La gestion des cookies peut être un véritable casse-tête tant la législation sur les données personnelles est importante. Le développement des services de l’information se caractérise par l’introduction de nouveaux services de communication électronique qui offrent de grandes capacités et de vastes possibilités pour le traitement des données à caractère personnel, notamment en dehors des frontières européennes. Le succès du développement de ces services dépend en partie de la confiance qu’auront les utilisateurs que ces services ne porteront pas atteinte à leur vie privée. Force est de constater, que le développement des services de l’information pose avec une plus grande acuité la question du traçage des personnes qui y ont recours.Lorsqu’ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs. Ce traçage est réalisé par l’intermédiaire de différentes technologies, dont la plus répandue est aujourd’hui celle des « cookies ».

Depuis octobre 2014 le gendarme des droits et libertés sur internet, la CNIL contrôle de façon assidue le respect par les entreprises de la règlementation relative aux cookies : ses audits portent généralement sur la nature des cookies déposés, les modalités d’information du public, la visibilité et la qualité de l’information fournie.

Dans ce contexte, un panorama en 10 leçons vous permettra de vous assurer de la conformité de vos pratiques avec la législation en vigueur.

Définitions :

Cookie : témoin de connexion défini par le protocole de communication http comme étant une suite d’informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions ;

La donnée personnelle définie par l’alinéa 2 de l’article 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ;

Le responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement ;

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

La gestion de la conformité des cookies à la règlementation CNIL pose notamment les questions pratiques suivantes : Quand faut-il ajouter un bandeau sur son site Web ? Dans quels cas faut-il obtenir un consentement… et quel consentement ? Jusqu’à quel niveau de détails faut-il décrire les marqueurs utilisés ?

Voyons ensemble, les 10 points qui vous permettront d’y recourir conforment à la législation.

1. Comprendre ce qu’est un cookie

Le cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le terminal de l’internaute. Existant depuis 1990 il permet au développeur du site web qui les a déposés, d’identifier et de stocker des informations relatives à la navigation de l’utilisateur sur le web (mots clés utilisés, sites visités, pages visitées et actions réalisées sur ces sites, temps passé, géolocalisation, langue utilisée, etc…) et de conserver des données utilisateurs afin de faciliter la navigation et de permettre certaines fonctionnalités.

Les cookies ont fait l’objet de controverses dans la mesure où ces derniers contiennent des informations personnelles résiduelles pouvant potentiellement être exploités des tiers.

La législation s’applique aux cookies déposés et lus, notamment lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau internet)[2].

2. Identifier la finalité du dépôt d’un cookie

Cookie de session ou temporaire : cookie éponyme effacé automatiquement dès que l’utilisateur ferme son navigateur ;

Cookie persistant ou traceur : cookie qui reste stocké dans l’équipement terminal de l’utilisateur jusqu’à une date prédéfinie variant de quelque minute à plusieurs années. Ils permettent de tracer la navigation de l’utilisateur sur plusieurs sites différents (au-delà du site initialement visité et qui a donné lieu au dépôt du cookie) ;

Cookie de personnalisation : cookie utilisé pour mémoriser l’information sur l’utilisateur d’un site, dans le but de lui montrer un contenu approprié lors de sa prochaine navigation sur le site. Par exemple, un serveur peut envoyer un cookie contenant le dernier nom d’utilisateur utilisé pour connecter à ce site web, afin que ce nom d’utilisateur puisse être pré-rempli lors des prochaines visites ;

Cookie de pistage : cookie utilisé pour suivre les habitudes de navigation des utilisateurs d’internet. Le pistage peut être fait également en utilisant l’adresse IP de l’ordinateur faisant une requête d’une page ou à l’aide de l’enquête http « référant » que le client envoie à chaque requête, mais les cookies permettent une plus grande précision.

Ex 1 (sans cookie) : si l’utilisateur fait appel à une page d’un site, et que la requête ne contient pas de cookie, le serveur présume que c’est la première page visitée par l’utilisateur. Le serveur crée alors une chaine aléatoire et l’envoie au navigateur en même temps que la page demandée.

