1. A quelques jours d’intervalle, la Cour de justice de l’Union européenne (CJUE 19-10-2016 2e ch. aff. 582/14) et la Cour de cassation (Cass. 1e civ. 3-11-2016 n° 15-22.595 FS-PBI) ont été appelées à se prononcer sur la nature d’une adresse IP au regard des règles de protection des données personnelles.
2. On rappelle que l’adresse IP (« Internet Protocol ») est un numéro à plusieurs chiffres attribué par le fournisseur d’accès à internet (FAI) à chaque appareil connecté à un réseau informatique. Elle sert à acheminer une information d’un terminal vers un réseau, et inversement. L’adresse IP permet donc l’identification d’un équipement informatique donné. Elle peut être soit statique, soit dynamique. Par défaut, une adresse IP est dynamique, ce qui signifie qu'elle change lors de chaque nouvelle connexion à internet.
Qualification par la Cour de justice de l’Union européenne
3. La directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles définit ces données comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
Interrogée par voie de question préjudicielle, la CJUE considère qu’une adresse IP dynamique enregistrée par l’exploitant d’un site internet à l’occasion de la consultation de ce site constitue, à l’égard de cet exploitant, une donnée à caractère personnel, lorsque celui-ci dispose de moyens légaux lui permettant de faire identifier la personne qui a consulté le site grâce aux informations supplémentaires dont dispose le FAI de cette dernière.
4. En l'espèce, un particulier avait consulté plusieurs sites internet des services fédéraux allemands. Afin de se prémunir contre les attaques informatiques de « pirates », la plupart de ces sites enregistrent toutes les consultations dans des fichiers ; y sont conservées plusieurs données dont notamment la date et l’heure de la consultation, ainsi que l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée. Le particulier avait demandé que la conservation de ces données soit interdite.
5. La Cour de justice rappelle qu'elle a jugé en 2011 que les adresses IP des utilisateurs d’internet sont des données à caractère personnel protégées, car elles permettent l’identification précise de ces derniers (CJUE 24-11-2011 aff. 70/10 : BRDA 23/11 inf. 18). Mais, précise-t-elle, cette affirmation était relative à l’hypothèse dans laquelle la collecte et l’identification des adresses IP des utilisateurs d’internet étaient effectuées par les FAI. Or, en l’occurrence, la question qui lui est posée concerne l’hypothèse dans laquelle c’est l’exploitant du site internet, à savoir la République fédérale d’Allemagne, qui enregistre les adresses IP des utilisateurs de son site, sans disposer des informations supplémentaires nécessaires pour identifier ces utilisateurs.
6. La Cour considère qu’une adresse IP dynamique ne constitue pas une information se rapportant à une « personne physique identifiée », dans la mesure où une telle adresse ne révèle pas directement l’identité de la personne physique propriétaire de l’ordinateur à partir duquel la consultation d’un site internet a lieu ni celle d’une autre personne qui pourrait utiliser cet ordinateur.
En revanche, une telle adresse peut être qualifiée d’information se rapportant à une « personne physique identifiable » lorsque les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site internet sont détenues par le FAI de cet utilisateur. Encore faut-il que l’obtention de ces informations puisse être raisonnablement mise en œuvre, sans effort démesuré en termes de temps, de coût et de main-d’œuvre.
En l’occurrence, la Cour relève que si le droit allemand ne permet pas au FAI de transmettre directement à l’exploitant du site internet les informations nécessaires à l’identification de la personne concernée, il semble toutefois qu’il existe des voies légales permettant à cet exploitant de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations.
Qualification par la Cour de cassation
7. La loi Informatique et libertés du 6 janvier 1978 définit la donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (art. 2).
Pour la première fois, la Cour de cassation juge que les adresses IP constituent de telles données car elles permettent d’identifier indirectement une personne physique. Leur collecte constitue donc un traitement de données devant faire l’objet d’une déclaration préalable à la Commission nationale de l’informatique et des libertés (Cnil), en application de l’article 22 de la loi de 1978.
8. Les faits de l'espèce étaient les suivants. Une entreprise constate la connexion d’ordinateurs extérieurs sur son réseau informatique interne par l’usage de codes d’accès réservés aux administrateurs de son site internet. Un juge enjoint à divers FAI de communiquer à l’entreprise les identités des titulaires des adresses IP utilisées pour ces connexions. Le concurrent de l’entreprise à l’origine de ces connexions soutient alors que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Cnil et que la demande du juge est donc illicite.
La cour d’appel de Rennes rejette cet argument. L’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur et ne constitue donc pas une donnée même indirectement nominative. La cour en déduit que la conservation des adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.
Cette décision est censurée.
9. Si la Cnil a toujours estimé que l’adresse IP des internautes constitue une donnée à caractère personnel puisqu’elle « permet d’identifier indirectement la personne physique titulaire d’un abonnement à internet » (notamment, délib. Cnil n° 2006-294 du 21-12-2006), la jurisprudence était fluctuante. Par deux arrêts rendus en 2007, la cour d’appel de Paris avait considéré que l’adresse IP n’était pas une donnée personnelle car elle se ne rapporte qu’à une machine et non à l’individu qui utilise l’ordinateur (CA Paris 27-4-2007 n° 06/02334 et CA Paris 15-5-2007 n° 06/01954, décisions désapprouvées par la Cnil dans un communiqué du 2-8-2007). La chambre criminelle de la Cour de cassation avait semblé adopter la même position (Cass. crim. 13-1-2009 n° 08-84.088 : BRDA 9/09 inf. 21), mais certains auteurs ont considéré que, dans cette affaire, la Cour ne s’était pas expressément prononcée sur la qualification de l’adresse IP, mais seulement sur l’existence ou non d’un traitement de données à caractère personnel (M. Teller, Les difficultés de l’identité numérique : quelle qualification juridique pour l’adresse IP ?, D. 2009 p. 1988). Enfin, des juridictions de première instance avaient statué dans un sens contraire (notamment, TGI Paris, réf., 5-3-2009 n° 09/51770).
L'état du droit actuel et celui à venir
10. La décision de la Cour de cassation, qui ne distingue pas entre les adresses IP statiques et dynamiques, est-elle contraire à la jurisprudence européenne ? A notre avis, non. En pratique les deux solutions se rejoignent car la Cour de cassation s’est visiblement prononcée au regard d’une adresse IP dynamique dont le titulaire pouvait être identifié sur demande du juge auprès d’un FAI.
11. Le règlement UE 2016/679 du 27 avril 2016, applicable à compter du 25 mai 2018, aborde expressément la question. Il définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Or aux termes du considérant 30 de la directive, « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »
Dominique LOYER-BOUEZ
