L’essentiel : La Cour de cassation a récemment statué que les adresses IP sont des données à caractère personnel, nécessitant une déclaration préalable auprès de la CNIL pour leur collecte. Cette décision clarifie le statut juridique des adresses IP, déjà reconnu par les CNIL européennes. Une adresse IP fixe permet une identification permanente, tandis qu’une adresse IP dynamique, bien que moins directe, peut également mener à l’identification par recoupement de données. Ainsi, les fournisseurs d’accès et de services internet doivent désormais se conformer à des obligations strictes concernant le traitement de ces données, renforçant la protection des informations personnelles des utilisateurs.

Une clarification attendue

La décision surprise a été rendue par la Cour de cassation. Les juges suprêmes viennent de  considérer, dans un attendu de principe très clair, que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont bien des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet (par les FAI et les fournisseurs de services internet), d’une déclaration préalable auprès de la CNIL (Cour de cassation, ch. civ., 3/11/2016).

L’adresse IP était déjà une donnée à caractère personnel pour l’ensemble des « CNIL européennes », mais cette décision qui s’inscrit dans la lignée d’une récente jurisprudence européenne met fin aux doutes sur le terrain judiciaire.

Définition technique d’une adresse IP

Une adresse IP est une suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Les FAI attribuent à leurs clients des adresses IP fixes ou dynamiques. Les webmasters disposent d’un accès aux adresses IP par le biais des journaux de connexion /logs de leurs sites.

Définition juridique : une donnée personnelle indirecte

Une adresse IP fixe permet à elle seule l’identification permanente (au moins) d’un dispositif connecté au réseau. En revanche, même si une adresse IP dynamique ne suffit pas, à elle seule, à identifier une personne physique, l’identification devient possible en procédant à un recoupement de données. Comme le FAI dispose d’informations supplémentaires qui, combinées à l’adresse IP, permettent d’identifier la personne, la qualification de donnée personnelle s’imposait.

Au sens de la loi n° 78-17 du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou INDIRECTEMENT, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les listes d’adresses IP fixes ou dynamiques étant bien collectées, traitées, conservées par les FAI et éditeurs de contenus, il s’agit donc bien de fichiers de données personnelles avec traitement de données, or, tous les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL.

Une position conforme à celle de la CJUE

La CJUE avait déjà qualifié l’adresse IP dynamique de données personnelle pour les fournisseurs d’accès (CJUE, 24/11/2011, Affaire C-70/10) et plus récemment pour les fournisseurs de services internet (CJUE, 19/10/2016, Affaire C-582/14). Là aussi l’adresse IP dynamique est une donnée personnelle, en ce que, associée aux autres données conservées par le FAI, elle permet d’identifier la personne connectée.

Quelles conséquences juridiques ?

Plusieurs conséquences importantes. Les traitements d’adresses IP devraient désormais être déclarés à la CNIL. L’adresse IP serait une nouvelle catégorie de donnée nominative en plus des suivantes, déjà retenues par la CNIL :

• Informations relatives aux infractions, condamnations ou mesures de sûreté
• Informations en rapport avec la police
• Habitudes de vie et comportement
• Santé, données génétiques, vie sexuelle
• Données biométriques
• Données philosophiques, religieuses
• Données liées aux origines raciales ou ethniques
• Données de type opinions politiques,
• Données faisant apparaître les ou les appartenances syndicales des personnes
• Utilisation des médias et moyens de communication
• Moyens de déplacement des personnes
• Situation économique et financière
• Vie professionnelle
• Adresse, caractéristiques du logement
• Formation – Diplômes – Distinctions
• Situation militaire
• Situation familiale
• RNIPP
• NIR, N° de Sécurité Sociale
• Initiales

La déclaration CNIL implique également la mise en œuvre de plusieurs mesures pour assurer, par exemple, la sécurité des systèmes de traitements des adresses IP (accès sécurisé), le traitement d’adresses IP exactes (identification des masques IP), la transmission d’adresses IP vérifiées aux autorités administratives et judicaires chargées de lutter contre des comportements délictuels commis via Internet, la fixation d’une durée de conservation des adresses IP proportionnelle aux finalités du traitement ….

Autre conséquence indirecte mais cette fois de procédure, l’incompétence matérielle des Tribunaux de commerce (s’agissant des demandes portant sur la communication de données à caractère personnel) au profit du président du Tribunal de grande instance.

