[ 8 décembre 2016 ]

Libertés fondamentales - droits de l'homme

L’adresse IP est une donnée personnelle

Mots-clefs : Libertés fondamentales, Informatique, Libertés, Données personnelles, Adresse IP, Traitement, Collecte, Protection, CNIL, Déclaration préalable

La Cour de cassation vient de clore le débat sur la qualification de l’adresse IP (Internet Protocol : identifiant d’un ordinateur), conditionnant la déclaration ou non auprès de la Commission nationale de l'informatique et des libertés (CNIL) de la collecte d’une telle donnée.

Trois sociétés appartenant au même groupe avaient constaté la connexion, sur leur réseau informatique interne, d'ordinateurs extérieurs au groupe, mais faisant usage de codes d'accès réservés aux administrateurs du site Internet dudit groupe. Elles avaient obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d'accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Une société concurrente au groupe et exerçant une activité de conseil en investissement et en gestion de patrimoine avait alors saisi le président du tribunal de commerce en rétractation de son ordonnance, invoquant l'illicéité de la mesure d'instruction sollicitée, sous prétexte que la conservation, sous forme de fichiers, de ces adresses IP, aurait dû faire l'objet d'une déclaration auprès de la CNIL. La cour d'appel de Rennes, par une décision en date du 28 avril 2015, rejeta sa demande et retint que l'adresse IP, dès lors qu’elle est constituée d'une série de chiffres, se rapporte seulement à un ordinateur et non à son utilisateur, et ne constitue pas, par conséquent, une donnée personnelle, même indirectement nominative. Elle en déduisit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l'entreprise, ne constitue pas un traitement de données à caractère personnel. La Cour de cassation casse cet arrêt au visa des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, au motif que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel devant faire l'objet d'une déclaration préalable auprès de la CNIL.

L’article 2 alinéa 2 de la loi du 6 janvier 1978 précitée définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Cette définition est suffisamment large pour englober toute donnée susceptible d’identifier directement ou indirectement une personne physique. Celles issues du monde numérique font désormais naturellement partie des données nominatives protégées, certaines ayant cependant fait naître des problèmes de qualification comme celle, au cœur de la décision rapportée, de l’adresse IP. Posée il y a déjà une dizaine d’années à l’occasion du contentieux relatif à la lutte contre la contrefaçon réalisée par les plateformes peer-to-peer (V. TGI Paris, réf., 24 déc. 2007), la question de la qualification en donnée personnelle de l’adresse IP paraît désormais résolue. Après le flou entretenu par la chambre criminelle (Crim., 13 janv.2009, n° 08-84.088 ; Crim., 23 mars 2010, n° 09-80.787) et le refus de certains juges du fond à la qualifier ainsi au motif qu’elle ne permettrait pas d’identifier directement l’auteur de la connexion (V. Paris, 15 mai 2007, n° 06/01954) et que seule une personne autorisée peut indirectement obtenir auprès du fournisseur d’accès l’identité de l’utilisateur (Paris, 28 mai 2008, n° 2007-01064), la position très ferme adoptée par les autorités de protection compétentes - la CNIL (article de la CNIL du 2 août 2007), le Groupe de l’article 29 qui rassemble les autorités nationales de protection des données de chaque État membre (avis n°4/2007, 20 juin 2007, 01248/07/FR, WP 136, p.18 et 19), ainsi que plusieurs membres européens (Direct. n° 95/46/CE du Parlement européen et du Conseil, 24 oct.1995, art. 29) – toutes affirmant énergiquement que l’adresse IP liée à l’ordinateur d’un internaute constitue bien une donnée personnelle, a fini par l’emporter. 

Le Conseil constitutionnel a également contribué à une telle analyse en ayant soutenu, en 2009, que « l’autorisation donnée à des personnes privées de collecter les données permettant indirectement d’identifier les titulaires de l’accès à des services de communication au public en ligne conduit à la mise en œuvre, par ces personnes privées, d’un traitement de données à caractère personnel », en sorte que l’adresse IP entrait naturellement, selon les Sages, dans le champ de la définition légale. 

Enfin, l’influence de la CJUE fut sans doute déterminante, celle-ci ayant notamment affirmé que les adresses IP étaient « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs » (CJUE 24 nov. 2011, aff. C-70/10, pt.51). Et la Cour de cassation de relayer, par la décision rapportée, cette opinion incontestablement partagée, laquelle peut être justifiée par le fait que bien que l’adresse IP ne soit à proprement parler que l’identifiant d’une machine et non celui d’une personne, un numéro IP correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès d’un fournisseur d’accès. L’adresse de la connexion associée au fournisseur d’accès constitue donc bien un ensemble de moyens permettant de connaitre, même indirectement, le nom de l’utilisateur. Or comme le rappelait quelques jours avant cette décision la CJUE (CJUE 19 oct. 2016, aff. C-582/14), l’adresse IP est, quoique ne se rapportant pas à une personne physique identifiée, une donnée personnelle dès lors qu’elle permet de rendre la personne physique à qui elle est associée simplement « identifiable » ce qui implique, de manière générale, de « considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » (art.2 al.2, in fine de la loi du 6 janv.1978 ; Directive précitée du 24 oct. 1995). Et la Cour de justice d’ajouter qu’« est réputée identifiable une personne qui peut être identifiée non seulement directement mais aussi indirectement ». Pour toutes ces raisons, il est légitime de qualifier une adresse IP de donnée personnelle, comme le prévoit d’ailleurs le règlement européen du Parlement européen et du Conseil du 27 avril 2016, n° 2016/679 (cons.30), qui entrera en vigueur le 25 mai 2018. Cette qualification implique, comme en témoigne cette décision, le recours à la CNIL, en amont de tout traitement, pour obtenir son autorisation.

Civ. 1^re, 3 nov. 2016, n° 15-22.595