Bien des sites internet recueillent les adresses IP (adresses de protocoles Internet en français selon la terminologie de l’IANA) de leurs visiteurs pour des finalités plus ou moins définies et sans demander le consentement des personnes concernées.
Si l’on prend l’exemple de l’IPv4, la plus courante, celle-ci est constituée de 4 octets (nombre allant 0 à 255) séparés par des points, ayant une signification : les trois premiers identifiant le réseau (netID en anglais) et le quatrième, le numéro de l’ordinateur (hostID en anglais). Cette adresse identifie le dispositif connecté au réseau Internet. Mais si les adresses (IPv4) publiques, enregistrées et routables sur Internet, uniques au plan mondial sont visibles sur le réseau internet, les adresses privées ne sont visibles et utilisables qu’au sein d’un réseau local. De sorte que dans le cas très fréquent de petit réseau domestique utilisant la même « box » (modem) fibre ou ADSL, seule l’adresse du modem, lui-même distributeur d’adresses IP est visible sur le réseau Internet (adresse du réseau IP). Ce n’est donc pas un ordinateur qui est identifié, mais un réseau local.
De plus, ces adresses IP ne permettent aucune identification directe du dispositif connecté. Ce sont les fournisseurs d’accès à Internet (FAI), qui ont accès à la base de données des adresses IP de l’IANA (division de l’ICANN), qui ont connaissance du lien entre cette adresse IP et le titulaire déclaré des droits (propriétaire, locataire, utilisateur déclaré…) sur le dispositif connecté. Cette identification indirecte d’une personne par le biais de l’adresse IP qu’elle utilise a pu laisser planer un doute quant à la qualification de l’adresse IP en une donnée personnelle à laquelle s’appliquerait donc la loi Informatique et Libertés du 6 janvier 1978[1], d’autant qu’elle repose sur une présomption (à savoir que le titulaire/propriétaire est effectivement l’utilisateur, ce qui n’est pas nécessairement le cas ; tel est le cas, par exemple, des ordinateurs achetés par les parents et mis à la disposition de leurs enfants).
Rappelons, par ailleurs, qu’il existe deux sortes d’adresses IP :
– les adresses IP fixes, attribuées de façon permanente notamment par les fournisseurs d’accès ou les sociétés d’hébergement de sites web (adresse IP « statique »). Elles sont généralement professionnelles.
– les adresses IP dynamiques, attribuées de façon aléatoire par les fournisseurs d’accès à chaque connexion.
Si la Cour de Justice de l’Union Européenne (CJUE) a reconnu la nature juridique de donnée à caractère personnel à l’adresse IP depuis plusieurs années, depuis un arrêt du 24 novembre 2011[2], la jurisprudence française écartait, dans les années 2000, cette qualification. Les juridictions répressives en particulier ne considéraient pas l’adresse IP comme une donnée personnelle, suivies en cela par certaines Cour d’appel[3] et la chambre criminelle de la Cour de cassation elle-même[4].
Ces divergences n’existent plus aujourd’hui, avec la réaffirmation ou l’affirmation en fin d’année dernière, tant par la Cour de Justice de l’Union Européenne que par la Cour de cassation, qu’une adresse IP est effectivement une donnée à caractère personnel.
La première, par un arrêt en date du 19 octobre 2016[5], la seconde, par un arrêt en date du 3 novembre 2016[6] consacrent en effet définitivement – sans doute – cette qualification. Ces décisions sont tout à fait logiques au regard des textes. Tant la directive du 1995[7] que la loi du 6 janvier 1978 modifiée par la loi du 21 juin 2004 qui transpose la directive, précisent en effet que « constituent une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Or, si l’adresse IP ne permet pas une identification directe, l’intervention des FAI étant nécessaire, elle permet une identification indirecte.
Si l’adresse IP ne permet pas toujours d’identifier le contrevenant, elle n’en est pas moins une donnée à caractère personnel…sauf cas très particuliers
La négation de la qualification de donnée personnelle provient principalement du fait que l’adresse IP, même avec les informations des FAI, ne permet pas toujours l’identification de son titulaire.
Pour autant, même si cette remarque trouve tout son sens en particulier en droit pénal lorsqu’il s’agit d’identifier précisément l’auteur d’une infraction, elle n’est en rien décisive pour retirer à l’adresse IP son caractère de donnée personnelle. Cette adresse demeure rattachée à un titulaire, qui peut être indirectement identifié, quand bien même se serait-il fait subtiliser son ordinateur. Tout comme la plaque d’immatriculation d’un véhicule reste une donnée personnelle même en cas de vol.
