Afin d'appréhender cette question, il convient de voir successivement la position de la loi du 6 janvier 1978 (I), de la CNIL (II) et de la jurisprudence française (III).
I/ L’adresse IP au regard de la loi du 6 janvier 1978
L’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés telle que modifiée par la loi du 6 aout 2004, définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
Par cette vague définition, le législateur, conscient de l’évolution rapide et constante des nouvelles technologies, a sciemment élargi la définition de la donnée personnelle afin d’y inclure toute nouvelle donnée qui est susceptible d’identifier directement ou indirectement une personne physique, dans le but de la protéger.
Ainsi, dans cet éventail d’informations, peuvent se glisser aussi bien des informations personnelles « classiques » telles que le nom, prénom, adresse postale, photo, numéro de téléphone, empreintes digitales etc, que des informations du monde numérique. Tel est le cas de l’adresse IP (Internet Protocol) d’un ordinateur.
Toutefois, le fait de ne pas dresser une nomenclature des informations qui constituent les données à caractère personnel présente la souplesse d’inclure de nouvelles données, mais l’absence d’une telle précision laisse planer le doute en cas de conflit, d’où le nombre d’affaires porté devant les tribunaux et dont la qualification est laissée à l’appréciation des juges.
Interrogée sur cette question, la CNIL (Commission Nationale Informatique et Libertés), à travers ses interventions (recommandation ou déclaration), a répondu favorablement à la reconnaissance de l’adresse IP comme une donnée à caractère personnel en se basant sur la définition large de l’article 2 de la loi du 6 janvier 1978 précité.
II/ L’adresse IP selon la CNIL
Dans un article du 2 aout 2007, la CNIL[1] [2] comme le G29[3] ont soutenu que l’adresse IP, à l’instar d’une plaque d’immatriculation d’un véhicule ou d’un numéro de téléphone, entre dans le champ d’application large de la définition de l’article 2 de la loi du 6 janvier 1978 modifiée étant donné qu’elle permet l’identification directe ou indirecte de la personne physique[4]. La CNIL a rappelé à ce titre, que l’ensemble des autorités de protection des données des Etats membres ont précisé dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel que l’adresse IP lié à l’ordinateur d’un internaute constitue une donnée à caractère personnel. S’inquiétant ainsi des décisions judiciaires qui refusent de considérer cette donnée comme personnelle. L’évolution récente de la jurisprudence va dans ce sens.
III/ L’adresse IP et l’évolution jurisprudentielle
La position de la CNIL n’est pas toujours partagée par la jurisprudence française. Si dans certains arrêts elle a à juste titre prôné pour cette assimilation en affirmant que « L’adresse IP, est, au sens strict, un identifiant d’une machine lorsque celle-ci se connecte sur l’Internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée ; un numéro IP associé à un fournisseur d’accès correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. L’adresse W de la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaitre le nom de l’utilisateur» [5]. Dans cet arrêt, les juges du fond se sont basés sur la définition légale de la donnée personnelle de l’article 2 de la loi du 6 janvier 1978 précité comme étant une information qui peut identifier indirectement une personne physique par référence à un numéro d’identification.
Dans d’autres arrêts, les juges du fond français[6] ont refusé toute assimilation de l’adresse IP à une donnée personnelle[7] en ce qu’elle ne permet pas d’identifier l’auteur de la connexion[8]. Dans ce contexte, par un arrêt du 5 septembre 2007, la chambre criminelle de la Cour de cassation a considéré que l’adresse IP est une donnée parmi d’autres d’un faisceau d’indices, et donc, insuffisante à elle seule pour être qualifiée de donnée personnelle[9].
La problématique de l’adresse IP ne semble pas être résolue étant donné que cette question a été soulevée récemment devant la Cour d’appel de Rennes du 28 avril 2015, qui s’est prononcée en défaveur de cette qualification en considérant que « (….) le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et libertés » du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur (….) ».
Analyse
La problématique de cette question se résume ainsi : si l’adresse IP est considérée comme donnée personnelle cela implique qu’il s’agit d’un traitement de donnée personnelle régi par la loi du 6 janvier 1978, et de ce fait, bénéficie de l’arsenal de dispositions protectrices prévu pour protéger la personne physique d’une part, et risque de tomber sous le coup des sanctions prévues en cas de non respect des dispositions légales prévues à cet effet d’autre part.
Cela implique le recours à la CNIL en amont de tout traitement pour autorisation, et en cas de conflit, c’est le tribunal de grande instance qui sera matériellement compétent. Encore faut il que cela concerne une personne physique dans la mesure où la loi du 6 janvier 1978 ne protège que cette catégorie de personnes.
Le seul moyen de mettre fin à cette incertitude c’est l’adoption d’une disposition légale claire et précise sur la notion de donnée personnelle. La modification de la loi sur les données personnelles constitue un des chantiers de la loi numérique qui vera le jour en automne 2015. Cela pourra peut être se concrétiser avant même l’adoption de la proposition de Règlement européen relatif à la protection des données à caractère personnel en cours d'élaboration.
[1] Dans une délibération du 24 octobre 2002, la CNIL a déclaré que : « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou indirectement, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». A la lumière de cette définition, on peut considérer qu’une adresse e-mail, ou même une adresse IP peuvent entrer dans la catégorie de données nominatives.
[2] Article du 2 août 2007 disponible sur : http://www.cnil.fr/linstitution/actualite/article/article/ladresse-ip-est-une-donnee-a-caractere-personnel-pour-lensemble-des-cnil-europeennes
[3] Le G29 a adopté le 21 novembre 2000 un avis intitulé ‘’Le respect de la vie privée sur Internet – Une approche européenne intégrée sur la protection des données en ligne’’. Il a considéré à ce titre que : « les fournisseurs d’accès internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs internet auxquels ils ont attribué des adresses IP , du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP données à l’utilisateur internet (….).Dans ce cas, on peut parler sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a) de la directive». Avis disponible sur : www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/2000/wp37fr.pdf
[4]« L’adresse IP n’est pas l’adresse d’une personne physique mais l’adresse du réseau local de la machine d’un utilisateur connecté au réseau Internet. Ainsi, chaque machine connectée directement à Internet est identifiée par une adresse IP unique. » V. étude de LALANDE S., L’adresse IP de votre ordinateur : une donnée personnelle relevant du régime communautaire de protection ? Article publié le 9 décembre 2003, disponible sur : http://www.droitntic.com/news/afficher.php?id=191
[5] (TGI Saint-Brieuc, 6 sept. 2007, Ministère public, SCPP.
[6] Les deux arrêts se rapportent aux actes de contrefaçon de fichiers musicaux à l’aide de logiciels.
[7] « L’adresse IP ne permet pas d’identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur l’accès d’identité de l’utilisateur. » CA de Paris, arrêt du 27 avril 2007, 13ème chambre, Section B, Anthony G. /SCPP.
[8] « Considérant que le relevé de l’adresse IP de l’ordinateur ayant servi à l’infraction entre dans le constat de sa matérialité et pas dans l’identification de son auteur ». Arrêt de la Cour d’appel de Paris du 15 mai 2007, 13ème chambre, Section A, Henri S. / HCPP.