14 Mar L’adresse IP une donnée personnelle ?
Dans un monde où la communication est principalement régie par internet, les données de connexion jouent un rôle dans l’identification des individus et dans le traitement qui peut leur être appliqué.
L’adresse IP, en tant de donnée de connexion, joue un rôle majeur dans notre vie quotidienne puisqu’elle permet d’identifier l’utilisateur d’un poste informatique qui se connecte à internet.
Mais l’adresse IP est-elle une donnée personnelle et si oui, quels impacts cela implique-t-il dans la vie quotidienne de l’entreprise ?
Définitions :
L’adresse IP se définit comme un numéro d’identification (une succession de chiffre) qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol (famille de protocoles de communication de réseau informatique conçus pour être utilisés sur internet).
La donnée personnelle est, aujourd’hui, définie par l’article 2 alinéa 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
La reconnaissance européenne de l’IP en tant que DCP
L’adresse IP est importante en ce qu’elle permet aux ordinateurs de communiquer à travers le même langage appelé « Transmission control protocol – Internet protocol ». Chaque ordinateur est identifié par une adresse précise, donc, l’adresse IP.
En effet s’il est impossible d’identifier un utilisateur à partir d’un ordinateur public (bibliothèque, cybercafé), il est plus facile d’identifier un utilisateur à partir d’une connexion permanente (domicile ou professionnel); Pour utiliser sa connexion , l’usager a dû, au préalable, remplir un formulaire en y laissant des informations sur sa personne (nom, prénom, adresse, âge, parfois coordonnées bancaires) Il est dès lors très facile pour le fournisseur d’accès internet (FAI) de savoir qui utilise l’ordinateur à un moment donné en faisant des croisements des adresses IP actives. Dans ce contexte l’IP peut être considéré comme une donnée indirectement nominative.
Chaque ordinateur qui se connecte à internet reçoit une adresse IP unique qui permet de le retrouver parmi l’ensemble des ordinateurs connectés ou de remonter l’expéditeur d’un message.
Chaque ordinateur connecté à internet est identifié par cette adresse qui rend traçable toute sa circulation sur le réseau (net).
Dans le cadre de l’utilisation quotidienne d’internet, l’adresse IP apparait dans chaque communication :
Par exemple, lorsqu’un usager se connecte sur un site, il adresse une requête au terminal hébergeant les données de la page demandée. Pour que cette communication puisse aboutir, il convient de connaitre l’adresse exacte du site (ou l’adresse IP du terminal destinataire de la requête) et que ce dernier soit en mesure de déterminer aussi où envoyer sa réponse (l’adresse IP du terminal de l’usager).
Le nom de domaine est une suite tripartie de signes composé d’un préfixe (www), d’un radical composé au minimum de 2 et au maximum de 63 caractères qui sont des lettres de (A à Z) et/ou des chiffres de (0 à 9), séparés ou non d’un tiret, et d’un suffixe appelé Top LEVEL Domain ou TDL, c’est-à-dire l’extension. Le nom de domaine a pour fonction d’identifier, d’une part un site internet dont il personnalise l’adresse de protocole internet (IP) et d’autre part l’entité titulaire du site qui utilise le réseau internet comme de promotion d’une activité : www.lxd-avocat.com.
Ainsi l’usager n’a plus à saisir l’adresse IP du terminal mais simplement le nom de domaine de celui-ci.
L’adresse IP a, rapidement, été reconnue comme une donnée à caractère personnel par les instances communautaires et ce de façon très claire puisque l’article 26 de la directive 95/46[2] indique que des données revêtent un caractère personnel à partir du moment où une personne utilisant des moyens raisonnables peut établir un lien avec l’identité de la personne objet des données.
Puisque le fournisseur de services peut toujours établir un lien entre l’identité de l’abonné et l’adresse IP, alors cette dernière devient une donnée à caractère personnel indirecte quand bien même l’ordinateur d’un foyer serait utilisé par plusieurs personnes.
