Valeur juridique de l'IP de l'ordinateur comme élément d'identification d'une personne

Avec le développement des réseaux privés virtuels permettant de garantir l'anonymat complet des internautes lors d'une connexion sur internet, l’utilisation de l’adresse IP comme élément d’identification d’une personne est critiquable et, ce, d’autant que le nombre d’adresses IP actives dans le monde est en très forte progression.

En effet, selon le tout dernier rapport trimestriel de la société Akamai, le nombre d’adresses IP  de connexion internet dans le monde a progressé de 10 % d’une année sur l’autre.

Ainsi, 734 millions d’adresses IP seraient utilisées aujourd’hui. En tenant compte du fait qu’une partie de ces adresses sont partagées, cela devrait porter le nombre à plusieurs milliards d’utilisateurs.

Ce rapport estime que le trafic internet malicieux, celui qui véhicule des menaces et des attaques, représenterait 7 % du trafic mondial. Ces attaques ciblent en priorité les entreprises (35%), puis l’e-commerce (32%) et les médias (22%).

Dans ce contexte, l’utilisation de l'adresse IP de connexion ou d'un ordinateur pour identifier une personne peut poser problème, surtout que l’adresse IP de connexion est un simple numéro attribuée par le fournisseur d'accès à internet.

Selon un jugement du TGI de Saint-Brieuc en date du 6 septembre 2007 :

« L’adresse IP, est, au sens strict, l'identifiant d’une machine lorsque celle-ci se connecte sur l’internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée, un numéro IP associé à un fournisseur d’accès internet correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. » (TGI Saint-Brieuc 6 sept. 2007, Ministère public, SCPP, SACEM c/ J.-P)

Autrement dit, l’adresse IP est une série de numéros attribuée par un fournisseur d’accès et identifiant un ordinateur connecté à internet.

Il existe de fortes divergences jurisprudentielles quant au statut juridique exact de l’adresse IP : tantôt l’adresse IP est considérée comme une donnée à caractère personnel, tantôt elle ne l’est pas.

Ce débat sur la qualification juridique de l’adresse IP n’est pas sans enjeu, dans la mesure où de plus en plus cette dernière est utilisée comme élément d’identification d’une personne responsable d’infractions pénales commises sur internet.

I) Les incertitudes sur la qualification juridique de l’adresse IP

S’agissant de la qualification juridique de l’adresse IP, deux conceptions s’opposent :

D’une part, l’adresse IP d’un ordinateur est considérée comme une donnée à caractère personnel.

Selon la Commission nationale de l’informatique et des libertés (ci-après CNIL), l'adresse IP constitue une donnée à caractère personnel qui « permet d'identifier indirectement la personne physique titulaire d'un abonnement à internet » (Délibération de la CNIL n° 2006-294, 21 décembre 2006).

Cette position est celle adoptée par certains tribunaux de grande instance.

Ainsi, aux termes d'un jugement du 5 mars 2009, le Tribunal de grande instance de Paris a jugé que :

« l'adresse IP est une donnée à caractère personnel qui permet d'identifier une personne en indiquant sans aucun doute possible un ordinateur précis et qui établit la correspondance entre l'identifiant attribué lors de la connexion et l'identité de l'abonné » (TGI Paris, 5 mars 2009, Roland Magdane c/ Youtube).

Cette conception repose sur l'idée selon laquelle l'adresse IP, si elle ne permet pas par elle-même d'identifier le propriétaire de l’ordinateur, ni l'internaute ayant utilisé le poste, elle acquiert un caractère nominatif par le simple rapprochement avec la base des abonnés détenue par le fournisseur d'accès à internet.

D’autre part, l’adresse IP d’un ordinateur ne serait pas une donnée personnelle.

Ainsi, aux termes d'un arrêt du 15 mai 2007, la cour d’appel de Paris a considéré que les adresses IP collectées à l'occasion de la recherche et de la constatation des actes de contrefaçon sur internet ne permettaient pas d'identifier, même indirectement, des personnes physiques et que, de ce fait, elles ne constituaient pas des données à caractère personnel.

En l’espèce, la cour d’appel a estimé que cette série de chiffres « ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ». (CA Paris, 15 mai 2007, n˚ 06/01 954, H. S. c/ SCPP)

L’enjeu principal de ce débat est de savoir si la loi du 6 janvier 1978, qui encadre strictement l'utilisation des données personnelles, est ou non applicable à l'adresse IP.

Ainsi, si l'on considère que l’adresse IP est une information comme une autre, n'importe qui peut l'utiliser et opérer un traitement de celle-ci.

En revanche, si l'adresse IP est considérée comme une donnée à caractère personnel, son utilisation est strictement restreinte et encadrée, au nom de la préservation de la vie privée.

Dans une telle situation, seules certaines autorités telles que les juridictions, les autorités publiques, les auxiliaires de justice, les sociétés de perception et de répartition des droits d'auteur, et les agents assermentés des organismes de défense professionnels auront compétence pour le traitement de l’adresse IP en tant que donnée personnelle.

