Identifier l’auteur d’une infraction en ligne

Publié le 13 juillet 2026 · Contentieux du numérique · Réputation en ligne · Cyberharcèlement

Injures, harcèlement, doxing, usurpation d’identité : sur les réseaux sociaux, les infractions se commettent le plus souvent sous pseudonyme. Beaucoup de victimes renoncent, convaincues qu’« on ne peut rien faire contre un compte anonyme ». C’est faux. Les internautes laissent des traces numériques, et le droit organise précisément la manière de les faire parler. Explications, illustrées par plusieurs décisions récentes obtenues par le cabinet contre X (anciennement Twitter), Meta et TikTok.

L’anonymat en ligne est une illusion

Un compte créé sous pseudonyme donne à son titulaire un sentiment d’impunité. Ce sentiment est largement infondé. À chaque création de compte, à chaque connexion, à chaque publication, l’internaute laisse des traces : une adresse électronique ou un numéro de téléphone fournis à l’inscription, une adresse IP horodatée, des données de paiement parfois. La loi impose aux plateformes, aux hébergeurs et aux opérateurs de télécommunications de conserver ces données, précisément pour que la justice puisse, lorsqu’une infraction est commise, remonter jusqu’à son auteur.

Le droit pénal et le droit civil s’appliquent en ligne comme ailleurs. Le harcèlement commis sur un réseau social est même puni plus sévèrement que le harcèlement « classique » : deux ans d’emprisonnement et 30 000 € d’amende lorsque les faits sont commis par l’utilisation d’un service de communication au public en ligne (article 222-33-2-2 du code pénal). La révélation malveillante d’informations personnelles permettant d’identifier ou de localiser une personne (le doxing) est punie de trois ans d’emprisonnement et de 45 000 € d’amende (article 223-1-1 du code pénal).

Reste une difficulté pratique : pour poursuivre, encore faut-il savoir qui poursuivre. C’est tout l’enjeu de la levée de l’anonymat, ou plus exactement du pseudonymat.

Quelles données les plateformes et opérateurs doivent-ils conserver ?

L’article 6, V, A de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) impose aux fournisseurs d’accès à internet et aux hébergeurs, dont les réseaux sociaux, de détenir et conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ». Les catégories de données et leurs durées de conservation sont fixées par l’article L. 34-1 du code des postes et des communications électroniques (CPCE) et précisées par le décret n° 2021-1362 du 20 octobre 2021 (et, pour les opérateurs de communications électroniques, par l’article R. 10-13 du CPCE).

Schématiquement, trois blocs de données doivent être conservés, pour des durées et des finalités différentes :

Catégorie de données Contenu Durée de conservation Finalité d’accès
Identité civile Nom, prénom, date et lieu de naissance, adresses postales, adresses e-mail, numéros de téléphone 5 ans à compter de la fin du contrat ou de la clôture du compte Besoins des procédures pénales, quelle que soit l’infraction
Informations fournies à la création du compte et données de paiement Identifiant, pseudonymes, données de vérification du mot de passe ; type, référence et montant du paiement 1 an à compter de la fin du contrat ou de la clôture du compte Besoins des procédures pénales, quelle que soit l’infraction
Données techniques de connexion Adresse IP attribuée à la source de la connexion et port associé, identifiants techniques 1 an à compter de la connexion Lutte contre la criminalité et la délinquance grave uniquement

Deux enseignements immédiats. D’abord, les données existent : contrairement à une idée reçue, X, Instagram, TikTok, Snapchat ou YouTube détiennent de quoi identifier leurs utilisateurs, au moins indirectement. Ensuite, ces données sont périssables : les données techniques de connexion, souvent les plus précieuses, ne sont conservées qu’un an. La victime qui tarde à agir perd, mois après mois, ses chances d’identification.

Voie civile ou voie pénale : deux chemins vers l’identification

Pour obtenir ces données, la victime dispose de deux voies, qui peuvent d’ailleurs se combiner.

