Type de juridiction : Cour de cassation
Juridiction : Cour de cassation
Thématique : Adresses IP : déclaration CNIL obligatoire
→ RésuméLa Cour de cassation a récemment statué que les adresses IP sont des données à caractère personnel, nécessitant une déclaration préalable auprès de la CNIL pour leur collecte. Cette décision clarifie le statut juridique des adresses IP, déjà reconnu par les CNIL européennes. Une adresse IP fixe permet une identification permanente, tandis qu’une adresse IP dynamique, bien que moins directe, peut également mener à l’identification par recoupement de données. Ainsi, les fournisseurs d’accès et de services internet doivent désormais se conformer à des obligations strictes concernant le traitement de ces données, renforçant la protection des informations personnelles des utilisateurs.
|
Une clarification attendue
La décision surprise a été rendue par la Cour de cassation. Les juges suprêmes viennent de considérer, dans un attendu de principe très clair, que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont bien des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet (par les FAI et les fournisseurs de services internet), d’une déclaration préalable auprès de la CNIL (Cour de cassation, ch. civ., 3/11/2016).
L’adresse IP était déjà une donnée à caractère personnel pour l’ensemble des « CNIL européennes », mais cette décision qui s’inscrit dans la lignée d’une récente jurisprudence européenne met fin aux doutes sur le terrain judiciaire.
Définition technique d’une adresse IP
Une adresse IP est une suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Les FAI attribuent à leurs clients des adresses IP fixes ou dynamiques. Les webmasters disposent d’un accès aux adresses IP par le biais des journaux de connexion /logs de leurs sites.
Définition juridique : une donnée personnelle indirecte
Une adresse IP fixe permet à elle seule l’identification permanente (au moins) d’un dispositif connecté au réseau. En revanche, même si une adresse IP dynamique ne suffit pas, à elle seule, à identifier une personne physique, l’identification devient possible en procédant à un recoupement de données. Comme le FAI dispose d’informations supplémentaires qui, combinées à l’adresse IP, permettent d’identifier la personne, la qualification de donnée personnelle s’imposait.
Au sens de la loi n° 78-17 du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou INDIRECTEMENT, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Les listes d’adresses IP fixes ou dynamiques étant bien collectées, traitées, conservées par les FAI et éditeurs de contenus, il s’agit donc bien de fichiers de données personnelles avec traitement de données, or, tous les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL.
Une position conforme à celle de la CJUE
La CJUE avait déjà qualifié l’adresse IP dynamique de données personnelle pour les fournisseurs d’accès (CJUE, 24/11/2011, Affaire C-70/10) et plus récemment pour les fournisseurs de services internet (CJUE, 19/10/2016, Affaire C-582/14). Là aussi l’adresse IP dynamique est une donnée personnelle, en ce que, associée aux autres données conservées par le FAI, elle permet d’identifier la personne connectée.
Quelles conséquences juridiques ?
Plusieurs conséquences importantes. Les traitements d’adresses IP devraient désormais être déclarés à la CNIL. L’adresse IP serait une nouvelle catégorie de donnée nominative en plus des suivantes, déjà retenues par la CNIL :
- Informations relatives aux infractions, condamnations ou mesures de sûreté
- Informations en rapport avec la police
- Habitudes de vie et comportement
- Santé, données génétiques, vie sexuelle
- Données biométriques
- Données philosophiques, religieuses
- Données liées aux origines raciales ou ethniques
- Données de type opinions politiques,
- Données faisant apparaître les ou les appartenances syndicales des personnes
- Utilisation des médias et moyens de communication
- Moyens de déplacement des personnes
- Situation économique et financière
- Vie professionnelle
- Adresse, caractéristiques du logement
- Formation – Diplômes – Distinctions
- Situation militaire
- Situation familiale
- RNIPP
- NIR, N° de Sécurité Sociale
- Initiales
La déclaration CNIL implique également la mise en œuvre de plusieurs mesures pour assurer, par exemple, la sécurité des systèmes de traitements des adresses IP (accès sécurisé), le traitement d’adresses IP exactes (identification des masques IP), la transmission d’adresses IP vérifiées aux autorités administratives et judicaires chargées de lutter contre des comportements délictuels commis via Internet, la fixation d’une durée de conservation des adresses IP proportionnelle aux finalités du traitement ….
Autre conséquence indirecte mais cette fois de procédure, l’incompétence matérielle des Tribunaux de commerce (s’agissant des demandes portant sur la communication de données à caractère personnel) au profit du président du Tribunal de grande instance.
A noter qu’en matière de publicité électronique, l’un des domaines de friction favori avec le droit des données personnelles, même si la majorité des systèmes de publicité ciblée repose sur la collecte des adresses IP, l’exploitation de cette donnée personnelle n’apparaît pas déterminante dans certaines pratiques de marketing (« retargeting », « real time bidding » …) qui s’attachent désormais à l’historique de navigation, aux heures de visite de l’internaute …
Laisser un commentaire