Ex 2 (avec cookie) : A partir de ce moment, le cookie sera automatiquement envoyé par le navigateur à chaque fois qu’une nouvelle page du site sera appelée. Le serveur enverra la page comme d’habitude, mais enregistrera aussi l’URL de la page appelée, la date, l’heure de la requête et le cookie dans un fichier de journalisation.

En regardant le fichier de journalisation, il est alors possible de voir quelles pages l’utilisateur a visité et dans quel ordre. Le pistage est généralement utilisé pour des raisons statistiques. Il convient de respecter la réglementation à cause des possibles intrusions dans la vie privée.

Dans la mesure où l’utilisation des cookies peut entrainer une intrusion dans la vie privée des internautes, leur utilisation doit être encadrée. Plusieurs types de cookies nécessitent une information précise et un consentement préalable de l’internaute :

-Les cookies liés aux opérations relatives à la publicité ciblée ;

-Les cookies de mesure d’audience ;

-Les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » ; notamment lorsqu’ils collectent des données personnelles sans consentement des personnes concernées [3].

Les cookies analysent la navigation, les déplacements et les habitudes de consultation ou de consommation, afin notamment de proposer des publicités ciblées ou des services personnalisés.

3. Identifier l’auteur du dépôt de cookies

Les cookies sont généralement produits et déposés notamment par les acteurs suivants :

-Les éditeurs de sites, de système d’exploitation, et d’applications ;

-Les régies publicitaires ;

-Les réseaux sociaux ;

-Les éditeurs de solutions de mesure d’audience.

4. Rappel du principe de la confidentialité des données à caractère personnel

Les données relatives au trafic, générées par les communications effectuées au moyen de service de communication électronique sont confidentielles. Il est, par principe, interdit à toute autre personne que l’utilisateur d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic, ou de les soumettre à tout autre moyen d‘interception ou de surveillance, sans le consentement des utilisateurs concernées, sauf lorsque la personne y est légalement autorisée [4].

L’équipement terminal de l’utilisateur d’un réseau de communication électronique ainsi que toute information stockée sur cet équipement relève de la vie privée de l’utilisateur particulier, qui doit être protégé conformément aux dispositions de l’article 8 de la Convention Européenne des Droit de l’Homme. Or les logiciels espions, les pixels invisibles (web bug), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin d’accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisé qu’à des fins légitimes, et portée à la connaissance de l’utilisateur concerné sans ambiguïté.

C’est notamment le cas pour les utilisateurs salariés, qui dans le cadre de l’exercice de leur activité professionnelle, sont amenés à utiliser les outils de communication électronique mis à leur disposition par leur employeur dans l’exercice de leurs fonctions. Ainsi, l’employeur pourra surveiller, dans le cadre de son pouvoir disciplinaire, les communications électroniques du salarié sur le réseau de communication électronique de la société ainsi que le contenu des équipements électroniques (terminal, smartphone), sous réserve d’en informer préalablement ses salariés, par la signature d’une charte informatique et/ou la remise d’un exemplaire du règlement intérieur. Une jurisprudence de la CEDH de janvier 2016 confirme ce point, en déclarant que le fait pour un employeur de surveiller les communications électroniques de son salarié n’est pas constitutif d’une violation du droit à la vie privée du salarié :«la Cour estime qu’il n’est pas déraisonnable pour un employeur de vouloir vérifier que ses employés accomplissent leurs tâches professionnelles pendant leurs heures de travail.» [5].

Cependant les dispositifs de ce type, par exemple les témoins de connexion (cookies), peuvent constituer un outil utile pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de service de la société de l’information, leur utilisation devraient être autorisée à condition que les utilisateurs se voient donner des informations claires et précises.

5. Recueillir le consentement des utilisateurs

Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site internet[6].