Cette qualification est néanmoins nuancée par la CJUE. La CJUE soumet en effet la qualification de données à caractère personnel à la facilité ou non de recouper l’adresse IP avec les informations détenues par un FAI. Ainsi, pour la CJUE « tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effet démesuré en terme de temps, de coût et de main d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». Mais la difficulté de pouvoir anticiper ce qu’il faut entendre par « effet démesuré » oblige à la prudence et donc pour le responsable de traitement à internaliser le fait qu’une adresse IP est bien, dans la quasi-totalité des cas, une donnée personnelle.
Les conséquences de cette qualification
A partir du moment où l’adresse IP est qualifiée de donnée à caractère personnel, les règles de la loi du 6 janvier 1978 et bientôt (25 mai 2018) celles du Règlement Général sur les Données Personnelles (RGPD) trouvent à s’appliquer à leur traitement.
Jusqu’au 25 mai 2018, chaque propriétaire ou exploitant d’un site web doit, en principe (sauf dispenses pour certains traitements), déclarer les traitements des adresses IP des visiteurs.
L’une des conséquences de la non-conformité du traitement ressort de l’arrêt de la Cour de Cassation du 3 novembre 2016. En l’espèce, trois entreprises d’un même groupe qui avaient été victimes de piratage de leur réseau interne, avaient obtenu du juge des requêtes une ordonnance faisant injonction à divers FAI de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. L’une des personnes identifiées contestait la légalité de cette ordonnance en ce que « la conservation sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL ». L’adresse IP étant une donnée personnelle et ce traitement n’ayant en effet pas été déclaré, la Cour de cassation reconnaît le caractère illégal de ce traitement et casse l’arrêt d’appel qui avait rejeté la demande de rétractation de l’ordonnance.
Ainsi, l’une des finalités de la collecte des adresses IP qui est d’assurer une protection efficace de ses serveurs peut se trouver dépourvue d’effet si la réglementation applicable aux données personnelles n’a pas été respectée.
Par ailleurs, à partir du moment où la réglementation encadrant le recueil de données personnelles s’applique, la question du consentement de la personne concernée peut se poser. On comprend la difficulté de ce recueil lorsque la finalité du traitement en cause est d’assurer la sécurité de son site internet ou de ses serveurs. L’arrêt de la CJUE du 19 octobre 2016 vient rappeler opportunément l’article 7 de la directive 95/46 qui précise que si le consentement est obligatoire, quelques exceptions sont admises. Parmi celles-ci, le consentement est considéré comme non obligatoire lorsque le traitement est « nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée (…) ». La CJUE rappelle que ces exceptions au consentement ne peuvent être ni élargies ni diminuées par les lois de transposition nationales.
En l’espèce, un citoyen allemand se plaignait de ce que son adresse IP avait été collectée par un site des services fédéraux allemand qu’il avait consulté. Le responsable de traitement justifiait l’existence de ce fichier par l’impératif de sécurité et la volonté de se prémunir contre les attaques. Pour la CJUE, cette approche était conforme à l’article 7 de la directive, « l’objectif visant à garantir la capacité générale de fonctionnement des (…) services [pouvant] justifier l’utilisation desdites données après une session de consultation de ceux-ci ». La continuité des services, et donc la finalité liée à la sécurité d’un site internet est pour la CJUE un intérêt légitime qui justifie l’absence de consentement, cet intérêt légitime prévalant sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Il est à noter que cette exception au principe du recueil du consentement sera toujours applicable sous l’ère du Règlement, l’article 6, 1, f) prévoyant la même exception, formulée dans des termes identiques.
***
Il est tout à fait logique au regard des textes que l’adresse IP soit qualifiée de donnée à caractère personnel et cette qualification, à la suite de l’arrêt de la CJUE, concerne aussi bien les adresses IP statiques que dynamiques. Ces arrêts sont donc tout à fait cohérents avec les textes et vigueur. Le RGPD lui-même explique à son considérant 30 qu’une adresse IP peut permettre d’identifier son titulaire[8].
Cette qualification revêt des conséquences contraignantes pour les responsables de traitement qui doivent veiller à ce que le traitement de ces données soit conforme.
L’entrée en vigueur du RGPD en mai prochain impose à chaque responsable de traitement de vérifier la légalité du traitement des adresses IP.
Pascal ALIX, Avocat à la Cour et DPO externe
Hubert de SEGONZAC, Avocat à la Cour et DPO externe
__________________________________________________________
[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[2] CJUE, 24 novembre 2011, aff. C-70/10.
[3] Par exemple : Cour d’appel de Paris, 27 avril 2007 et 15 mai 2007.
[4] Cass, crim., 13 janvier 2009, n°08-84088.
[5] CJUE, 19 octobre 2016, aff. C-582/14.
[6] Cass, 1ère civ., 3 novembre 2016, n°15-22595.
[7] Directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[8] « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP (…). Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »