Avocat lille
Actualités

Internet : l'adresse IP d'un internaute constitue-t-elle une donnée à caractère personnel ?

Données à caractère personnel / CNIL le 18/04/2017

Partager





Plusieurs décisions sont abordées dans ces actualités concernant la délicate question de la qualification de l'adresse IP :

  • Ordonnance de Référé, TGI de Meaux, 10 août 2016
  • Question Parlementaire - Commission européenne - 12 mars 2013
  • Jugement du TGI de Paris, 24 juin 2009
  • Cour de cassation, 13 janvier 2009
  • Communiqué CNIL, 2 août 2007
  • Groupe article 29, 20 juin 2007
  • Cour d'appel de Paris, 15 mai 2007
  • Cour d'appel de Paris, 27 avril 2007
 
Dans deux décisions, respectivement en date des 27 avril 2007 et 15 mai 2007, rendues par la Cour d’Appel de Paris, il a été jugé, dans le cadre d’un téléchargement illicite d’œuvres musicales, que l’adresse IP (Internet Protocol) de l’internaute ayant procédé au téléchargement ne constituait pas une donnée à caractère personnel donnant lieu à déclaration préalable.
 
En premier lieu, la Cour d’Appel relève en effet :
 
que « l’adresse IP ne permet pas d’identifier le ou les personnes qui ont utilisé cet ordinateur, puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur l’accès d’identité de l’utilisateur. » (arrêt du 27 avril 2007).

« que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui se livre à l’ordinateur pour se livrer à la contrefaçon »
(arrêt du 15 mai 2007).
 
En conséquence, le constat ayant débusqué l’internaute ayant téléchargé sans autorisation des œuvres musicales n’est pas nul, et la contrefaçon demeure donc caractérisée.
 
Ces deux décisions prennent le contre-pied à la fois de la CNIL, mais aussi par un groupe de réflexion au niveau communautaire (dit Groupe article 29).
 
La CNIL considère qu’une adresse IP constitue une donnée à caractère personnel dès lors que celle-ci concerne des personnes physiques identifiées directement ou indirectement.
 
En effet, dans un communiqué en date du 2 août 2007, elle relève que
 
“Cette analyse remet profondément en cause la notion de donnée à caractère personnel qui est très large. En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP”
 
et que “l’ensemble des autorités de protection des données des Etats membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors des ses communications constituait une donnée à caractère personnel.”
 
La CNIL sollicite donc du garde des Sceaux de se pourvoir en cassation.
 
Cependant, en second lieu, la Cour de cassation, dans un arrêt en date du 13 janvier 2009, confirme que la collecte d'adresses IP n'a pas à faire l'objet d'une déclaration auprès de la CNIL.
 
Il était en l'espèce reproché à un procès-verbal de constat effectué par un agent assermenté de la SACEM d'avoir identifié un internaute contrefacteur grâce à son adresse IP, sans que le process ait été préalablement déclaré.
 
La Cour d'appel de Rennes, le 22 mai 2008, fait droit à cette demande et annule le constat.
 
Cet arrêt est cassé par la Cour supême qui relève :
 
"Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L.331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée*, la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés."
 
Plus récemnnent, en troisième lieu, le Tribunal de grande instance de Paris, dans un jugement en date du 24 juin 2009, se prononce à son tour sur la nature de l'adresse IP d'un internaute ayant téléchargé à partir du site Internet Google Vidéos des oeuvres appartenant à divers producteurs et auteurs, dont l'humoriste Jean-Yves Lafesse.
 
Le jugement est sans ambiguïté sur l'appréciation technique de l'adresse IP, et, faisant, sa portée juridique : 
 
"Le Tribunal considère que l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui détient obligatoirement les données nominatives du responsable du contenu, c’est-à-dire son adresse et ses coordonnées bancaires. Au regard de la technique existante, cette adresse apparaît être le seul élément permettant de retrouver la personne physique ayant mis en ligne le contenu. Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limité à ce jour ne saurait disqualifier cette adresse comme donnée permettant l’identification personnelle des fournisseurs de contenu."
 
Ce jugement conclut donc, à tort selon nous, que l'adresse IP permet de relier un contenu mis en ligne à une personne physique, d'autant qu'il reconnaît expressément un droit à l'erreur.
 
En d'autres termes, il n'y a pas grand danger à usurper la connexion WIFI de son voisin, puisque seul ce dernier, titulaire de l'adresse IP, et qui sera en outre dans l'impossibilité de démontrer sa bonne foi, se verra systématiquement condamné...
 
Trois remarques :
 
  1. Le Groupe article 29** estime quant à lui, dans un avis adopté le 20 juin 2007 concernant la notion de données personnelles, que : 
  2.  
    "The Working Party has considered IP addresses as data relating to an identifiable person. It has stated that "Internet access providers and managers of local area networks can, using reasonable means, identify Internet users to whom they have attributed IP addresses as they normally systematically “log” in a file the date, time, duration and dynamic IP address given to the Internet user. The same can be said about Internet Service Providers that keep a logbook on the HTTP server. In these cases there is no doubt about the fact that one can talk about personal data in the sense of Article 2 a) of the Directive …)” »
     
    En d'autres termes, une adresse IP permettrait en tout état de cause d'identifier l'utilisateur du réseau et est sans aucun doute considérée comme une donnée à caractère personnel au sens de la Directive communautaire transposée en droit français.
     
     
  3. Parallèlement, la loi dite Hadopi, favorisant la diffusion et la protection de la création sur Internet en date du 15 mai 2009 crée un article L.331-37 du Code de la propriété intellectuelle ainsi formulé :
  4.  
    "Est autorisée la création, par la Haute Autorité, d’un traitement automatisé de données à caractère personnel portant sur les personnes faisant l’objet d’une procédure (...).
    Ce traitement a pour finalité la mise en œuvre, par la commission de protection des droits, des mesures prévues à la présente sous-section et de tous les actes de procédure afférents [Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2009-580 DC du 10 juin 2009], ainsi que du répertoire national visé à l’article L.331-33, permettant notamment aux personnes dont l’activité est d’offrir un accès à un service de communication au public en ligne de disposer, sous la forme d’une simple interrogation, des informations strictement nécessaires pour procéder à la vérification prévue à ce même article."
     
    Ce traitement devra nécessairement être déclaré à la CNIL qui sera la garante de son utilisation au regard de sa stricte finalité.
     
     
  5. En dernier lieu, la Commission européenne a estimé le 12 mars 2013 que 
"tout  traitement de données relatives aux clients, telles que les adresses IP, doit respecter les dispositions nationales qui mettent en œuvre les exigences de la directive 95/46/CE; ainsi, les données à caractère personnel doivent être traitées pour des motifs légitimes et dans un but spécifique, et le traitement doit être proportionné à l'objectif poursuivi."
 
 
* Loi modifiée du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
 
** Créé par la Directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et ayant force de proposition et d'harmonisation au niveau communautaire
 

Source : CA Paris, 15 mai 2007 et 27 avril 2007 - Cour de cassation, Chambre criminelle, 13 janvier 2009 - TGI Paris, 24 juin 2009 - Commission européenne 12 mars 2013

Partager


Articles connexes