La voie pénale : la force de l’enquête, mais un tempo subi

Première option : déposer plainte. Les enquêteurs peuvent alors, sur autorisation du procureur de la République ou du juge d’instruction, adresser des réquisitions aux plateformes et aux opérateurs pour obtenir les données d’identification (articles 60-1 et suivants du code de procédure pénale). Cette voie présente des atouts réels : elle est gratuite, elle mobilise des pouvoirs d’enquête étendus (réquisitions, auditions, perquisitions le cas échéant) et elle aboutit directement à une procédure répressive.

Elle comporte aussi ses limites. La victime ne maîtrise ni le calendrier ni les diligences accomplies : selon l’encombrement des services d’enquête, la plainte peut rester plusieurs mois sans avancée, voire être classée sans suite, pendant que court le délai de conservation des données. Surtout, depuis la loi du 24 janvier 2022, l’article 60-1-2 du code de procédure pénale n’autorise les réquisitions portant sur les données techniques de connexion (ou sur les données de trafic et de localisation), à peine de nullité, que dans des cas limités : pour l’essentiel, lorsque la procédure porte sur un crime ou un délit puni d’au moins trois ans d’emprisonnement, ou sur un délit puni d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques, et, dans ce dernier cas, à la seule fin d’identifier l’auteur de l’infraction. Concrètement, pour une diffamation ou une injure publiques « simples », punies d’une seule amende, même les enquêteurs ne peuvent pas requérir les adresses IP.

La voie civile : la maîtrise du calendrier

Seconde option : agir directement contre la plateforme devant le juge civil pour qu’il lui ordonne de communiquer les données. C’est la voie que le cabinet met le plus souvent en œuvre, car elle permet d’obtenir des résultats en quelques semaines ou quelques mois, selon un calendrier que la victime maîtrise. Deux instruments procéduraux principaux :

  • Le référé probatoire de l’article 145 du code de procédure civile : s’il existe un motif légitime de conserver ou d’établir, avant tout procès, « la preuve de faits dont pourrait dépendre la solution d’un litige », le juge peut ordonner toute mesure d’instruction légalement admissible, dont la communication forcée des données d’identification. La victime n’a pas à prouver l’infraction à ce stade : elle doit rendre crédible l’existence d’un litige potentiel non manifestement voué à l’échec, et solliciter une mesure circonscrite et proportionnée.
  • La procédure accélérée au fond de l’article 6-3 de la LCEN : le président du tribunal judiciaire peut prescrire « à toute personne susceptible d’y contribuer toutes les mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ». La jurisprudence admet que la communication des données d’identification constitue une telle mesure, puisqu’elle permet d’engager une procédure contre l’auteur du contenu dommageable. Ce fondement permet en outre de solliciter, dans la même instance, la suppression des contenus illicites.

Ce que le cabinet a obtenu. Sur ces fondements, le cabinet a obtenu du tribunal judiciaire de Paris plusieurs décisions enjoignant aux grandes plateformes de communiquer les données d’identification et de connexion de comptes anonymes :

  • contre X (anciennement Twitter) : injonction de communiquer les données complètes d’identification et de connexion (adresses IP et ports sources compris) de trois comptes impliqués dans le cyberharcèlement d’une personnalité des réseaux sociaux (TJ Paris, procédure accélérée au fond, 11 avril 2025, n° RG 24/56234) ;
  • contre X, sur le fondement de l’article 145 du CPC : communication des données d’identification de deux comptes, ainsi que des adresses IP horodatées associées à 66 publications litigieuses et aux première et dernière connexions (TJ Paris, réf., 17 septembre 2025, n° RG 25/53558) ;
  • contre Meta (Instagram) : injonction de communiquer les données d’identification et les journaux de connexion du compte à l’origine d’un harcèlement visant le dirigeant d’une institution éducative (TJ Paris, procédure accélérée au fond, 18 août 2025, n° RG 25/55281) ;
  • contre TikTok : injonction de communiquer les données d’identification et de connexion d’un compte ayant repris et détourné, à 88 reprises en trois mois, les contenus d’une influenceuse, le compte litigieux ayant par ailleurs été désactivé par la plateforme en cours de procédure (TJ Paris, procédure accélérée au fond, 10 décembre 2025, n° RG 25/55869) ;
  • contre X et Meta : suppression de publications diffamatoires s’inscrivant dans une vague de cyberharcèlement et communication des données d’identification et de connexion de cinq comptes sur X, Facebook et Instagram (TJ Paris, procédure accélérée au fond, 20 mai 2026, n° RG 25/57612).