L’évolution chaotique de la jurisprudence française vers la conception européenne
La question s’est posée en France de savoir si l’adresse IP constitue en soi une donnée à caractère personnel qui doit être protégée ?
Cette question a été soumise au groupe de travail sur la protection des données de la Commission européenne appelé le groupe « article 29 »[3] qui considère que l’adresse IP constitue bien une donnée à caractère personnel[4] au sens de la directive 95, remplacée par le Règlement 2016[5] lequel prévoit sans équivoque en ses considérants 26 et 30 que l’adresse IP constitue bien une donnée à caractère personnel.
La CNIL relayant la position du G29 en France, à son tour, a très vite considéré l’adresse IP comme une donnée personnelle[6].
Cependant, la jurisprudence française semblait hésiter à entériner cette position.
En effet, tandis que l’acceptation de l’adresse IP en tant que donnée à caractère personnel au niveau de l’Union européenne et de l’autorité de contrôle est accepté sans équivoque, la jurisprudence française a fait l’objet de nombreux atermoiements durant une dizaine d’années avant de se positionner fermement et définitivement en 2016 :
En France, jusqu’en 2016, le postulat était de dire que toutes les adresses IP ne permettent pas d’identifier, même de manière indirecte, une personne physique, puisqu’elles peuvent identifier des robots, des passerelles, ou des serveurs[7]. S’appuyant sur l’absence (de volonté ?) de régime juridique, ou de définition légale de l’adresse IP, ne permettant pas de qualifier l’adresse IP de donnée à caractère personnel conformément aux dispositions de la loi de 1978 notamment grâce au critère déterminant qu’est la possibilité d’identification, directe ou indirecte d’une personne physique.
Face à ce constat, c’est la jurisprudence qui pallie à l’inertie du législateur et tente d’apporter des réponses aux opérateurs économiques, pour le moins hétérogènes.
La question de l’adresse IP recouvre des situation d’une grande diversité qui sont, chacune, susceptible d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte et des faits portés devant le juge. Pour cette raison, la jurisprudence fluctue et les juges répondent de manières différentes en fonction des faits qui sont soumis à leur interprétation.
Dans un arrêt du 13 janvier 2009[8], la Cour de cassation n’a pas pris position sur cette question controversée considérant que les « constations visuelles » et l’accès « manuel » d’un agent assermenté à des données relatives à une infraction et ceci sans recours d’aucune sorte à « un traitement préalable de surveillance automatisé » « ne constitue pas un traitement de données à caractère personnel ». Façon élégante et détournée de ne pas prendre position sur cette question.
(TGI Saint-Brieuc 6 sept. 2007, Ministère public, SCPP, SACEM c/ J. -P. ; TGI Paris, 3e Ch. 24 juin 2009, Jean-Yves L. c/ Google ; CA Rennes, 23 juin 2008, n° 07/0121). Mais dans d’autres, ils lui refusent la qualification de donnée à caractère personnel (Paris, 13e ch. A, 15 mai 2007, H. S. c/ SCPP ; Crim. 13 janv. 2009, n° 08-84.088)
L’acceptation française de la conception européenne de l’IP
Si le Tribunal de Grande Instance de Paris a clairement conféré la qualité de donnée personnelle à l’adresse IP[9] ; la Cour d’appel de Rennes qui dans une décision de 2015[10] considère que l’adresse IP étant constituée d’une série de chiffres se rapportant à un ordinateur et non à un utilisateur peut être considérée comme une donnée personnelle même indirecte. « le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi Informatique et Libertés du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées […] sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes ne soit fait, ne constitue pas un traitement de données à caractère personnel »
Les décisions de la Cour de Cassation ainsi que la Cour d’appel de Rennes entrent pourtant clairement en contradiction avec la conception défendue par la Cour de Justice de l’Union Européenne (CJUE)[11] qui a une appréciation extensive et donc envisage de façon claire et non équivoque les adresses IP comme des données personnelles car «elles permettent l’identification précise des utilisateurs ».