6. Obligation d’information des utilisateurs incombant au responsable de traitement

Les obligations incombant aux responsables de traitement sont les suivantes :

-préciser l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

-préciser la finalité poursuivie par le traitement auquel les données sont destinées ;

-préciser le caractère obligatoire ou facultatif des réponses ;

-préciser les conséquences éventuelles, à son égard, d’un défaut de réponse ;

-préciser les destinataires ou catégories de destinataires des données ;

-préciser les droits qu’elle tient des dispositions de la section 2 du chapitre V de la loi dont celui de définir  des directives relatives au sort de ses données à caractères  personnel après sa mort,

-préciser le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne[7]

7. Moment et durée

Le consentement au dépôt des cookies a une durée de treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site[8].

8. Conditions du traitement des cookies

Tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard de la personne concernée. Il doit, en particulier, porter sur des données adéquates, pertinentes, et non excessives au regard des finalités poursuivies, qui doivent être explicites et légitimes et déterminées lors de la collecte des données.

Les utilisateurs doivent avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important dans le cas où un terminal de connexion est partagé par plusieurs utilisateurs qui peuvent avoir accès aux données sensibles qui y sont stockées.

9. Contrôler la conformité de vos cookies

Information de l’utilisateur

-Indiquer la finalité précise des cookies utilisés ;

-Indiquer la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

-Indiquer le principe selon lequel la poursuite de la navigation vaut accord du dépôt de cookies sur son terminal.

Critères du bandeau d’informations

-Il doit être transparent, clair et non équivoque ;

-Il doit être apparent jusqu’à la poursuite de la navigation (c’est-à-dire de se rendre sur une autre page ou une clique sur un élément du site) ;

sauf consentement expresse et préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués.

10. Effectuer une déclaration auprès de la CNIL

En France, l’utilisation de cookies est incontestablement un moyen de collecter des informations nominatives débouchant sur un traitement automatisé et doit en conséquence faire l’objet d’une déclaration auprès de la Commission Nationale Informatique et Liberté (CNIL) en vertu de la loi no 78-17 du 6 janvier 1978 . Très tôt, cette autorité a émis des avis sur l’emploi des cookies et précisé les obligations pesant sur les utilisateurs de ces techniques.

Le responsable de traitement doit veiller, sous peine d’être sanctionné de 5 ans d’emprisonnement et 300.000 euros d’amende, le collecteur de données doit veiller :

— à ne pas commettre un détournement de la finalité déclarée du traitement ;

— à ne pas collecter les données par un moyen frauduleux, déloyal ou illicite, et à ne pas procéder à leur traitement malgré l’opposition légitime du consommateur ;

— à ne pas collecter les données relatives à la vie privée, aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, aux mœurs, sans le consentement exprès du consommateur.

La CNIL peut prononcer :

— des avertissements qu’elle peut également rendre publics ;

— des sanctions pécuniaires si « le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement » ;

— toutes mesures permettant de faire cesser l’infraction constatée[9]

L’information à fournir aux utilisateurs concernant les cookies doit ainsi être rédigée avec soin et ne saurait se réduire à une annonce générale relative à l’existence desdits cookies. Une analyse circonstanciée est nécessaire puisqu’il n’existe pas de message type. Chaque information doit être adaptée au cas par cas en fonction du type de cookies utilisé et des finalités poursuivies. La difficulté réside dans la manière de fournir cette information, potentiellement dense, de manière conviviale et suffisamment claire, précise et visible pour les utilisateurs.

Pour vous accompagner dans cet étape, n’hésitez pas à contacter votre conseil juridique.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1]Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertéstelle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

[2]Article 1 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978  _ l n’y a dans la recommandation aucune injonction, même s’il est clair que l’on peut considérer comme de bonne politique de s’y conformer, la CNIL qui juge la loi violée pouvant toujours saisir les autorités judiciaires

[3] Cette liste n’est pas exhaustive

[4]Alinéa 1 article 5 de la DIRECTIVE 2002/58/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 juillet 2002 concernant le traitement des données à caractères personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[5]Arrêt CEDH du 12/01/16 Requête n° 61496/08 Affaire Barbulescu c. Roumanie

[6] Considérant 17 de la directive vie privée et communications électroniques

[7]Art. 32. – I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

[8]Article 5 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 

[9]Article 7 de la loi du 6 août 2004, modifiant le chapitre VII de la loi de la loi du 6 janvier 1978

The post Le casse-tête des cookies géré en 10 leçons appeared first on Aurélie Levrel - Avocat à Paris.