La limite essentielle : sans « délinquance grave », pas de données de connexion

C’est le point le plus technique, et le plus déterminant en pratique. Toutes les données ne s’obtiennent pas aux mêmes conditions.

Les données d’identité civile et les informations fournies à la création du compte peuvent être communiquées pour les besoins de toute procédure pénale. En revanche, les données techniques de connexion (adresse IP et port source, souvent les seules données réellement exploitables, car personne ne crée un compte de harcèlement sous son vrai nom) ne sont conservées et communicables que pour les besoins de la lutte contre la criminalité et la délinquance grave (article L. 34-1, II bis, 3° du CPCE, transposant les exigences du droit de l’Union européenne).

Le juge vérifie donc, avant d’ordonner la communication d’adresses IP, que les faits dénoncés sont susceptibles de constituer une infraction suffisamment grave. La jurisprudence admet que le harcèlement en ligne (puni de deux ans d’emprisonnement) et le doxing (puni de trois ans) relèvent de la délinquance grave. À l’inverse :

  • la diffamation et l’injure publiques « simples » ne relèvent pas de la délinquance grave : punies d’une seule amende (sous réserve des formes aggravées, notamment à caractère discriminatoire), elles ne permettent d’obtenir ni les adresses IP au civil, ni des réquisitions sur les données de connexion au pénal (article 60-1-2 du code de procédure pénale). Lorsque les propos sont uniquement diffamatoires ou injurieux, toute la stratégie consiste alors à rechercher si les faits, pris dans leur ensemble, peuvent recevoir une autre qualification (harcèlement en ligne, doxing, dénonciation calomnieuse, menaces, usurpation d’identité, contrefaçon) qui, elle, ouvre l’accès aux données de connexion ;
  • un fondement exclusivement civil ne suffit pas : dans la décision précitée du 10 décembre 2025 obtenue contre TikTok, le tribunal a rappelé que le dommage allégué sur le seul terrain des articles 9 (vie privée) et 1240 (responsabilité civile) du code civil ne permet pas d’ordonner la communication des données de connexion, réservée aux besoins des procédures pénales et à la délinquance grave. C’est parce que les faits étaient également susceptibles de constituer les délits de harcèlement en ligne et de contrefaçon que la communication a été ordonnée.

À retenir : le choix du fondement juridique n’est pas une coquetterie de juriste. Il commande directement l’étendue des données que le juge pourra ordonner de communiquer, et donc, souvent, le succès ou l’échec de l’identification. C’est en amont, dès la constitution du dossier (constats de commissaire de justice, certificats médicaux, plaintes), que cette qualification se prépare.

Comment se comportent les plateformes ?

Devant le juge français, les grandes plateformes (X, Meta, TikTok…) adoptent des positions désormais bien identifiées :

  • elles ne communiquent jamais spontanément les données d’identification à une victime : une décision de justice (ou une réquisition judiciaire) est systématiquement exigée, ce qui est au demeurant conforme à leurs obligations en matière de données personnelles ;
  • les signalements internes sont d’une efficacité limitée : il n’est pas rare que des contenus manifestement problématiques soient maintenus après signalement, la plateforme considérant qu’aucune « illicéité manifeste » n’est caractérisée, quitte à retirer les mêmes contenus quelques semaines plus tard, une fois l’assignation délivrée ;
  • devant le juge, elles s’opposent rarement frontalement à la communication des données : elles « s’en rapportent » le plus souvent à l’appréciation du tribunal, tout en défendant leur périmètre : communication limitée aux données « effectivement en leur possession et raisonnablement accessibles », opposition aux demandes d’adresses IP jugées trop générales ou non bornées dans le temps, contestation de la qualification de délinquance grave.

