Deux arrêts récents de la Cour de cassation et de la Cour de justice de l’Union Européenne (CJUE) se sont prononcés sur la question de savoir si une adresse IP peut, ou non, être considérée comme une donnée à caractère personnel.
La position de la jurisprudence était jusqu’alors loin d’être unanime à ce sujet. Certains tribunaux ou cours d’appels ont considéré que l’adresse IP permettait d’identifier une machine, un ordinateur, mais pas une personne, ce qui excluait l’application de la réglementation relative aux données personnelles.
Dans son arrêt Breyer du 19 octobre 2016, la Cour de justice de l’UE a jugé que :
« une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel (…), lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».
Une adresse IP, y compris si elle est dynamique, constitue une donnée personnelle au sens de la réglementation communautaire relative à ce type de données, mais à condition qu’il soit possible d’identifier la personne concernée par des moyens raisonnables. Ce qui sera le cas lorsque le système légal prévoit une possibilité d’obtenir les informations nécessaires permettant de faire le lien entre l’adresse IP et la personne, informations pouvant être détenues par exemple par son fournisseur d’accès internet.
La Cour de cassation adopte quant à elle une position plus radicale dans son arrêt du 3 novembre 2016.
Se fondant sur les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, elle affirme sans ambiguïté que :
« les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
Il en résulte que la collecte d’adresses IP (par exemple celles des utilisateurs d’un site internet ou de ceux accèdent à des systèmes informatiques, conservées dans des fichiers logs, historiques ou journaux de connexions), constitue un traitement de données à caractère personnel devant être déclaré à la CNIL.
L’absence de déclaration préalable à la CNIL de la conservation des adresses IP peut avoir pour conséquence de rendre impossible les poursuites contre le titulaire d’une adresse IP qui aurait commis un acte frauduleux ou illicite, tels qu’un piratage ou un accès non autorisé à un site ou un système.
Sur l’arrêt du 3 novembre 2016 de la Cour de cassation
Dans l’affaire soumise à la Cour de cassation, des sociétés avaient repéré des accès non autorisés à leur réseau informatique et identifié l’adresse IP à l’origine de ces connexions. Elles avaient alors demandé au juge d’ordonner au fournisseur d’accès internet « propriétaire » de cette adresse IP de communiquer l’identité de son abonné titulaire de cette adresse IP au moment des connexions litigieuses.
En défense, il était objecté que les adresses IP sont des données à caractère personnel et que leur collecte par cette société n’avait pas fait l’objet de déclaration à la CNIL, de sorte que sa demande était irrecevable.
La cour d’appel avait écarté ce moyen de défense, considérant que l’adresse IP, constituée d’une série de chiffres, ne permettait pas d’identifier un utilisateur, mais seulement un ordinateur, et ne constituait donc pas une donnée nominative.
Pour la Cour de cassation, en statuant ainsi, la cour d’appel a violé les dispositions de la loi Informatique et libertés. La Cour rappelle qu’aux termes de cette loi, constitue une donnée à caractère personnel tout information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Elle considère que tel est le cas d’une adresse IP.
Sur l’arrêt du 19 octobre 2016 de la Cour de justice de l’Union Européenne
Cette décision intervient dans le cadre d’un litige opposant un ressortissant Allemand à la République fédérale d’Allemagne, au sujet de l’enregistrement et la conservation de l’adresse IP de ce ressortissant lors de la consultation de plusieurs sites internet des services fédéraux allemands.
Les services fédéraux allemands enregistraient en effet des informations sur toutes les consultations de ces sites dans des fichiers journaux, pour se prémunir contre les attaques et rendre possibles les poursuites pénales contre les « pirates ». Les informations enregistrées portaient, notamment sur l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée.
La CJUE est interrogée sur cette question, au regard de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Elle se prononce également sur la licéité de la conservation des adresses IP dans des journaux de connexion, par les éditeurs de sites internet.
Les adresses IP dynamiques sont des données à caractère personnel si des moyens légaux permettent d’obtenir l’identification de la personne correspondante
La Cour souligne que l’adresse IP dynamique conservée par l’éditeur d’un site internet ne permet pas, à elle seule, d’identifier la personne titulaire de cette adresse IP. Pour cette identification, il est nécessaire d’obtenir des informations supplémentaires détenues par un tiers, à savoir le fournisseur d’accès à internet de cette personne.
Selon la directive 95/46/CE, une donnée à caractère personnelle peut être une information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le considérant 26 de la directive précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier la personne ».
Pour la Cour, il faut donc déterminer s’il existe des moyens susceptibles d’être raisonnablement mis en oeuvre, par l’éditeur du site internet et/ou par une autre personne, pour identifier la personne titulaire de l’adresse IP litigieuse. Dans l’affirmative, l’adresse IP est bien une donnée à caractère personnel.
De tels moyens n’existeraient pas – et l’adresse IP ne serait alors pas une donnée personnelle -, si cette identification était interdite par la loi ou irréalisable en pratique, notamment si elle impliquait « un effort démesuré en termes de temps, de coût et de main d’oeuvre ».
En revanche, il existe bien des moyens susceptibles d’être raisonnablement mis en oeuvre pour identifier le titulaire de l’adresse IP lorsqu’il existe, comme dans cette affaire, des voies légales permettant à l’éditeur d’un site internet de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente, afin que celle-ci entreprenne les démarches nécessaires pour obtenir les informations supplémentaires nécessaires pour l’identification, et pour déclencher des poursuites pénales.
A notre sens, s’il est possible comme en France d’identifier le titulaire de l’adresse IP en requérant, via une autorisation judiciaire, la communication de son identité par son fournisseur d’accès, l’adresse IP devrait être considérée comme une donnée à caractère personnel.
La Cour de justice de l’UE avait déjà eu l’occasion de se prononcer sur le statut de l’adresse IP au regard des données à caractère personnel dans un arrêt Scarlet du 24 novembre 2011 (aff. C‑70/10), considérant à propos de la mise en place systèmes de filtrage par les fournisseurs d’accès à internet que les adresses IP des utilisateurs qui sont à l’origine de l’envoi des contenus illicites sur le réseau sont « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs ».
Précisons enfin que pour la CJUE, il n’y a pas lieu de distinguer entre les adresses IP statiques (fixes, invariables dans le temps pour un dispositif connecté au réseau) ou dynamiques (provisoires, attribuées lors de chaque connexion à internet et modifiées lors de connexions ultérieures), dès lors que l’identification est possible en mettant en oeuvre des moyens raisonnables.
Sur la légitimité de la conservation par l’éditeur d’un site internet des données de connexion au site
Outre son apport concernant la qualification des adresses IP au regard de la réglementation sur les données personnelles, cet arrêt de la CJUE apporte un éclairage sur la pratique, fréquente, des éditeurs de sites internet, consistant à conserver les données relatives aux connexions au site, y compris les adresses IP des utilisateurs.
La Cour rappelle que la directive autorise la collecte et la conservation de données personnelles lorsque ce traitement est nécessaire à la réalisation d’un « intérêt légitime » poursuivi par le responsable du traitement ou par un tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux des personnes concernées.
Elle considère que l’éditeur d’un site internet peut avoir un intérêt légitime à conserver les données de connexion à son site, notamment pour garantir la continuité du fonctionnement du site.
* * *
Pour aller plus loin, consulter l’arrêt du 3 novembre 2016 de la Cour de cassation sur le site Legalis.net et l’arrêt de la CJUE du 19 octobre 2016 sur le site de la Cour curia.europa.eu.