Dans un monde où la communication est principalement régie par internet, les données de connexion jouent un rôle dans l’identification des individus et dans le traitement qui peut leur être appliqué.

L’adresse IP, en tant de donnée de connexion, joue un rôle majeur dans notre vie quotidienne puisqu’elle permet d’identifier l’utilisateur d’un poste informatique qui se connecte à internet.

Mais l’adresse IP est-elle une donnée personnelle et si oui, quels impacts cela implique-t-il dans la vie quotidienne de l’entreprise ?

Définitions :

 
L’adresse IP se définit comme un numéro d’identification (une succession de chiffre) qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol (famille de protocoles de communication de réseau informatique conçus pour être utilisés sur internet).

La donnée personnelle est, aujourd’hui, définie par l’article 2 alinéa 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

La reconnaissance européenne de l’IP en tant que DCP

L’adresse IP est importante en ce qu’elle permet aux ordinateurs de communiquer à travers le même langage appelé « Transmission control protocol – Internet protocol ». Chaque ordinateur est identifié par une adresse précise, donc, l’adresse IP.

En effet s’il est impossible d’identifier un utilisateur à partir d’un ordinateur public (bibliothèque, cybercafé), il est plus facile d’identifier un utilisateur à partir d’une connexion permanente (domicile ou professionnel); Pour utiliser sa connexion , l’usager a dû, au préalable, remplir un formulaire en y laissant des informations sur sa personne (nom, prénom, adresse, âge, parfois coordonnées bancaires) Il est dès lors très facile pour le fournisseur d’accès internet (FAI) de savoir qui utilise l’ordinateur à un moment donné en faisant des croisements des adresses IP actives. Dans ce contexte l’IP peut être considéré comme une donnée indirectement nominative.

Chaque ordinateur qui se connecte à internet reçoit une adresse IP unique qui permet de le retrouver parmi l’ensemble des ordinateurs connectés ou de remonter l’expéditeur d’un message.

Chaque ordinateur connecté à internet est identifié par cette adresse qui rend traçable toute sa circulation sur le réseau (net).

Dans le cadre de l’utilisation quotidienne d’internet, l’adresse IP apparait dans chaque communication :

Par exemple, lorsqu’un usager se connecte sur un site, il adresse une requête au terminal hébergeant les données de la page demandée. Pour que cette communication puisse aboutir, il convient de connaitre l’adresse exacte du site (ou l’adresse IP du terminal destinataire de la requête) et que ce dernier soit en mesure de déterminer aussi où envoyer sa réponse (l’adresse IP du terminal de l’usager).

Le nom de domaine est une suite tripartie de signes composé d’un préfixe (www), d’un radical composé au minimum de 2 et au maximum de 63 caractères qui sont des lettres de (A à Z) et/ou des chiffres de (0 à 9), séparés ou non d’un tiret, et d’un suffixe appelé Top LEVEL Domain ou TDL, c’est-à-dire l’extension. Le nom de domaine a pour fonction d’identifier, d’une part un site internet dont il personnalise l’adresse de protocole internet (IP) et d’autre part l’entité titulaire du site qui utilise le réseau internet comme de promotion d’une activité : www.lxd-avocat.com.

Ainsi l’usager n’a plus à saisir l’adresse IP du terminal mais simplement le nom de domaine de celui-ci.

L’adresse IP a, rapidement, été reconnue comme une donnée à caractère personnel par les instances communautaires et ce de façon très claire puisque l’article 26 de la directive 95/46[2] indique que des données revêtent un caractère personnel à partir du moment où une personne utilisant des moyens raisonnables peut établir un lien avec l’identité de la personne objet des données.

Puisque le fournisseur de services peut toujours établir un lien entre l’identité de l’abonné et l’adresse IP, alors cette dernière devient une donnée à caractère personnel indirecte quand bien même l’ordinateur d’un foyer serait utilisé par plusieurs personnes.

L’évolution chaotique de la jurisprudence française vers la conception européenne

La question s’est posée en France de savoir si l’adresse IP constitue en soi une donnée à caractère personnel qui doit être protégée ?