A noter qu’en matière de publicité électronique, l’un des domaines de friction favori avec le droit des données personnelles, même si la majorité des systèmes de publicité ciblée repose sur la collecte des adresses IP, l’exploitation de cette donnée personnelle n’apparaît pas déterminante dans certaines pratiques de marketing (« retargeting », « real time bidding » …) qui s’attachent désormais à l’historique de navigation, aux heures de visite de l’internaute …

Télécharger 

Q/R juridiques soulevées :

Quelle est la décision de la Cour de cassation concernant les adresses IP ?

La Cour de cassation a rendu une décision importante en considérant que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel.

Cette décision implique que la collecte des adresses IP doit être considérée comme un traitement de données personnelles. Par conséquent, les fournisseurs d’accès à Internet (FAI) et les fournisseurs de services internet doivent effectuer une déclaration préalable auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Cette clarification met fin aux doutes juridiques sur la qualification des adresses IP dans le cadre de la protection des données personnelles.

Qu’est-ce qu’une adresse IP et comment fonctionne-t-elle ?

Une adresse IP (Internet Protocol) est une suite de chiffres binaires qui identifie un dispositif connecté à un réseau de communications électroniques, comme un ordinateur, une tablette ou un smartphone.

Les fournisseurs d’accès à Internet attribuent à leurs clients des adresses IP qui peuvent être fixes ou dynamiques. Les adresses IP fixes restent constantes, tandis que les adresses IP dynamiques peuvent changer à chaque connexion.

Les webmasters peuvent accéder aux adresses IP via les journaux de connexion de leurs sites, ce qui leur permet de suivre l’activité des utilisateurs sur leur plateforme.

Comment une adresse IP est-elle considérée comme une donnée personnelle ?

Une adresse IP fixe permet d’identifier de manière permanente un dispositif connecté au réseau. En revanche, une adresse IP dynamique, bien qu’elle ne suffise pas à elle seule pour identifier une personne physique, peut le faire lorsqu’elle est combinée avec d’autres données.

Le FAI détient des informations supplémentaires qui, lorsqu’elles sont associées à l’adresse IP, permettent d’identifier la personne. Selon la loi n° 78-17 du 6 janvier 1978, une donnée à caractère personnel est toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement.

Ainsi, les adresses IP, qu’elles soient fixes ou dynamiques, sont considérées comme des données personnelles, ce qui impose des obligations de traitement et de déclaration auprès de la CNIL.

Quelle est la position de la CJUE sur les adresses IP ?

La Cour de Justice de l’Union Européenne (CJUE) a également reconnu que les adresses IP, qu’elles soient dynamiques ou fixes, sont des données personnelles.

Dans plusieurs affaires, la CJUE a statué que l’adresse IP dynamique, lorsqu’elle est associée à d’autres données conservées par le FAI, permet d’identifier la personne connectée. Cela renforce la position selon laquelle les adresses IP doivent être traitées avec le même niveau de protection que d’autres données personnelles.

Cette conformité entre la jurisprudence française et européenne souligne l’importance de la protection des données personnelles dans le cadre des technologies numériques.

Quelles sont les conséquences juridiques de cette décision ?

La décision de la Cour de cassation entraîne plusieurs conséquences juridiques significatives. Tout d’abord, les traitements d’adresses IP doivent désormais être déclarés à la CNIL, ce qui en fait une nouvelle catégorie de données nominatives.

Les FAI et les éditeurs de contenus doivent mettre en œuvre des mesures de sécurité pour protéger les systèmes de traitement des adresses IP. Cela inclut l’accès sécurisé, la transmission d’adresses IP vérifiées aux autorités compétentes, et la fixation d’une durée de conservation proportionnelle aux finalités du traitement.

De plus, cette décision modifie la compétence des tribunaux, transférant certaines demandes concernant les données personnelles au président du Tribunal de grande instance, plutôt qu’aux tribunaux de commerce.

Comment la publicité électronique est-elle affectée par cette décision ?

La décision a également des implications pour la publicité électronique, un domaine souvent en conflit avec le droit des données personnelles. Bien que de nombreux systèmes de publicité ciblée reposent sur la collecte des adresses IP, leur exploitation n’est pas toujours déterminante dans certaines pratiques de marketing.

Des techniques comme le « retargeting » et le « real time bidding » se concentrent désormais davantage sur l’historique de navigation et les heures de visite des internautes, plutôt que sur les adresses IP elles-mêmes.

Cela pourrait signifier que les entreprises doivent adapter leurs stratégies de marketing pour se conformer aux nouvelles exigences de protection des données tout en continuant à cibler efficacement leurs audiences.