L’adresse IP est-elle une donnée à caractère personnel ? | Denis JACOPINI

L’adresse IP est-elle une donnée à caractère personnel ? Par Zahra Reqba, Docteur en droit.

L’adresse IP est-elle une donnée à caractère personnel ?

La nature juridique de l’adresse IP ne cesse de susciter les interrogations. Si la réponse à cette question semble a priori tranchée par la loi 6 janvier 1978 modifiée en 2004 en prévoyant une définition large de la donnée personnelle permettant d’inclure aisément des données numériques à partir du moment où elles permettent d’identifier même indirectement la personne physique, ainsi que par la CNIL qui s’est prononcée en faveur à cette assimilation, la jurisprudence quant à elle, ne cesse de changer de position, tantôt elle prône pour cette qualification, tantôt elle la rejette catégoriquement.

I/ L’adresse IP au regard de la loi du 6 janvier 1978.

L’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés telle que modifiée par la loi du 6 aout 2004, définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

Par cette vague définition, le législateur, conscient de l’évolution rapide et constante des nouvelles technologies, a sciemment élargi la définition de la donnée personnelle afin d’y inclure toute nouvelle donnée qui est susceptible d’identifier directement ou indirectement une personne physique, dans le but de la protéger.

Ainsi, dans cet éventail d’informations, peuvent se glisser aussi bien des informations personnelles « classiques » telles que le nom, prénom, adresse postale, photo, numéro de téléphone, empreintes digitales etc, que des informations du monde numérique. Tel est le cas de l’adresse IP (Internet Protocol) d’un ordinateur.

Toutefois, le fait de ne pas dresser une nomenclature des informations qui constituent les données à caractère personnel, présente la souplesse d’inclure de nouvelles données, mais l’absence d’une telle précision laisse planer le doute en cas de conflit, d’où le nombre d’affaires porté devant les tribunaux et dont la qualification est laissée à l’appréciation des juges.

Interrogée sur cette question, la CNIL (Commission Nationale Informatique et Libertés), à travers ses interventions (recommandation ou déclaration), a répondu favorablement à la reconnaissance de l’adresse IP comme une donnée à caractère personnel en se basant sur la définition large de l’article 2 de la loi du 6 janvier 1978 précité.

II/ L’adresse IP selon les recommandations de la CNIL.

Dans un article du 2 aout 2007, la CNIL [1] [2] comme le G29 [3] ont soutenu que l’adresse IP, à l’instar d’une plaque d’immatriculation d’un véhicule ou d’un numéro de téléphone, entre dans le champ d’application large de la définition de l’article 2 de la loi du 6 janvier 1978 modifiée étant donné qu’elle permet l’identification directe ou indirecte de la personne physique [4]. La CNIL a rappelé à ce titre, que l’ensemble des autorités de protection des données des Etats membres ont précisé dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel que l’adresse IP lié à l’ordinateur d’un internaute constitue une donnée à caractère personnel. S’inquiétant ainsi des décisions judiciaires qui refusent de considérer cette donnée comme personnelle. L’évolution récente de la jurisprudence va dans ce sens.

III/ l’adresse IP et l’évolution jurisprudentielle.

La position de la CNIL n’est pas toujours partagée par la jurisprudence française. Si dans certains arrêts elle a à juste titre prôné pour cette assimilation en affirmant que « L’adresse IP, est, au sens strict, un identifiant d’une machine lorsque celle-ci se connecte sur l’Internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée ; un numéro IP associé à un fournisseur d’accès correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. L’adresse W de la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaitre le nom de l’utilisateur » [5]. Dans cet arrêt, les juges du fond se sont basés sur la définition légale de la donnée personnelle de l’article 2 de la loi du 6 janvier 1978 précité comme étant une information qui peut identifier indirectement une personne physique par référence à un numéro d’identification.

Dans d’autres arrêts, les juges du fond français [6]ont refusé toute assimilation de l’adresse IP à une donnée personnelle [7] en ce qu’elle ne permet pas d’identifier l’auteur de la connexion [8]. Dans ce contexte, par un arrêt du 5 septembre 2007, la chambre criminelle de la Cour de cassation a considéré que l’adresse IP est une donnée parmi d’autres d’un faisceau d’indices, et donc, insuffisante à elle seule pour être qualifiée de donnée personnelle [9]

La problématique de l’adresse IP ne semble pas être résolue étant donné que cette question a été soulevée récemment devant la Cour d’appel de Rennes du 28 avril 2015, qui s’est prononcée en défaveur de cette qualification en considérant que « (….) le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et libertés » du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur (….) ».

Analyse.

La problématique de cette question se résume ainsi : si l’adresse IP est considérée comme donnée personnelle cela implique qu’il s’agit d’un traitement de donnée personnelle régi par la loi du 6 janvier 1978, et de ce fait, bénéficie de l’arsenal de dispositions protectrices prévu pour protéger la personne physique d’une part, et risque de tomber sous le coup des sanctions prévues en cas de non respect des dispositions légales prévues à cet effet d’autre part.

Cela implique le recours à la CNIL en amont de tout traitement pour autorisation, et en cas de conflit, c’est le tribunal de grande instance qui sera matériellement compétent. Encore faut il que cela concerne une personne physique dans la mesure où la loi du 6 janvier 1978 ne protège que cette catégorie de personnes.

Le seul moyen de mettre fin à cette incertitude c’est l’adoption d’une disposition légale claire et précise sur la notion de donnée personnelle. Cela pourra bientôt se concrétiser après l’adoption de la proposition de Règlement européen relatif à la protection des données à caractère personnel et sa transposition ultérieure dans le droit positif français.

Auteure : Zahra Reqba

 

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock


Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous


Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)