La notion de donnée à caractère personnel (ou encore donnée personnelle) est décidément bien large.
Deux décisions qualifiant l’adresse IP de donnée à caractère personnel sont venues le confirmer fin 2016 : un arrêt de la Cour de justice de l’Union européenne (CJUE) du 19 octobre 2016 (1), suivi d’un arrêt de la Cour de Cassation du 3 novembre 2016 (2).
De quoi parle-t-on ?
La qualification d’une information en tant que donnée personnelle présente des enjeux importants. Elle déterminera en effet si la législation sur la protection des données personnelles est susceptible ou non de s’appliquer.
A cet égard, la directive européenne 95/46/CE du 24 octobre 1995 définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ». Sur le caractère « identifiable » d’un individu, le texte précise que :
- « est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » ;
- « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ».
Ces principes sont repris dans des termes similaires à l’article 2 de la loi 78-17 du 6 janvier 1978 modifiée (loi Informatique et liberté) (3).
La problématique de l’adresse IP
Une adresse IP est un numéro d’identification qui est attribué à chaque appareil connecté à Internet et permet la communication entre ces appareils.
Une adresse IP peut être :
- statique, c’est-à-dire que l’appareil se voit attribuer la même adresse IP dans le temps ; ou
- dynamique, c’est-à-dire qu’elle change à l’occasion de chaque nouvelle connexion à Internet.
Lorsqu’un individu consulte un site internet, l’adresse IP rattachée à l’ordinateur utilisé est envoyée au serveur qui héberge le site, afin qu’il puisse acheminer les informations vers le bon destinataire.
L’adresse IP de l’ordinateur utilisé par l’internaute peut alors être collectée par l’exploitant du site internet. Dans ce cas, l’adresse IP ne sera pas nécessairement couplée à une autre information identifiante, telle que, par exemple, un numéro de compte client qui aurait été ouvert par l’internaute sur le site internet.
Dans cette situation, l’adresse IP, qu’elle soit statique ou dynamique, doit-elle être considérée comme une donnée personnelle ? A cette question, la CJUE et la Cour de Cassation répondent par l’affirmative.
L’affaire jugée par la CJUE
Dans l’affaire soumise au juge européen, un particulier se plaignait de l’enregistrement et de la conservation de son adresse IP par la République fédérale d’Allemagne, après avoir consulté plusieurs sites internet des services fédéraux allemands.
Saisie par la Cour fédérale de justice allemande, la CJUE a dû se prononcer sur la qualification de l’adresse IP en tant que donnée personnelle, lorsque celle-ci est collectée par l’exploitant d’un site internet et que seul un tiers, en l’occurrence le fournisseur d’accès à internet, dispose des informations supplémentaires nécessaires pour identifier la personne à laquelle se rapporte la donnée.
Pour la CJUE, dans cette situation, l’adresse IP doit bien être qualifiée de donnée personnelle.
Le caractère « identifiable » de la personne
En novembre 2011, la CJUE avait déjà affirmé que les adresses IP utilisées par des internautes mettant en ligne des contenus illicites étaient « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs » (4). Cette affaire concernait cependant un fournisseur d’accès à internet, qui dispose nécessairement d’éléments permettant de rattacher une adresse IP à un individu abonné.
L’affaire présentée à la CJUE en 2016 concernait un exploitant de site internet.
Toute la question résidait alors dans le fait de savoir si un internaute doit être considéré comme « identifiable » lorsque l’exploitant d’un site internet collecte l’adresse IP utilisée par cet internaute, dans la mesure où seul un tiers (ici le fournisseur d’accès à internet) peut apporter les informations additionnelles nécessaires à l’identification de l’internaute.
Pour la CJUE, dans cette situation, l’internaute est indirectement identifiable.
Certes, l’adresse IP ne permet pas à elle seule d’identifier un internaute. Mais d’après la Cour, la qualification de donnée personnelle n’implique pas nécessairement que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne.
La véritable question qui se pose alors est la suivante : la possibilité de combiner une adresse IP (même dynamique) avec les informations supplémentaires détenues par le fournisseur d’accès à Internet constitue-t-elle un moyen susceptible d’être raisonnablement mis en œuvre par l’exploitant du site internet pour identifier la personne concernée ?
