L’Essentiel : La Cour de cassation a récemment statué que les adresses IP, permettant d’identifier indirectement une personne, sont des données à caractère personnel. Leur collecte nécessite donc une déclaration préalable auprès de la CNIL. Bien que cette qualification ait déjà été reconnue par d’autres instances européennes, cette décision clarifie le cadre juridique en France. Les adresses IP, qu’elles soient fixes ou dynamiques, doivent être traitées comme des données personnelles, impliquant des obligations de sécurité et de conservation. Cette évolution souligne l’importance de protéger les données des utilisateurs dans un contexte numérique en constante évolution.

Une clarification attendue

La décision surprise a été rendue par la Cour de cassation. Les juges suprêmes viennent de  considérer, dans un attendu de principe très clair, que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont bien des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet (par les FAI et les fournisseurs de services internet), d’une déclaration préalable auprès de la CNIL (Cour de cassation, ch. civ., 3/11/2016).

L’adresse IP était déjà une donnée à caractère personnel pour l’ensemble des « CNIL européennes », mais cette décision qui s’inscrit dans la lignée d’une récente jurisprudence européenne met fin aux doutes sur le terrain judiciaire.

Définition technique d’une adresse IP

Une adresse IP est une suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Les FAI attribuent à leurs clients des adresses IP fixes ou dynamiques. Les webmasters disposent d’un accès aux adresses IP par le biais des journaux de connexion /logs de leurs sites.

Définition juridique : une donnée personnelle indirecte

Une adresse IP fixe permet à elle seule l’identification permanente (au moins) d’un dispositif connecté au réseau. En revanche, même si une adresse IP dynamique ne suffit pas, à elle seule, à identifier une personne physique, l’identification devient possible en procédant à un recoupement de données. Comme le FAI dispose d’informations supplémentaires qui, combinées à l’adresse IP, permettent d’identifier la personne, la qualification de donnée personnelle s’imposait.

Au sens de la loi n° 78-17 du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou INDIRECTEMENT, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les listes d’adresses IP fixes ou dynamiques étant bien collectées, traitées, conservées par les FAI et éditeurs de contenus, il s’agit donc bien de fichiers de données personnelles avec traitement de données, or, tous les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL.

Une position conforme à celle de la CJUE

La CJUE avait déjà qualifié l’adresse IP dynamique de données personnelle pour les fournisseurs d’accès (CJUE, 24/11/2011, Affaire C-70/10) et plus récemment pour les fournisseurs de services internet (CJUE, 19/10/2016, Affaire C-582/14). Là aussi l’adresse IP dynamique est une donnée personnelle, en ce que, associée aux autres données conservées par le FAI, elle permet d’identifier la personne connectée.

Quelles conséquences juridiques ?

Plusieurs conséquences importantes. Les traitements d’adresses IP devraient désormais être déclarés à la CNIL. L’adresse IP serait une nouvelle catégorie de donnée nominative en plus des suivantes, déjà retenues par la CNIL :

Informations relatives aux infractions, condamnations ou mesures de sûreté
Informations en rapport avec la police
Habitudes de vie et comportement
Santé, données génétiques, vie sexuelle
Données biométriques
Données philosophiques, religieuses
Données liées aux origines raciales ou ethniques
Données de type opinions politiques,
Données faisant apparaître les ou les appartenances syndicales des personnes
Utilisation des médias et moyens de communication
Moyens de déplacement des personnes
Situation économique et financière
Vie professionnelle
Adresse, caractéristiques du logement
Formation – Diplômes – Distinctions
Situation militaire
Situation familiale
RNIPP
NIR, N° de Sécurité Sociale
Initiales

La déclaration CNIL implique également la mise en œuvre de plusieurs mesures pour assurer, par exemple, la sécurité des systèmes de traitements des adresses IP (accès sécurisé), le traitement d’adresses IP exactes (identification des masques IP), la transmission d’adresses IP vérifiées aux autorités administratives et judicaires chargées de lutter contre des comportements délictuels commis via Internet, la fixation d’une durée de conservation des adresses IP proportionnelle aux finalités du traitement ….

Autre conséquence indirecte mais cette fois de procédure, l’incompétence matérielle des Tribunaux de commerce (s’agissant des demandes portant sur la communication de données à caractère personnel) au profit du président du Tribunal de grande instance.

