Légipme
L'info juridique et pratique pour les responsables de TPE / PME
ACTUALITÉ
COMMENTÉE
GUIDES
PRATIQUES
DOSSIERS
QUESTIONS RÉPONSES
MODELES DE LETTRES
ET DOCUMENTS
MODELES DE CONTRATS
FICHES
PRATIQUES

> Internet
> L’adresse IP est-elle une donnée personnelle ?

Actualités
L’adresse IP est-elle une donnée personnelle ?


Selon l'article 2 alinéa 2 de la loi « informatique et libertés » modifiée une donnée à caractère personnelle recouvre toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou non, par référence à un numéro d'identification ou d'autres éléments qui lui sont propres.

A l'heure de la traque des internautes qui téléchargent illégalement des œuvres protégées par le droit d'auteur, l'assimilation de l'adresse IP à une donnée à caractère personnelle revêt une importance capitale.


A l'origine la loi du 6 janvier 1978 « informatique et libertés » visait les informations nominatives. Le terme avait pour avantage d'être assez clair sur ce qui ne devait pas entrer dans le champ d'application de la loi. La loi du 6 août 2004 a procédé à une extension du champ d'application de la loi « informatique et libertés ». En effet elle remplace le terme « information nominative » par celui de « donnée à caractère personnelle ». Or cette notion est plus vaste.

La question s'est donc posée de savoir si l'adresse IP devait être considérée comme une information permettant d'identifier une personne indirectement, donc comme étant une donnée à caractère personnelle.

L'adresse IP est le numéro qui permet d'identifier chaque ordinateur sur le réseau Internet. Elle se décompose dans version 4 en une série de 4 nombres allant de 0 à 255.

C'est là que réside tout le nœud du problème. En effet l'adresse IP ne renvoie pas à une personne directement mais à une machine, or cette dernière peut être utilisée par une pluralité de personnes.

Dès l'origine la CNIL a considéré que l'adresse IP devait être considérée comme une donnée à caractère personnelle. Cela correspond à la volonté affichée de la CNIL d'élargir au maximum le champ d'application de la loi « informatique et libertés ».

Le foyer du contentieux est lié à la traque des internautes téléchargeant via les réseaux Peer To Peer des œuvres protégées par le droit d'auteur. En effet l'article 9, 4° de la loi « informatique et libertés » permet désormais aux agents assermentés des sociétés de perception des droits d'auteur d'effectuer des traitements de données à caractère personnelle relatifs aux infractions. Il faut cependant obtenir l'autorisation de la CNIL.

Ces agents ont alors opéré des traitements visant à collecter les adresses IP des internautes présents sur ces réseaux et se livrant à des téléchargements illicites d'œuvres protégées. Pour la CNIL ces traitements nécessitaient une autorisation de sa part, l'adresse IP étant une donnée à caractère personnelle.

Cette affirmation de la CNIL a été désavouée pat deux arrêts de la cour d'appel de Paris.

Dans un arrêt rendu le 15 mai 2007 les juges énoncent en effet, à propos de l'adresse IP : « Que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».

Les juges affirment ici clairement que l'adresse IP ne se rapportant qu'à une machine elle ne peut pas être considérée comme une donnée nominative, même indirecte. Cette affirmation doit être mise en relation avec le premier arrêt rendu par cette même cour afin de comprendre pourquoi elle ne considère pas qu'il s'agit d'une donnée à caractère personnelle indirecte.

Dans son arrêt du 27 avril 2007, dans une affaire similaire, les juges énoncent que : « L'adresse IP ne permet pas d'identifier le ou les personnes, qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur l'accès d'identité de l'utilisateur. ». Ici les juges considèrent que l'adresse IP n'est pas une donnée à caractère personnelle car elle n'identifie pas une personne mais un ordinateur, et que ce n'est que l'intervention de l'autorité légitime, c'est-à-dire lors d'une procédure judiciaire, qui permet l'identification de la personne ayant utilisé la machine à des fins illicites.

Dans ces deux arrêts la cour d'appel de Paris affirme que l'adresse IP ne doit pas être considérée comme une donnée à caractère personnelle, même indirecte, car elle n'aboutit à l'identification d'une personne que par l'intervention de la police ou de la gendarmerie dans le cadre d'une procédure judiciaire.

Cela a pour conséquence de permettre aux agents assermentés des sociétés de perception des droits d'auteur de mettre en place des traitements informatiques visant à collecter les adresses IP sans avoir à demander l'autorisation de la CNIL.

Cette position de la cour d'appel de Paris doit être critiquée sur plusieurs points.