Cette absence d’harmonisation des jurisprudences étant sources d’insécurité juridique pour les opérateurs économiques; la Cour cassation par une décision du 3 novembre 2016[12] est venue mettre un terme à cette cacophonie juridique en affirmant très clairement que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL »
Ceci, dans une affaire dans laquelle une société découvre sur son réseau informatique interne la connexion d’ordinateurs extérieurs au groupe, mais faisant un usage de code d’accès réservés aux administrateurs du site internet de la société. La société a donc introduit une requête afin que les Fournisseurs d’Accès Internet (FAI) leur communiquent les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.
La société concurrente a, de son côté, contesté l’ordonnance confirmée en appel devant la CA de Rennes en invoquant l’illicéité de la mesure d’instruction sollicitée au motif selon elle que le Tribunal de commerce lui apparaissait incompétent s’agissant d’une demande portant sur la communication de donnée à caractère personnel et soumises au régime strict de la loi informatique et liberté.
La Cour accueille cet argument et casse l’arrêt rendu par la CA de rennes, mettant ainsi fin à un feuilleton judiciaire sur le nature de l’IP.
Mais quel est l’impact de sur la vie quotidienne des entreprises ?
Certaines coordonnées professionnelles sont des données personnelles. Le nom ainsi que les coordonnées des personnes physiques sont bien sûr considérées comme telles.
La question se pose néanmoins pour l’adresse IP dans la sphère professionnelle.
Et qu’en est-il de la validité et des critères à respecter d’un traitement consistant à rapprocher l’analyse du contenu d’un poste informatique et l’identité de l’utilisateur habituel de ce poste informatique ?
Le Conseil d’Etat semble avoir répondu concrètement à ce cas considérant que ce traitement est bien un traitement de données à caractère personnel[13]. Peu importe que la société ait ou non le pouvoir de lever le cryptage des données ou qu’elle collecte les données à raison de leur contenu et non de l’utilisateur de l’ordinateur.
L’adresse IP du salarié est une donnée personnelle devant faire l’objet de précautions particulières.
L’enjeux pour les entreprises :
L’évolution de la jurisprudence permettra une avancée notable dans un domaine, la fraude, qui ne cesse de croître. Les dirigeants d’entreprises seront ainsi capables de mieux se protéger contre la fraude de manière autonome, l’adresse IP constituant un traitement de donnée à caractère personnel.
Dans l’intervalle d’une évolution législative et/ ou jurisprudentielle, il conviendrait d’encadrer l’utilisation du réseau informatique de l’entreprise en en s’assurant de la mise en place d’un réseau informatique puissant, limitant l’accès à certaines parties du réseau informatique uniquement aux salariés qui ont besoin d’en connaître, en bloquant l’accès aux sites portant atteintes aux bonnes mœurs, ou à tout le moins par la signature d’une charte informatique sur les conditions d’usage des terminaux professionnels pendant les heures de travail.
Pour aller plus loin…. Contactez le Cabinet Levrel
[1][1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[2]Directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[3]Groupe de travail article 29
[4]Délibération 2006-294 du 21 décembre 2006
[5]Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données
[6]CNIL, 17è rapport d’activité 1996 : « les données qui semblent les moins nominatives des couches TCP et IP du réseau (…) et qui de surcroît ne sont pas directement visibles, sont les plus « sûres » : elles concernent forcément l’utilisateur ou un des utilisateurs de l’ordinateur qui est parfaitement identifié en tant que machine ».
[7]Question écrite n°21517 publié au JO le 19/03 /2013 page 3019, réponse publiée au JO le :10/11/2015 page : 8206
[8]Cass. Crim. 13/1/2009, n°08-84.088.
[9]TGI Paris 24/6/2009, RLDI 2009/51, n°1686.
[10]CA Rennes, Ch. Com. 28/4/2015, n°14/05708, SARL Cabinet Peterson c/ SARL Groupe Logisneuf, SARL C-Invest, SARL European Soft.
[11]CJUE 24/11/2011, Scarlet Extended, C-70/10.
[12]Cass. Civ 1ère 3/11/2016, n°15-22.595, publié
[13]CE 11/5/2015, n° 375669.