En outre, la qualification de l’adresse IP comme donnée à caractère personnel fonde la compétence de la CNIL pour autoriser le traitement d’une telle donnée. A défaut, la procédure d’identification de l’internaute est nulle.

Ainsi, le 13 janvier 2009, la Cour de cassation a cassé et annulé l'arrêt d'appel qui avait annulé la procédure d’identification d’un internaute au motif que l'autorisation de la CNIL n'avait pas été préalablement sollicitée.

Selon la Cour de cassation, le fait de relever manuellement une adresse IP pour pouvoir localiser le fournisseur d'accès, et, partant, l'auteur de l'infraction, ne constitue pas un traitement de données à caractère personnel.

Cet arrêt semble poser le principe selon lequel l’adresse IP n'est pas une donnée à caractère personnel nécessitant obligatoirement l'autorisation préalable de la CNIL pour être collectée et communiquée.

Cependant, la portée de l’arrêt précité doit être nuancée compte tenu que l'absence de qualification juridique de l'adresse IP en tant que donnée à caractère personnel résulte du fait que l'agent assermenté avait accédé manuellement à la liste des œuvres proposées au téléchargement par un internaute dont il s'était contenté de relever l'adresse IP, sans recourir à un traitement préalable de surveillance automatisé.

En opérant une distinction entre un traitement automatisé -qualifié de traitement de donnée à caractère personnel— et un traitement manuel qui exclut cette même qualification, l’arrêt de la Cour de cassation n’a toujours pas tranché définitivement la question de la qualification juridique de l’adresse IP.

Cependant, malgré les incertitudes quant à la qualification juridique de l’adresse IP, une certitude demeure : l'adresse IP constitue un des éléments du faisceau d'indices permettant l’identification d’un internaute de la part des juges en cas d'infractions ou de fautes commises sur le net.

II) L’utilisation de l'adresse IP comme élément d'identification d’une personne

Tel que cela ressort de ce qui précède, l'adresse IP ne suffit pas, à elle seule, à établir de manière certaine l’identité de l'internaute auteur d'une faute ou d'un délit sur internet.

Cependant, si elle ne permet pas en tant que telle d’établir l’identité personnelle de l'auteur d'une infraction, l’adresse IP contribue à cette identification lorsque d’autres éléments la corroborent.

Pour ce faire, l'adresse IP n'a d'intérêt que dans la mesure où les fournisseurs d'accès à internet et les hébergeurs de sites internet ont l'obligation de concourir à l'identification des personnes à l'origine d’infractions sur internet.

À cet égard, l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique impose aux fournisseurs d’accès et aux prestataires techniques d’hébergement de détenir et de communiquer au juge les données permettant d’identifier toute personne ayant contribué à la création de contenus illicites sur internet pendant un an (18 mois aux États Unis)

Dans le même sens, l’article L34-1 du code des postes et des communications électroniques met à la charge des fournisseurs d’accès une obligation de conservation et de mise à disposition de l’autorité judiciaire ou de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (ci-après HADOPI) de données de connexion pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou de téléchargements illégaux d'œuvres.

Les juges parisiens, devenus spécialisés dans les contentieux liés à internet, considèrent que le fait d'enjoindre à l'éditeur d'un site internet de communiquer les données de connexion (adresse IP) d'un internaute dont il a accueilli le message sur son site constitue une mesure d'instruction légalement admissible au sens de l'article 145 du code de procédure civile.

Ainsi, il a été jugé qu’une société victime de dénigrement par un internaute sur un forum de discussion dispose d'un motif légitime pour rechercher les données de connexion de l'auteur de ces propos et établir la preuve que celui-ci serait l'un de ses salariés. (CA Paris, 14e ch. B, 11 juin 2004, n° 03/20987)

De même, le 4 avril 2013, le Président du TGI de Paris a jugé, au profit d’un client du Cabinet Bem, que la société Twitter Inc. devait communiquer, sous astreinte, les informations personnelles relatives à l’auteur d’un faux profil sur le réseau social Twitter (Ordonnance Référé TGI Paris, 4 avril 2013, N° RG : 13/52362, M. X c/ Twitter Inc.).

Il ressort de ces quelques décisions de justice que si l'adresse IP permet seulement de désigner directement un ordinateur, elle peut aussi, à partir de là, constituer un indice pour l'identification de la personne qui s'est servie du poste.

De manière générale, l'utilisateur et le propriétaire de l'ordinateur ne font qu'un.

Toutefois, une personne autre que le propriétaire de l’ordinateur peut être identifiée en cas d’usurpation de l’adresse IP ou bien d'utilisation par un tiers.

C’est pour cette raison que l’utilisation de l’adresse IP pour l’identification d’une personne ne peut servir que comme présomption simple.

Dans ce cadre, une réponse de la Cour de cassation quant à la qualification juridique de l’adresse IP serait plus que bienvenue.

Cela permettrait notamment de mettre fin à la contradiction qui consiste à considérer, d'une part, que l'adresse IP n’est pas une donnée personnelle et à affirmer, de l'autre, que cette même adresse IP est suffisamment personnalisée pour identifier et sanctionner un internaute.

Je suis à votre disposition pour toute information ou action.

PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.