A noter qu’en matière de publicité électronique, l’un des domaines de friction favori avec le droit des données personnelles, même si la majorité des systèmes de publicité ciblée repose sur la collecte des adresses IP, l’exploitation de cette donnée personnelle n’apparaît pas déterminante dans certaines pratiques de marketing (« retargeting », « real time bidding » …) qui s’attachent désormais à l’historique de navigation, aux heures de visite de l’internaute …

Télécharger 

Q/R juridiques soulevées :

Quelle est la décision de la Cour de cassation concernant les adresses IP ?

La Cour de cassation a rendu une décision importante en considérant que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel.

Cette décision implique que la collecte des adresses IP doit être considérée comme un traitement de données personnelles. Par conséquent, les fournisseurs d’accès à Internet (FAI) et les fournisseurs de services internet doivent effectuer une déclaration préalable auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Cette clarification met fin aux doutes juridiques sur la qualification des adresses IP, qui étaient déjà reconnues comme des données personnelles par les CNIL européennes.

Qu’est-ce qu’une adresse IP et comment fonctionne-t-elle ?

Une adresse IP (Internet Protocol) est une suite de chiffres binaires attribuée à un dispositif, tel qu’un ordinateur, une tablette ou un smartphone, pour l’identifier sur un réseau de communications électroniques.

Les fournisseurs d’accès à Internet (FAI) attribuent à leurs clients des adresses IP qui peuvent être fixes ou dynamiques. Les adresses IP fixes restent constantes, tandis que les adresses IP dynamiques peuvent changer à chaque connexion.

Les webmasters peuvent accéder aux adresses IP via les journaux de connexion de leurs sites, ce qui leur permet de suivre les visiteurs et d’analyser le trafic.

Comment une adresse IP est-elle considérée comme une donnée personnelle ?

Une adresse IP fixe permet d’identifier de manière permanente un dispositif connecté au réseau. En revanche, une adresse IP dynamique, bien qu’elle ne suffise pas à elle seule pour identifier une personne physique, peut le faire lorsqu’elle est combinée avec d’autres données.

Les fournisseurs d’accès à Internet détiennent des informations supplémentaires qui, lorsqu’elles sont associées à l’adresse IP, permettent d’identifier la personne. Selon la loi n° 78-17 du 6 janvier 1978, toute information relative à une personne physique identifiée ou identifiable est considérée comme une donnée personnelle.

Ainsi, les adresses IP, qu’elles soient fixes ou dynamiques, sont classées comme des données personnelles, ce qui impose aux FAI de déclarer leur traitement à la CNIL.

Quelle est la position de la CJUE sur les adresses IP ?

La Cour de Justice de l’Union Européenne (CJUE) a également reconnu que les adresses IP, en particulier les adresses IP dynamiques, sont des données personnelles.

Dans une décision de 2011, la CJUE a qualifié l’adresse IP dynamique de donnée personnelle pour les fournisseurs d’accès, et en 2016, elle a confirmé cette position pour les fournisseurs de services internet.

Ces décisions soulignent que l’adresse IP, lorsqu’elle est associée à d’autres données conservées par le FAI, permet d’identifier la personne connectée, renforçant ainsi la nécessité de protéger ces informations.

Quelles sont les conséquences juridiques de cette décision ?

La décision de la Cour de cassation entraîne plusieurs conséquences juridiques significatives. Tout d’abord, les traitements d’adresses IP doivent désormais être déclarés à la CNIL, ce qui en fait une nouvelle catégorie de données nominatives.

Les FAI et les éditeurs de contenus doivent mettre en œuvre des mesures pour garantir la sécurité des systèmes de traitement des adresses IP, comme l’accès sécurisé et la transmission d’adresses IP vérifiées aux autorités compétentes.

De plus, la durée de conservation des adresses IP doit être proportionnelle aux finalités du traitement. Cette décision a également des implications procédurales, notamment en ce qui concerne la compétence des tribunaux pour traiter les demandes liées aux données personnelles.

Comment cette décision impacte-t-elle la publicité électronique ?

En matière de publicité électronique, la décision de la Cour de cassation a des implications importantes. Bien que de nombreux systèmes de publicité ciblée reposent sur la collecte des adresses IP, l’exploitation de cette donnée personnelle n’est pas toujours déterminante dans certaines pratiques de marketing.

Des techniques telles que le « retargeting » et le « real time bidding » se concentrent désormais davantage sur l’historique de navigation et les heures de visite des internautes, plutôt que sur les adresses IP elles-mêmes.

Cela signifie que, même si les adresses IP sont considérées comme des données personnelles, leur rôle dans le marketing numérique pourrait évoluer en fonction des nouvelles réglementations et des pratiques de collecte de données.