En premier lieu cette jurisprudence semble aller contre la volonté du législateur. En effet dans l'article 9 de la loi « informatique et libertés » (cité plus haut) le législateur a souhaité permettre aux agents assermentés des sociétés de perception d'effectuer des traitements relatifs aux infractions sous réserve qu'ils obtiennent l'autorisation de la CNIL. Or il est clair que pour que ce traitement ait une finalité utile, la poursuite judiciaire de l'auteur du téléchargement illicite, il est nécessaire de l'identifier sur le réseau, ce qui ne peut se faire qu'en commençant par collecter son adresse IP, puis par son identification en tant que personne. En considérant que l'adresse IP n'est pas une donnée personnelle la cour d'appel permet aux agents assermentés de contourner les obligations imposées par la loi.

Cette solution est en fait une décision d'opportunité prise par la cour car dans les deux arrêts elle utilise cet argument afin d'écarter l'exception de nullité avancée par l'auteur du téléchargement illicite.

Cette solution contribue tout de même a donné moins d'obligation aux agents assermentés, ce qui n'était pas le but du législateur même si l'article 9 de la loi vise à améliorer la lutte contre le téléchargement illicite.

La solution mérite d'être critiquée en second lieu car la cour d'appel de Paris ne semble pas tirer les conséquences de ses constatations. En effet, elle énonce que si l'adresse IP ne doit pas être considérée comme une donnée nominative, même indirecte, c'est parce qu'elle ne donne lieu à indentification de la personne ayant utilisée la machine identifiée sur le réseau que grâce à l'intervention de l'autorité légitime. Il faut donc que la police ou la gendarmerie, dans le cadre d'une procédure judiciaire obtienne du fournisseur d'accès Internet qu'il communique l'identité de la personne correspondant à l'adresse IP collectée.

Or il s'agit bien là d'une identification indirecte permise par l'adresse IP, ce qui correspond tout à fait à la lettre de la loi. En effet dans sa définition de la donnée à caractère personnelle, la loi parle bien de toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou indirectement. Ce n'est pas parce que l'autorité légitime doit intervenir dans le cas de l'adresse IP qu'il ne s'agit pas d'une donnée à caractère personnelle. Bien au contraire c'en est une qui permet l'identification indirecte, c'est-à-dire après recoupement avec d'autres informations, d'une personne physique.

Il est vrai que dans la plupart des cas l'adresse IP renvoie à un ordinateur qui sera utilisé par une pluralité de personnes et donc que son caractère de donnée personnelle est de ce point de vue fragilisé. Cependant il ne faut pas exagérer cette fragilité. En effet il faut distinguer deux cas dans lesquels il y aura une pluralité de personnes pouvant utiliser la machine.

Il y a tout d'abord le cas ou l'ordinateur appartient à un particulier et où il sera utilisé par une pluralité des membres du foyer familial. Dans ce cas effectivement l'adresse IP en tant que donnée à caractère personnelle sera fragilisée. Cependant les foyers familiaux ne contiennent généralement qu'un nombre limité d'individus, ce qui permet d'affirmer que l'adresse IP restera, dans ce cas, une donnée personnelle indirecte car après recoupement d'informations il sera souvent possible d'identifier la personne auteur de l'infraction.

Le deuxième cas correspond aux ordinateurs présents sur les lieux de travail. La discussion est permise. On peut avancer que l'adresse IP qui renvoie à un ordinateur appartenant à une personne morale (l'entreprise) n'est pas une donnée personnelle car la loi parle expressément dans son article 9 d'informations relatives à des « personnes physiques identifiée... ». Cependant il ne paraît pas souhaitable de faire jouer ici le voile de la personnalité morale car une entreprise est composée, avant tout, de personnes physiques.

Dans ce cas l'adresse IP pourra être considérée comme une donnée personnelle indirecte car elle renvoie au lieu de travail d'une personne physique qui pourra être identifiée par recoupement avec d'autres informations (notamment le poste informatique qu'elle occupe habituellement).

Nous voyons donc que pour toutes ces raisons l'adresse IP doit être considérée comme une donnée à caractère personnelle. Les arrêts de la cour d'appel de Paris ne doivent pas être considérés comme la volonté des juges d'aller contre l'avis de la CNIL. Il ne s'agissait que de solutions ayant pour finalité l'écartement de l'exception de nullité lise en avant par le prévenu, dans le but de favoriser la répression des téléchargements illicites.

C'est ce que confirme l'arrêt rendu par la cour d'appel de Paris le 12 décembre 2007 à propos des informations permettant l'identification de l'auteur d'un contenu devant être communiquées par les hébergeurs. A cette occasion les juges considèrent que l'adresse IP n'est pas suffisante mais ils énoncent que l'adresse IP « même s'il elle ne constitue une donnée personnelle, ne permet d'identifier qu'un ordinateur. ».