Après la décision : des données parfois exploitables immédiatement, parfois une seconde étape est nécessaire

Une fois la décision signifiée, la plateforme communique les données en sa possession. Deux cas de figure se présentent alors.

Premier cas : les données sont directement exploitables. Le compte a été créé avec une adresse e-mail nominative, un numéro de téléphone français, parfois un moyen de paiement. L’auteur est identifié, ou identifiable par simple recoupement. La procédure contre lui (plainte, citation directe, assignation en réparation) peut être engagée sans délai.

Second cas, le plus fréquent : seule l’adresse IP est exploitable. L’auteur a pris soin de s’inscrire sous une fausse identité, avec une adresse e-mail jetable. Restent alors les adresses IP horodatées. Une adresse IP n’identifie pas une personne : elle identifie une connexion, attribuée à un instant donné par un opérateur (Orange, SFR, Bouygues, Free…) à l’un de ses abonnés. Il faut donc engager une seconde action, dirigée cette fois contre l’opérateur de communications électroniques, ou faire procéder à des réquisitions dans le cadre de l’enquête pénale, pour obtenir l’identité du titulaire de la ligne.

Précision technique d’importance : en raison de la pénurie d’adresses IPv4, les opérateurs partagent aujourd’hui une même adresse IP entre plusieurs abonnés simultanément (technique dite du NAT). Pour départager ces abonnés, l’adresse IP seule ne suffit plus : il faut également disposer du port source associé à la connexion, avec son horodatage précis.

Le facteur temps : agir vite ou perdre la trace

On l’a dit, les données techniques de connexion ne sont conservées qu’un an à compter de la connexion. Ce délai court en continu, publication par publication : les journaux de connexion s’effacent au fil de l’eau, même lorsque le compte reste actif et que les contenus demeurent en ligne. Une décision de justice n’y change rien : le juge peut ordonner la communication, mais la plateforme ne communiquera jamais que ce qu’elle détient encore, et les tribunaux refusent d’ordonner la communication de données de connexion afférentes à des publications datant de plus d’un an, sorties du délai légal de conservation.

Il faut en outre raisonner à rebours : entre la constitution du dossier de preuve, la délivrance de l’assignation à une société établie en Irlande, l’audience puis la décision, plusieurs semaines ou plusieurs mois s’écoulent nécessairement. La victime qui attend six mois avant de consulter, puis laisse un signalement interne sans réponse pendant trois mois, aura consommé l’essentiel du délai de conservation avant même d’avoir saisi le juge. Les données d’identité civile (conservées cinq ans) et les informations fournies à la création du compte (un an après la clôture) offrent davantage de marge, mais un compte supprimé par son auteur fait, lui aussi, courir des délais.

S’y ajoute, pour la diffamation et l’injure, une prescription de l’action extrêmement courte : trois mois à compter de la publication (article 65 de la loi du 29 juillet 1881), portée à un an pour certaines formes aggravées, notamment à caractère discriminatoire.

La conséquence pratique est simple. Dès les premiers faits, il faut figer la preuve, idéalement par constat de commissaire de justice ou, à tout le moins, par des captures d’écran horodatées mentionnant les URL des publications ; déposer plainte lorsque les faits le justifient ; et engager sans tarder la procédure d’identification, sans attendre l’issue, souvent décevante, des signalements internes. Chaque semaine perdue est une semaine de journaux de connexion qui s’efface. Menées avec méthode et sans délai, ces procédures permettent en revanche, dans la grande majorité des cas, de remonter jusqu’à l’auteur des faits : le pseudonymat protège des autres internautes, pas de la justice.

Questions fréquentes

Peut-on identifier le titulaire d’un compte anonyme sur X, Instagram ou TikTok ?

