Aug
09
L'adresse IP, une donnée à caractère personnel ?

L'article 2 de la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Bien que cette définition soit plutôt accueillante, la jurisprudence a plusieurs fois refusé la qualité de donnée personnelle à l'adresse IP.

L'adresse IP (Internet Protocol), est l'adresse numérique permettant aux ordinateurs d'un même réseau de communiquer entre eux, chaque ordinateur possédant une adresse IP unique sur ce réseau.

La Cour d'appel a d'abord considéré que « l'adresse IP ne permet pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur l'accès d'identité de l'utilisateur » (Cour d'appel de Paris, 13ème chambre, section B, 27 avril 2007). Persévérant dans ce sens, elle a estimé que l'adresse IP, ne se rapportant qu'à une machine, et non à l'individu qui l'utilise, ne pouvait être considérée comme « une donnée indirectement nominative à la personne » (Cour d'appel de Paris, 13ème chambre, section A, 15 mai 2007), « puisqu'elle se rapporte à une machine et non à la personne l'utilisant » (Cour d'appel de Paris, chambre correctionnelle, 29 janvier 2008).

Ce qu'a confirmé la Cour de Cassation dans une décision du 13 janvier 2009, énonçant que la collecte d'adresses IP « ne constituait pas un traitement de données personnelles » et donc n'avait pas à faire l'objet d'une déclaration auprès de la CNIL*.

Le G29, organe consultatif européen délivrant une expertise en matière de protection des données et de la vie privée, a clairement affirmé sa désapprobation en la matière dans un avis publié le 20 juin 2007:

« Le groupe de travail a considéré les adresses IP comme des données concernant une personne identifiable . Il a d'ailleurs précisé dans un document de travail que "les fournisseurs d'accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu'ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l'utilisateur Internet. Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l'ombre d'un doute, de données à caractère personnel au sens de l'article 2, point a), de la directive" .

[...]À noter toutefois le cas particulier de certains types d'adresses IP qui, dans certaines circonstances, ne permettent en fait pas l'identification de l'utilisateur, et ce, pour diverses raisons d'ordre technique et organisationnel. L'exemple des adresses IP attribuées à un ordinateur dans un café internet illustre cette situation, puisque dans ce cas aucune identification des clients n'est requise. On pourrait faire valoir que les données collectées sur l'utilisation d'un ordinateur X pendant un certain laps de temps ne permettent pas l'identification de l'utilisateur à l'aide de moyens raisonnables, et que celles-ci ne sont donc pas des données à caractère personnel. Toutefois, il convient de relever qu'il est très probable que les fournisseurs d'accès internet ignorent si l'adresse IP en question permet ou non l'identification, et qu'ils traitent les données associées à cette IP de la même manière qu'ils traitent les informations associées aux adresses IP d'utilisateurs dûment enregistrés et identifiables. Ainsi, à moins que les fournisseurs d'accès internet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisateurs non identifiables, par mesure sécurité, ils devront traiter toutes les informations IP comme des données à caractère personnel. »

C'est la voie qu'ont choisi de suivre quelques tribunaux de grande instance (TGI Saint-Brieuc, 6 septembre 2007, Ministère public, SCPP, SCAM c/ J.-P. et TGI Bobigny, 14 décembre 2006, Laurent F. c/ SACEM).

Plus récemment, le Tribunal de grande instance de Paris (TGI Paris, 24 juin 2009) a affirmé sans ambiguïté que l'adresse IP est bien une donnée personnelle : « Le tribunal considère que l'adresse IP est une donnée personnelle puisqu'elle correspond à un numéro fourni par un fournisseur d'accès à internet identifiant un ordinateur connecté au réseau ; elle permet d'identifier rapidement à partir de services en ligne gratuit le fournisseur d'accès du responsable du contenu qui délient obligatoirement les données nominatives du responsable du contenue, c'est-à-dire son adresse et ses coordonnées bancaires.[...] Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limités à ce jour de sauraient disqualifier cette adresse comme donnée permettant l'identification personnelle des fournisseurs de contenus. »

La question demeure donc très confuse au sein des juridictions françaises. La qualification de l'adresse IP en effet fait débat car elle est attribuée à un ordinateur et non à un individu. Les particuliers ne disposent pas d'une adresse IP fixe. Elle varie à chacune de leurs connexions. Néanmoins, les fournisseurs d'accès à Internet attribuant ces adresses aux utilisateurs sont capables de relier une adresse IP à une personne physique lorsqu'ils disposent de l'heure et la date de connexion et si cette adresse n'a pas été détournée par un « pirate ».

Le débat sur la question sera peut-être bientôt tranché. Une proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique a entendu mettre fin aux divergences de jurisprudence en qualifiant l'adresse IP de donnée à caractère personnel.

Il convient néanmoins de préciser que l'adresse IP ne peut, à elle seule, identifier une personne physique. Elle constitue en réalité l'un des éléments permettant d'identifier un internaute, et répond donc aux critères posés par l'article 2 de la loi du 6 janvier 19878, définissant la notion de donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée . »

Adoptée par le Sénat le 23 mars 2010, la proposition de loi dite « Escoffier-Détraigne » fait actuellement l'objet d'une première lecture par l'Assemblée Nationale.

Maître Charles MOREL,

Avocat à la Cour, droit de la propriété intellectuelle et des nouvelles technologies, droit pénal et droit de la presse

Camille VALLAUD,

Juriste Marques, Dessins et Modèles CEIPI

________________

Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L.331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés ».

Ajouter un commentaire

Image CAPTCHA