pour une procédure d’identification standard contre une plateforme étrangère, comprenant analyse du dossier, qualification pénale, choix de la voie procédurale, rédaction de l’assignation et plaidoirie, l’enveloppe se situe en général entre 3 000 et 8 000 euros HT, selon la complexité du dossier, le nombre d’entités à viser, et l’opposition probable. En cas de cascade hébergeur → FAI, comptez deux procédures. En cas d’opposition de l’hébergeur ou de référé-rétractation, le coût augmente d’autant.
Les frais irrépétibles non récupérés : c’est le poste que les clients ne voient pas venir. La jurisprudence constante de la Cour de cassation considère que l’hébergeur défendeur à une mesure d’instruction in futurum sur le fondement de l’article 145 CPC n’est pas une partie perdante au sens de l’article 696 du Code de procédure civile : il n’a fait que se conformer à une obligation légale. Les dépens sont par conséquent mis à la charge du demandeur, même quand celui-ci obtient gain de cause. Et la pratique du Tribunal judiciaire de Paris est de ne pas accorder d’article 700 dans ce contentieux. En pratique, le demandeur ne récupère donc pas grand-chose des frais engagés à ce stade — il faudra attendre l’action au fond contre l’auteur identifié pour tenter d’obtenir réparation du préjudice subi, y compris au titre de la perte d’une chance d’avoir pu contracter à des conditions plus avantageuses lorsque le contexte le justifie.
Un remboursement partiel peut être obtenu plus tard, devant le juge du fond statuant contre l’auteur identifié, au titre du préjudice résultant des frais d’identification engagés. Mais ce remboursement reste subordonné à l’identification effective et à la solvabilité de l’auteur — deux conditions qui ne sont pas toujours réunies.
Et après l’identification ? Le piège du choix de l’action au fond
L’identification n’est qu’un préalable. L’enjeu se déplace ensuite vers le choix de l’action au fond, qui dépend de la qualification des faits.
Pour les contenus diffamatoires ou injurieux publics, la voie est tracée par la loi du 29 juillet 1881 : citation directe devant le tribunal correctionnel, ou plainte avec constitution de partie civile devant le doyen des juges d’instruction. Délai de prescription : trois mois à compter de la première publication, brièveté qui rend la rapidité de l’identification déterminante. Le formalisme de l’article 53 de la loi de 1881 est sévère et la nullité de l’acte introductif est sans recours.
Pour le dénigrement d’une entreprise et de ses produits, c’est la voie civile fondée sur l’article 1240 du Code civil. Prescription de cinq ans, formalisme plus léger.
Pour le cyberharcèlement, l’usurpation d’identité, les atteintes à la vie privée, les deepfakes, l’escroquerie : voie pénale par plainte ou citation directe, complétée d’une action civile devant le juge correctionnel ou en réparation séparée.
Le client averti choisit en amont la stratégie d’ensemble : il ne sépare pas la procédure d’identification de l’action au fond, mais les pense comme un tout cohérent.
Le trou de souris : que faire quand la voie d’identification est fermée ?
Reste l’angle mort majeur du dispositif post-2021 : les entreprises et professionnels victimes de campagnes de dénigrement non pénalement qualifiables. Le dénigrement, qu’il vise les produits ou les services d’une entreprise, relève du droit civil de la responsabilité délictuelle (article 1240 du Code civil) — pas du Code pénal. Or l’article L. 34-1, II bis, du CPCE exige une finalité pénale pour la communication des données. Pas de procédure pénale, pas d’identification.
Plusieurs voies alternatives existent quand la voie pénale est fermée.
La notification LCEN à l’hébergeur (article 6-I.5 LCEN dans sa nouvelle numérotation). Lorsque le contenu est manifestement illicite — y compris au regard du droit civil pour des cas particulièrement caractérisés —, la notification formelle peut conduire l’hébergeur à retirer le contenu sans procédure judiciaire. Cette voie suppose une rédaction rigoureuse du formalisme imposé par les arrêts de la Cour de cassation du 17 février 2011 (DailyMotion, Fuzz, Amen), à défaut de quoi la notification est nulle et n’engage pas la responsabilité de l’hébergeur.
Le déréférencement par le moteur de recherche sur le fondement du droit à l’effacement (article 17 du RGPD) ou du droit au déréférencement issu de l’arrêt CJUE Google Spain du 13 mai 2014 (C-131/12). Cette voie ne supprime pas le contenu, mais le rend invisible dans les résultats de recherche pour le nom du demandeur. Elle ne suppose pas d’identification de l’auteur.
La suppression de la fiche Google Business Profile sur le fondement du RGPD, en attaquant directement la licéité du traitement des données du professionnel par Google (cour d’appel de Chambéry, 22 mai 2025, n° 22/01814 : Google condamnée à supprimer la fiche, à verser 10 000 euros de dommages et intérêts et 40 000 euros au titre de l’article 700).
La procédure accélérée au fond de l’article 6-3 LCEN contre l’hébergeur, pour obtenir le retrait du contenu sans identification de l’auteur — à condition de pouvoir démontrer le caractère manifestement illicite, ce qui, on l’a vu, est exigeant en matière de simple diffamation.
Faire supprimer un contenu ou avis (Google) sur internet ou en ligne
La fiction d’un dispositif équilibré
La loi n° 2021-998 du 30 juillet 2021 et le décret n° 2021-1362 du 20 octobre 2021 ont restructuré, sous la contrainte de la jurisprudence européenne (Tele2 Sverige du 21 décembre 2016, La Quadrature du Net du 6 octobre 2020, H.K. c/ Prokuratuur du 2 mars 2021), un dispositif d’accès aux données réservé aux finalités pénales graves. La loi n° 2024-449 du 21 mai 2024 dite SREN n’y a rien changé sur le fond : elle a renuméroté l’article 6 de la LCEN sans modifier le verrou.
Le résultat assumé est que les entreprises victimes de campagnes de dénigrement non pénalement qualifiables n’ont, en pratique, plus de voie efficace pour identifier les auteurs. Le rapporteur de la loi SREN, interrogé sur cette asymétrie en 2024, a admis que la rédaction proposée ne modifiait pas la procédure de levée d’anonymat telle qu’elle existait, sans expliquer comment les entreprises pouvaient désormais se protéger contre l’anonymat numérique des concurrents et des clients mal intentionnés.
L’asymétrie est défendable au regard de la jurisprudence européenne sur la protection des données. Elle est plus difficile à expliquer à un dirigeant d’entreprise dont le chiffre d’affaires s’effondre sous l’effet d’une campagne d’avis frauduleux coordonnée depuis l’étranger, et à qui on doit dire que la voie de l’identification civile lui est fermée — sauf à invoquer une qualification pénale (escroquerie, pratiques commerciales trompeuses, usurpation d’identité) qui peut effectivement exister dans certains cas, mais qui suppose un travail de qualification fine.
La règle ne dit pas comment elle s’applique à votre situation concrète. Les faits comptent autant que le droit — c’est précisément là qu’intervient l’avocat.
Valentin Simonnet est avocat au Barreau de Paris. Il intervient en contentieux des affaires et en droit pénal des affaires.
