Adresses IP : déclaration CNIL obligatoire

Une clarification attendue

La décision surprise a été rendue par la Cour de cassation. Les juges suprêmes viennent de  considérer, dans un attendu de principe très clair, que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont bien des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet (par les FAI et les fournisseurs de services internet), d’une déclaration préalable auprès de la CNIL (Cour de cassation, ch. civ., 3/11/2016).

L’adresse IP était déjà une donnée à caractère personnel pour l’ensemble des « CNIL européennes », mais cette décision qui s’inscrit dans la lignée d’une récente jurisprudence européenne met fin aux doutes sur le terrain judiciaire.

Définition technique d’une adresse IP

Une adresse IP est une suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Les FAI attribuent à leurs clients des adresses IP fixes ou dynamiques. Les webmasters disposent d’un accès aux adresses IP par le biais des journaux de connexion /logs de leurs sites.

Définition juridique : une donnée personnelle indirecte

Une adresse IP fixe permet à elle seule l’identification permanente (au moins) d’un dispositif connecté au réseau. En revanche, même si une adresse IP dynamique ne suffit pas, à elle seule, à identifier une personne physique, l’identification devient possible en procédant à un recoupement de données. Comme le FAI dispose d’informations supplémentaires qui, combinées à l’adresse IP, permettent d’identifier la personne, la qualification de donnée personnelle s’imposait.

Au sens de la loi n° 78-17 du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou INDIRECTEMENT, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les listes d’adresses IP fixes ou dynamiques étant bien collectées, traitées, conservées par les FAI et éditeurs de contenus, il s’agit donc bien de fichiers de données personnelles avec traitement de données, or, tous les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL.

Une position conforme à celle de la CJUE

La CJUE avait déjà qualifié l’adresse IP dynamique de données personnelle pour les fournisseurs d’accès (CJUE, 24/11/2011, Affaire C-70/10) et plus récemment pour les fournisseurs de services internet (CJUE, 19/10/2016, Affaire C-582/14). Là aussi l’adresse IP dynamique est une donnée personnelle, en ce que, associée aux autres données conservées par le FAI, elle permet d’identifier la personne connectée.

Quelles conséquences juridiques ?

Plusieurs conséquences importantes. Les traitements d’adresses IP devraient désormais être déclarés à la CNIL. L’adresse IP serait une nouvelle catégorie de donnée nominative en plus des suivantes, déjà retenues par la CNIL :

• Informations relatives aux infractions, condamnations ou mesures de sûreté
• Informations en rapport avec la police
• Habitudes de vie et comportement
• Santé, données génétiques, vie sexuelle
• Données biométriques
• Données philosophiques, religieuses
• Données liées aux origines raciales ou ethniques
• Données de type opinions politiques,
• Données faisant apparaître les ou les appartenances syndicales des personnes
• Utilisation des médias et moyens de communication
• Moyens de déplacement des personnes
• Situation économique et financière
• Vie professionnelle
• Adresse, caractéristiques du logement
• Formation – Diplômes – Distinctions
• Situation militaire
• Situation familiale
• RNIPP
• NIR, N° de Sécurité Sociale
• Initiales

La déclaration CNIL implique également la mise en œuvre de plusieurs mesures pour assurer, par exemple, la sécurité des systèmes de traitements des adresses IP (accès sécurisé), le traitement d’adresses IP exactes (identification des masques IP), la transmission d’adresses IP vérifiées aux autorités administratives et judicaires chargées de lutter contre des comportements délictuels commis via Internet, la fixation d’une durée de conservation des adresses IP proportionnelle aux finalités du traitement ….

Autre conséquence indirecte mais cette fois de procédure, l’incompétence matérielle des Tribunaux de commerce (s’agissant des demandes portant sur la communication de données à caractère personnel) au profit du président du Tribunal de grande instance.

A noter qu’en matière de publicité électronique, l’un des domaines de friction favori avec le droit des données personnelles, même si la majorité des systèmes de publicité ciblée repose sur la collecte des adresses IP, l’exploitation de cette donnée personnelle n’apparaît pas déterminante dans certaines pratiques de marketing (« retargeting », « real time bidding » …) qui s’attachent désormais à l’historique de navigation, aux heures de visite de l’internaute …

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision » class= »in »]

Télécharger 

[/toggle]

[toggle title= »Poser une Question »]

Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h

[/toggle]

[toggle title= »Paramétrer une Alerte »]

Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu’une décision est rendue sur ce thème

[/toggle]

[toggle title= »Commander un Casier judiciaire »]

Commander un bilan judiciaire sur l’une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).

[/toggle]

[acc_item title= »Reproduction »]

Copier ou transmettre ce contenu

[/toggle]

[toggle title= »Vous avez traité un dossier similaire? »]

Maître 

[/toggle]

[/toggles]