Oui, dans la plupart des cas. Les plateformes sont légalement tenues de conserver les données permettant d’identifier leurs utilisateurs, et un juge peut leur ordonner de les communiquer à la victime, par la voie civile (article 145 du code de procédure civile ou article 6-3 de la LCEN). Dans le cadre d’une procédure pénale, les enquêteurs peuvent également les obtenir par voie de réquisitions.

Combien de temps les données sont-elles conservées ?

Cinq ans pour l’identité civile (à compter de la clôture du compte), un an pour les autres informations de création de compte et de paiement (à compter de la clôture), et un an seulement pour les données techniques de connexion (à compter de la connexion). Passé ces délais, les données sont détruites : il faut agir vite.

Peut-on obtenir l’adresse IP de l’auteur d’une diffamation ?

En principe, non : la diffamation et l’injure publiques « simples », punies d’une seule amende de 12 000 €, ne relèvent pas de la délinquance grave, seule finalité permettant d’accéder aux données de connexion. Il en va différemment de leurs formes aggravées : la diffamation et l’injure publiques commises à raison de l’origine, de l’appartenance à une ethnie, une nation, une race ou une religion, ou à raison du sexe, de l’orientation sexuelle, de l’identité de genre ou du handicap, sont punies d’un an d’emprisonnement et de 45 000 € d’amende (articles 32 et 33 de la loi du 29 juillet 1881) : l’accès aux données de connexion redevient alors possible, notamment par voie de réquisitions dans le cadre d’une procédure pénale. Lorsque les propos ne présentent pas ce caractère aggravé, l’analyse du dossier permet très souvent de retenir une autre qualification (harcèlement en ligne, doxing, menaces, usurpation d’identité…) qui ouvre cet accès.

Combien de temps faut-il pour identifier l’auteur d’un compte anonyme ?

De quelques semaines à plusieurs mois selon la voie choisie et la complexité du dossier. Devant le juge civil, une décision ordonnant la communication des données peut être obtenue en quelques mois à compter de l’assignation, parfois en quelques semaines ; la plateforme communique ensuite les données dans le délai fixé par le juge, généralement de 7 à 15 jours. Lorsqu’une seconde étape auprès de l’opérateur est nécessaire, des délais supplémentaires s’ajoutent, d’où l’importance d’engager la démarche au plus tôt.

Une adresse IP suffit-elle à identifier quelqu’un ?

Non. L’adresse IP identifie une connexion, pas une personne. Il faut ensuite obtenir de l’opérateur (FAI) l’identité du titulaire de la ligne, ce qui suppose, compte tenu du partage des adresses IP entre abonnés (NAT), de disposer également du port source horodaté.

Victime de cyberharcèlement, de diffamation ou d’agissements anonymes en ligne ? Le cabinet Touitou Law accompagne particuliers, dirigeants et entreprises dans l’identification des auteurs et les procédures contre les plateformes (X, Meta, TikTok, Google, Snapchat…). Contactez-nous pour évaluer votre situation.

Textes et décisions cités : articles 6, V, A et 6-3 de la loi n° 2004-575 du 21 juin 2004 (LCEN) ; article L. 34-1, II bis et article R. 10-13 du code des postes et des communications électroniques ; décret n° 2021-1362 du 20 octobre 2021 ; article 145 du code de procédure civile ; articles 60-1 à 60-1-2 du code de procédure pénale ; articles 222-33-2-2, 223-1-1, 226-4-1 et 226-10 du code pénal ; articles 29, 32, 33 et 65 de la loi du 29 juillet 1881 ; TJ Paris, PAF, 11 avril 2025, n° 24/56234 ; TJ Paris, réf., 17 septembre 2025, n° 25/53558 ; TJ Paris, PAF, 18 août 2025, n° 25/55281 ; TJ Paris, PAF, 10 décembre 2025, n° 25/55869 ; TJ Paris, PAF, 20 mai 2026, n° 25/57612.

À lire également : Comment faire supprimer une publication sur X (Twitter) ? · Comment faire disparaître un contenu de Google ? · Comment faire supprimer une publication ou un commentaire sur Instagram ?

Partagez cet article :

Derniers articles