Selon l’article 2 alinéa 2 de la loi « informatique et libertés » modifiée une donnée à caractère personnelle recouvre toute information relative à une personne physique identifiée, ou qui pourrait l’être directement ou non, par référence à un numéro d’identification ou d’autres éléments qui lui sont propres.
A l’heure de la traque des internautes qui téléchargent illégalement des œuvres protégées par le droit d’auteur, l’assimilation de l’adresse IP à une donnée à caractère personnelle revêt une importance capitale.
A l’origine la loi du 6 janvier 1978 « informatique et libertés » visait les informations nominatives. Le terme avait pour avantage d’être assez clair sur ce qui ne devait pas entrer dans le champ d’application de la loi. La loi du 6 août 2004 a procédé à une extension du champ d’application de la loi « informatique et libertés ». En effet elle remplace le terme « information nominative » par celui de « donnée à caractère personnelle ». Or cette notion est plus vaste.
La question s’est donc posée de savoir si l’adresse IP devait être considérée comme une information permettant d’identifier une personne indirectement, donc comme étant une donnée à caractère personnelle.
L’adresse IP est le numéro qui permet d’identifier chaque ordinateur sur le réseau Internet. Elle se décompose dans version 4 en une série de 4 nombres allant de 0 à 255.
C’est là que réside tout le nœud du problème. En effet l’adresse IP ne renvoie pas à une personne directement mais à une machine, or cette dernière peut être utilisée par une pluralité de personnes.
Dès l’origine la CNIL a considéré que l’adresse IP devait être considérée comme une donnée à caractère personnelle. Cela correspond à la volonté affichée de la CNIL d’élargir au maximum le champ d’application de la loi « informatique et libertés ».
Le foyer du contentieux est lié à la traque des internautes téléchargeant via les réseaux Peer To Peer des œuvres protégées par le droit d’auteur. En effet l’article 9, 4° de la loi « informatique et libertés » permet désormais aux agents assermentés des sociétés de perception des droits d’auteur d’effectuer des traitements de données à caractère personnelle relatifs aux infractions. Il faut cependant obtenir l’autorisation de la CNIL.
Ces agents ont alors opéré des traitements visant à collecter les adresses IP des internautes présents sur ces réseaux et se livrant à des téléchargements illicites d’œuvres protégées. Pour la CNIL ces traitements nécessitaient une autorisation de sa part, l’adresse IP étant une donnée à caractère personnelle.
Cette affirmation de la CNIL a été désavouée pat deux arrêts de la cour d’appel de Paris.
Dans un arrêt rendu le 15 mai 2007 les juges énoncent en effet, à propos de l’adresse IP : « Que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ».
Les juges affirment ici clairement que l’adresse IP ne se rapportant qu’à une machine elle ne peut pas être considérée comme une donnée nominative, même indirecte. Cette affirmation doit être mise en relation avec le premier arrêt rendu par cette même cour afin de comprendre pourquoi elle ne considère pas qu’il s’agit d’une donnée à caractère personnelle indirecte.
Dans son arrêt du 27 avril 2007, dans une affaire similaire, les juges énoncent que : « L’adresse IP ne permet pas d’identifier le ou les personnes, qui ont utilisé cet ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur l’accès d’identité de l’utilisateur. ». Ici les juges considèrent que l’adresse IP n’est pas une donnée à caractère personnelle car elle n’identifie pas une personne mais un ordinateur, et que ce n’est que l’intervention de l’autorité légitime, c'est-à-dire lors d’une procédure judiciaire, qui permet l’identification de la personne ayant utilisé la machine à des fins illicites.
Dans ces deux arrêts la cour d’appel de Paris affirme que l’adresse IP ne doit pas être considérée comme une donnée à caractère personnelle, même indirecte, car elle n’aboutit à l’identification d’une personne que par l’intervention de la police ou de la gendarmerie dans le cadre d’une procédure judiciaire.
Cela a pour conséquence de permettre aux agents assermentés des sociétés de perception des droits d’auteur de mettre en place des traitements informatiques visant à collecter les adresses IP sans avoir à demander l’autorisation de la CNIL.
Cette position de la cour d’appel de Paris doit être critiquée sur plusieurs points.
En premier lieu cette jurisprudence semble aller contre la volonté du législateur. En effet dans l’article 9 de la loi « informatique et libertés » (cité plus haut) le législateur a souhaité permettre aux agents assermentés des sociétés de perception d’effectuer des traitements relatifs aux infractions sous réserve qu’ils obtiennent l’autorisation de la CNIL. Or il est clair que pour que ce traitement ait une finalité utile, la poursuite judiciaire de l’auteur du téléchargement illicite, il est nécessaire de l’identifier sur le réseau, ce qui ne peut se faire qu’en commençant par collecter son adresse IP, puis par son identification en tant que personne. En considérant que l’adresse IP n’est pas une donnée personnelle la cour d’appel permet aux agents assermentés de contourner les obligations imposées par la loi.