La cour d'appel de Paris reconnaît donc que l'adresse IP est une donnée à caractère personnelle indirecte (CQFD).


Murielle Cahen,
Septembre 2008



   
Expert en droit des nouvelles technologies
MURIELLE CAHEN
Avocate au barreau de Paris

 SUR LE MEME THEME 
 
Questions / Réponses :
  • Internet

    • Actualités :
  • Un nouveau cadre pour les noms de domaine par Benjamin Jacob Julie Jacob
  • La publicité sur internet par Murielle Cahen
  • Blogs et entreprises par Murielle Cahen
  • Téléchargement illégal : les risques encourus par Arnaud Dimeglio
  • Noms de domaine internet : les réponses à vos questions par Gilbert Piat
  • La loi du 5 mars 2007 relative à la prévention de la délinquance par Murielle Cahen
  • Les enjeux de la loi du 5 mars 2007 relative à la prévention de la délinquance dans le domaine de la communication par Benjamin Jacob Julie Jacob
  • Constat d'huissier sur internet par Murielle Cahen
  • Que risquent des joueurs en ligne sur des casinos illégaux ? une amende ? comment l'appliquer ? par Murielle Cahen
  • Les mentions légales obligatoires sur un site web par Murielle Cahen
  • L'anonymisation des décisions de justice et la protection des données personnelles sur internet par Murielle Cahen
  • Développement et protection des œuvres culturelles dans les nouveaux réseaux de communication par Julie Jacob Benjamin Jacob
  • Le streaming : technique légale ou illégale ? par Murielle Cahen
  • La responsabilité des opérateurs de sites du web 2.0 par Murielle Cahen
  • La vod (vidéo à la demande) est-elle légale ? par Murielle Cahen
  • Le "domain tasting" enfin malmené ? par Fabrice Bircker Bruno Raibaut
  • Application du décret du 6 février 2007 : l’attribution des noms de domaine en « .fr » restreinte au profit de la protection des titulaires de marques par Julie Jacob Benjamin Jacob
  • Quels sont les risques juridiques liés à votre site internet ? par Murielle Cahen
  • Fraude et noms de domaine par Fabrice Bircker Bruno Raibaut
  • Fournisseurs d’accès à internet et mesures de filtrage par Murielle Cahen
  • La riposte graduée : le projet de loi hadopi face au désaveu du parlement européen par Benjamin Jacob Julie Jacob
  • Affaire lafesse/ dailymotion : le tgi de paris tranche en faveur du statut d’hébergeur par Benjamin Jacob Julie Jacob
  • Lutte contre le téléchargement illicite : la riposte graduée par Murielle Cahen
  • La création d’un site internet : environnement juridique et conseils pratiques par Bénédicte Deleporte
  • Responsabilité de l’hébergeur et retrait de contenu illicite : le prompt délai par Bénédicte Deleporte
  • Bonne nouvelle pour le web 2.0 par Murielle Cahen
  • Jeux d’argent en ligne : vers une libéralisation mesurée de la réglementation par Bénédicte Deleporte
  • L’ouverture du secteur des jeux en ligne à la concurrence par Murielle Cahen
  • Loi création et internet par Murielle Cahen
  • Exploitation d’un blog et responsabilité par Bénédicte Deleporte
  • La protection par le droit d’auteur des sites internet est remise en question par Murielle Cahen
  • Facebook et la preuve par Murielle Cahen
  • L'identité numérique post-mortem :
    comment la gérer ?     par Murielle Cahen
  • Comment se défaire d'une mauvaise réputation sur les réseaux sociaux et internet ? par Murielle Cahen
  • Google street view : les conséquences juridiques ... par Murielle Cahen
  • Le cloud computing est en vogue par Murielle Cahen
  • Les cercles de jeux par Murielle Cahen
  • Licenciement pour téléchargement de fichier pornographique : la cour de cassation valide, sous certaines réserves par Benjamin Jacob


    • Fiches Pratiques :
  • Vous déposez un nom de domaine pour votre site internet : conseils et recommandations.
    •  




    Actualités
    L’adresse IP est-elle une donnée personnelle ?

    Conditions générales de vente | Qui sommes nous? | Contact | Plan du site | FAQ | Avertissement | Ours
    CV | Lettres de motivation | Lettres Types | Juritravail Entreprise | Trouver un avocat
    ©2003 - 2012 Centre de Ressources Interactif™ tous droits réservés CNIL N°1016083