Cette question a été soumise au groupe de travail sur la protection des données de la Commission européenne appelé le groupe « article 29 »[3] qui considère que l’adresse IP constitue bien une donnée à caractère personnel[4] au sens de la directive 95, remplacée par le Règlement 2016[5] lequel prévoit sans équivoque en ses considérants 26 et 30 que l’adresse IP constitue bien une donnée à caractère personnel.

La CNIL relayant la position du G29 en France, à son tour, a très vite considéré l’adresse IP comme une donnée personnelle[6].

Cependant, la jurisprudence française semblait hésiter à entériner cette position.

En effet, tandis que l’acceptation de l’adresse IP en tant que donnée à caractère personnel au niveau de l’Union européenne et de l’autorité de contrôle est accepté sans équivoque, la jurisprudence française a fait l’objet de nombreux atermoiements durant une dizaine d’années avant de se positionner fermement et définitivement en 2016 :

En France, jusqu’en 2016, le postulat était de dire que toutes les adresses IP ne permettent pas d’identifier, même de manière indirecte, une personne physique, puisqu’elles peuvent identifier des robots, des passerelles, ou des serveurs[7].  S’appuyant sur l’absence (de volonté ?) de régime juridique, ou de définition légale de l’adresse IP, ne permettant pas de qualifier l’adresse IP de donnée à caractère personnel conformément aux dispositions de la loi de 1978 notamment grâce au critère déterminant qu’est la possibilité d’identification, directe ou indirecte d’une personne physique.

Face à ce constat, c’est la jurisprudence qui pallie à l’inertie du législateur et tente d’apporter des réponses aux opérateurs économiques, pour le moins hétérogènes.

La question de l’adresse IP recouvre des situation d’une grande diversité qui sont, chacune, susceptible d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte et des faits portés devant le juge. Pour cette raison, la jurisprudence fluctue et les juges répondent de manières différentes en fonction des faits qui sont soumis à leur interprétation.

Dans un arrêt du 13 janvier 2009[8], la Cour de cassation n’a pas pris position sur cette question controversée considérant que les « constations visuelles » et l’accès « manuel » d’un agent assermenté à des données relatives à une infraction et ceci sans recours d’aucune sorte à « un traitement préalable de surveillance automatisé » « ne constitue pas un traitement de données à caractère personnel ». Façon élégante et détournée de ne pas prendre position sur cette question.

(TGI Saint-Brieuc 6 sept. 2007, Ministère public, SCPP, SACEM c/ J. -P. ; TGI Paris, 3e Ch. 24 juin 2009, Jean-Yves L. c/ Google ; CA Rennes, 23 juin 2008, n° 07/0121). Mais dans d’autres, ils lui refusent la qualification de donnée à caractère personnel (Paris, 13e ch. A, 15 mai 2007, H. S. c/ SCPP ; Crim. 13 janv. 2009, n° 08-84.088)

L’acceptation française de la conception européenne de l’IP

Si le Tribunal de Grande Instance de Paris a clairement conféré la qualité de donnée personnelle à l’adresse IP[9] ; la Cour d’appel de Rennes qui dans une décision de 2015[10] considère que l’adresse IP étant constituée d’une série de chiffres se rapportant à un ordinateur et non à un utilisateur peut être considérée comme une donnée personnelle même indirecte. « le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi Informatique et Libertés du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées […] sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes ne soit fait, ne constitue pas un traitement de données à caractère personnel »

Les décisions de la Cour de Cassation ainsi que la Cour d’appel de Rennes entrent pourtant clairement en contradiction avec la conception défendue par la Cour de Justice de l’Union Européenne (CJUE)[11] qui a une appréciation extensive et donc envisage de façon claire et non équivoque les adresses IP comme des données personnelles car «elles permettent l’identification précise des utilisateurs ».