En l’espèce, la CJUE a considéré qu’il existait des voies légales permettant à l’exploitant d’un site internet de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente pour obtenir de la part du fournisseur d’accès à internet les informations supplémentaires nécessaires à l’identification de l’internaute.
L’affaire jugée par la Cour de Cassation
Dans l’affaire soumise au juge suprême, trois sociétés du secteur immobilier appartenant au même groupe avaient constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe utilisant des codes d’accès réservés aux administrateurs du site internet du groupe.
Les sociétés ont alors obtenu une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.
Non contente de cette mesure, une société concurrente a contesté l’ordonnance en soutenant que la conservation des adresses IP sous forme de fichier aurait dû faire l’objet d’une déclaration auprès de la Cnil et que, faute d’une telle déclaration, la mesure demandée était illicite.
Cette argumentation impliquait la qualification des adresses IP en tant que données à caractère personnel, ce que la Cour de Cassation confirme dans son arrêt.
La qualification de l’adresse IP comme donnée personnelle
Sans aucune ambiguïté, la Cour de Cassation considère que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la Cnil ».
Elle rejette l’argument de la Cour d’Appel de Rennes qui avait considéré que « l’adresse IP, constituée de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ».
La Cour de Cassation vient ainsi mettre fin au débat nourri depuis plusieurs années au sein des juridictions françaises, dont le positionnement sur la qualification de l’adresse IP en tant que donnée personnelle fluctuait.
Quid du règlement européen ?
Le règlement européen 2016/679 du 27 avril 2016, abrogeant la directive européenne 95/46/CE s’appliquera à compter du 25 mai 2018.
La définition des données à caractère personnel donnée par le texte reste très proche de celle proposée par la directive. Il s’agit ainsi de « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Il est toutefois intéressant de noter la référence nouvelle à l’identifiant en ligne en tant qu’élément permettant d’identifier directement ou indirectement une personne physique, qui fait naturellement penser à l’adresse IP.
Le considérant 26 du règlement européen précise comme dans la directive européenne que pour déterminer si une personne physique est identifiable, doivent être pris en considération « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement ». Le ciblage est expressément cité.
Le texte poursuit en indiquant que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».
Sans être catégorique sur la qualification de l’adresse IP en tant que donnée personnelle, le considérant 30 souligne toutefois que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Le raisonnement adopté par la CJUE conserve ainsi toute sa pertinence dans le contexte du règlement européen.
En synthèse : quelle question se poser ?
Il arrive régulièrement qu’un organisme se trouve en possession d’une donnée qui ne permet pas à elle seule d’identifier un individu, mais qui permettrait une telle identification si elle était associée à d’autres informations détenues par des tiers. Cette situation peut s’appliquer à la collecte d’adresses IP, mais également d’images de personnes ou encore de plaques d’immatriculation de véhicules.
Dans cette situation, la question à se poser pour déterminer si l’on se trouve en présence d’une donnée personnelle semble être la suivante :
- la possibilité de combiner la donnée avec des informations détenues par un tiers, pour permettre l’identification d’un individu, constitue-t-elle un moyen susceptible d’être raisonnablement mis en œuvre par l’organisme ?
Les éléments à prendre en compte dans cette analyse incluent :
- le coût de l’identification ;
- le temps nécessaire à l’identification ;
- les technologies disponibles au moment du traitement et leur évolution.
Il ressort de l’arrêt de la CJUE qu’un moyen susceptible d’être raisonnablement mis en œuvre :
- existe dans l’hypothèse où des voies légales permettraient à l’organisme d’avoir accès aux informations détenues par le tiers ;
- ne peut pas exister en cas d’interdiction légale d’identifier la personne concernée ;
- ne peut pas exister si l’identification de la personne concernée est irréalisable en pratique parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’œuvre.
Dans les deux derniers cas en effet, le risque d’identification paraîtrait en réalité insignifiant.
Concernant plus particulièrement l’adresse IP, la Cour de Cassation semble avoir tranché définitivement la question, en considérant que l’adresse IP est par principe une donnée à caractère personnel.
Assurément, la notion de donnée personnelle est une notion bien large.
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés
(1) CJUE 19-10-2016 Aff. C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland
(2) Cass 1e civ. 1 3-11-2016 n°15-22595 Cabinet Peterson c/ groupe Logisneuf
(3) « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
(4) CJUE 24-11-2011 Aff. C-70/10, Scarlet Extended SA c/ Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM)