La Cnil considère que l’adresse IP est une donnée personnelle, malgré deux arrêts contraires rendus le 27 avril et le 15 mai 2007 par la 13e chambre de la Cour d’appel de Paris, qui a estimé que le simple procès-verbal probatoire d’un agent assermenté de la Société civile de producteurs de phono-grammes (SCPP) ne constituait pas un traitement de données personnelles et ne devait donc pas être autorisé par la Cnil.
Par ces deux arrêts relatifs à des actes de contrefaçon commis via des logiciels « Peer to Peer », la Cour d’appel de Paris a considéré que les adresses IP ne constituaient pas des données à caractère personnel(1). Or, cette affirmation semble en contradiction avec la définition de données à caractère personnel de la directive européenne n° 95/46/CE « Protection des données à caractère personnel », reprise à l’article 2 de la loi du 6 janvier 1978. Ce dernier stipule que constitue une donnée à caractère personnel toute information permettant d’identifier directement ou indirectement une personne physique. Selon le groupe 29 (composé des autorités de protection des données des Etats membres de l’Union Européenne)(2), il est préférable de ne pas restreindre indûment l’interprétation de cette définition afin de protéger la vie privée des personnes physiques. Or, une adresse IP est bien une donnée qui permet une identification indirecte d’une personne, comme l’a rappelé récemment la Cnil sur son site(3). En effet, chaque ordinateur connecté à Internet est identifié par un numéro unique appelé «adresse IP» qui permet de le retrouver parmi les ordinateurs connectés ou de remonter à l’expéditeur d’un message.
Enfin, le raisonnement de la Cour d’appel de Paris semble également en contradiction avec le raisonnement adopté par le Groupe 29 et la Cnil, car selon la Cour, l’adresse IP ne permettrait pas d’identifier la ou les personnes ayant utilisé un ordinateur au motif que « seule l’autorité légitime poursuivant l’enquête, pourrait obtenir du fournisseur d’accès l’identité de l’utilisateur ». Or, le Groupe 29 précise, à l’inverse, que lorsque le traitement d’adresses IP a été effectué par un titulaire de droits d’auteur pour identifier le ou les utilisateurs d’un ordinateur contrefacteurs, le responsable du traitement sait qu’il sera possible d’identifier les personnes utilisant cet ordinateur par l’intermédiaire des tribunaux saisis, sinon la collecte d’informations serait inutile. Le Groupe 29 indique également que la seule hypothèse où de telles informations pourraient ne pas être considérées comme étant des données à caractère personnelle serait celle des adresses IP données dans les cybercafés car dans ce cas, aucune identification de l’utilisateur n’est demandée. La solution retenue par la Cour d’appel ne fait donc pas l’unanimité, il conviendra d’attendre pour savoir si malgré cela, cette solution sera reprise par d’autres juridictions.
(1)CA Paris du 15-5-2007 n° 06/01954 et du 27-4-007 n° 06/02334
(2) G29, Avis n° 4/2007 du 20-6-2007
(3) Cnil, rubrique « En bref » du 2-8-2007