Cette absence d’harmonisation des jurisprudences étant sources d’insécurité juridique pour les opérateurs économiques; la Cour cassation par une décision du 3 novembre 2016[12] est venue mettre un terme à cette cacophonie juridique en affirmant très clairement que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL »

Ceci, dans une affaire dans laquelle une société découvre sur son réseau informatique interne la connexion d’ordinateurs extérieurs au groupe, mais faisant un usage de code d’accès réservés aux administrateurs du site internet de la société. La société a donc introduit une requête afin que les Fournisseurs d’Accès Internet (FAI) leur communiquent les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.

La société concurrente a, de son côté, contesté l’ordonnance confirmée en appel devant la CA de Rennes en invoquant l’illicéité de la mesure d’instruction sollicitée au motif selon elle que le Tribunal de commerce lui apparaissait incompétent s’agissant d’une demande portant sur la communication de donnée à caractère personnel et soumises au régime strict de la loi informatique et liberté.

La Cour accueille cet argument et casse l’arrêt rendu par la CA de rennes, mettant ainsi fin à un feuilleton judiciaire sur le nature de l’IP.
 

Mais quel est l’impact de sur la vie quotidienne des entreprises ?

Certaines coordonnées professionnelles sont des données personnelles. Le nom ainsi que les coordonnées des personnes physiques sont bien sûr considérées comme telles.

La question se pose néanmoins pour l’adresse IP dans la sphère professionnelle.

Et qu’en est-il de la validité et des critères à respecter d’un traitement consistant à rapprocher l’analyse du contenu d’un poste informatique et l’identité de l’utilisateur habituel de ce poste informatique ?

Le Conseil d’Etat semble avoir répondu concrètement à ce cas considérant que ce traitement est bien un traitement de données à caractère personnel[13]. Peu importe que la société ait ou non le pouvoir de lever le cryptage des données ou qu’elle collecte les données à raison de leur contenu et non de l’utilisateur de l’ordinateur.

L’adresse IP du salarié est une donnée personnelle devant faire l’objet de précautions particulières.

L’enjeux pour les entreprises :

L’évolution de la jurisprudence permettra une avancée notable dans un domaine, la fraude, qui ne cesse de croître. Les dirigeants d’entreprises seront ainsi capables de mieux se protéger contre la fraude de manière autonome, l’adresse IP constituant un traitement de donnée à caractère personnel.

Dans l’intervalle d’une évolution législative et/ ou jurisprudentielle, il conviendrait d’encadrer l’utilisation du réseau informatique de l’entreprise en en s’assurant de la mise en place d’un réseau informatique puissant, limitant l’accès à certaines parties du réseau informatique uniquement aux salariés qui ont besoin d’en connaître, en bloquant l’accès aux sites portant atteintes aux bonnes mœurs, ou à tout le moins par la signature d’une charte informatique sur les conditions d’usage des terminaux professionnels pendant les heures de travail.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1][1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

telle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitments de données à caractère personnel

[2]Directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3]Groupe de travail article 29

[4]Délibération 2006-294 du 21 décembre 2006

[5]Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données

[6]CNIL, 17è rapport d’activité 1996 : « les données qui semblent les moins nominatives des couches TCP et IP du réseau (…) et qui de surcroît ne sont pas directement visibles, sont les plus « sûres » : elles concernent forcément l’utilisateur ou un des utilisateurs de l’ordinateur qui est parfaitement identifié en tant que machine ».

[7]Question écrite n°21517 publié au JO le 19/03 /2013 page 3019, réponse publiée au JO le :10/11/2015 page : 8206

[8]Cass. Crim. 13/1/2009, n°08-84.088.

[9]TGI Paris 24/6/2009, RLDI 2009/51, n°1686.

[10]CA Rennes, Ch. Com. 28/4/2015, n°14/05708, SARL Cabinet Peterson c/ SARL Groupe Logisneuf, SARL C-Invest, SARL European Soft.

[11]CJUE 24/11/2011, Scarlet Extended, C-70/10.

[12]Cass. Civ 1^ère 3/11/2016, n°15-22.595, publié

[13]CE 11/5/2015, n° 375669.

The post L’adresse IP une donnée personnelle ? appeared first on Aurélie Levrel - Avocat à Paris.

The post La prévention du contentieux de la gestion électronique des documents appeared first on Aurélie Levrel - Avocat à Paris.