Cette solution est en fait une décision d’opportunité prise par la cour car dans les deux arrêts elle utilise cet argument afin d’écarter l’exception de nullité avancée par l’auteur du téléchargement illicite.
Cette solution contribue tout de même a donné moins d’obligation aux agents assermentés, ce qui n’était pas le but du législateur même si l’article 9 de la loi vise à améliorer la lutte contre le téléchargement illicite.
La solution mérite d’être critiquée en second lieu car la cour d’appel de Paris ne semble pas tirer les conséquences de ses constatations. En effet, elle énonce que si l’adresse IP ne doit pas être considérée comme une donnée nominative, même indirecte, c’est parce qu’elle ne donne lieu à indentification de la personne ayant utilisée la machine identifiée sur le réseau que grâce à l’intervention de l’autorité légitime. Il faut donc que la police ou la gendarmerie, dans le cadre d’une procédure judiciaire obtienne du fournisseur d’accès Internet qu’il communique l’identité de la personne correspondant à l’adresse IP collectée.
Or il s’agit bien là d’une identification indirecte permise par l’adresse IP, ce qui correspond tout à fait à la lettre de la loi. En effet dans sa définition de la donnée à caractère personnelle, la loi parle bien de toute information relative à une personne physique identifiée, ou qui pourrait l’être directement ou indirectement. Ce n’est pas parce que l’autorité légitime doit intervenir dans le cas de l’adresse IP qu’il ne s’agit pas d’une donnée à caractère personnelle. Bien au contraire c’en est une qui permet l’identification indirecte, c'est-à-dire après recoupement avec d’autres informations, d’une personne physique.
Il est vrai que dans la plupart des cas l’adresse IP renvoie à un ordinateur qui sera utilisé par une pluralité de personnes et donc que son caractère de donnée personnelle est de ce point de vue fragilisé. Cependant il ne faut pas exagérer cette fragilité. En effet il faut distinguer deux cas dans lesquels il y aura une pluralité de personnes pouvant utiliser la machine.
Il y a tout d’abord le cas ou l’ordinateur appartient à un particulier et où il sera utilisé par une pluralité des membres du foyer familial. Dans ce cas effectivement l’adresse IP en tant que donnée à caractère personnelle sera fragilisée. Cependant les foyers familiaux ne contiennent généralement qu’un nombre limité d’individus, ce qui permet d’affirmer que l’adresse IP restera, dans ce cas, une donnée personnelle indirecte car après recoupement d’informations il sera souvent possible d’identifier la personne auteur de l’infraction.
Le deuxième cas correspond aux ordinateurs présents sur les lieux de travail. La discussion est permise. On peut avancer que l’adresse IP qui renvoie à un ordinateur appartenant à une personne morale (l’entreprise) n’est pas une donnée personnelle car la loi parle expressément dans son article 9 d’informations relatives à des « personnes physiques identifiée… ». Cependant il ne paraît pas souhaitable de faire jouer ici le voile de la personnalité morale car une entreprise est composée, avant tout, de personnes physiques.
Dans ce cas l’adresse IP pourra être considérée comme une donnée personnelle indirecte car elle renvoie au lieu de travail d’une personne physique qui pourra être identifiée par recoupement avec d’autres informations (notamment le poste informatique qu’elle occupe habituellement).
Nous voyons donc que pour toutes ces raisons l’adresse IP doit être considérée comme une donnée à caractère personnelle. Les arrêts de la cour d’appel de Paris ne doivent pas être considérés comme la volonté des juges d’aller contre l’avis de la CNIL. Il ne s’agissait que de solutions ayant pour finalité l’écartement de l’exception de nullité lise en avant par le prévenu, dans le but de favoriser la répression des téléchargements illicites.
C’est ce que confirme l’arrêt rendu par la cour d’appel de Paris le 12 décembre 2007 à propos des informations permettant l’identification de l’auteur d’un contenu devant être communiquées par les hébergeurs. A cette occasion les juges considèrent que l’adresse IP n’est pas suffisante mais ils énoncent que l’adresse IP « même s’il elle ne constitue une donnée personnelle, ne permet d’identifier qu’un ordinateur. ».
La cour d’appel de Paris reconnaît donc que l’adresse IP est une donnée à caractère personnelle indirecte (CQFD).