Menu
Vous êtes ici : Accueil > Actualités > Publications > Jurisprudence : L’adresse IP, une donnée à caractère personnel

Jurisprudence : L’adresse IP, une donnée à caractère personnel

Le 21 mars 2017
Jurisprudence : L’adresse IP, une donnée à caractère personnel

Cass. 1ère, 3 novembre 2016, n°15-22.595

Le statut de l’adresse IP – Internet Protocol, aura sans doute été l’une des plus grandes énigmes du droit des nouvelles technologies de la dernière décennie. À ce titre, la récente décision de la Cour de cassation reconnaissant aux adresses IP le statut de donnée à caractère personnel, rejoignant après plus de quinze ans les avis successifs de la CNIL, du groupe Article 29 – émanation de la Commission européenne regroupant les principales autorités nationales, et de la Cour de Justice européenne (CJUE), offre une opportunité de clore le débat de manière définitive et d’homogénéiser les positions nationales et communautaires sur le sujet.

Dans son arrêt de cassation du 3 novembre 2016[1], une société découvre sur son réseau interne la connexion d’ordinateurs ne faisant pas partie de l’entreprise. Elle dépose alors une requête devant le président du tribunal de commerce visant à donner injonction aux fournisseurs d’accès à l’internet de communiquer les identités des titulaires des adresses IP qui se sont avérés être une société concurrente. Cette dernière, poursuivie en justice, a contesté la mesure soulevant l’incompétence du tribunal de commerce au motif qu’il s’agissait d’une demande portant sur la communication des données à caractère personnel et donc relevant de la vie privée[2]. Après avoir été débouté par les juges du fond[3], la Cour de cassation fait pourtant droit à sa demande précisant pour la première fois que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».

Cet arrêt, rendu deux semaines après une décision similaire de la CJUE, aurait pu passer inaperçu si la question du statut des adresses IP n’avait pas été une problématique particulièrement riche en droit français. Le débat trouve son origine dans l’absence de définition légale ou jurisprudentielle de l’adresse IP, les juridictions n’arrivant pas à trouver un consensus dans leurs décisions[4]. Il ressort cependant des différentes propositions des éléments communs : l’adresse IP est un identifiant numérique attribuée à une machine lorsque celle-ci se connecte sur Internet. Cet identifiant est attribué lors de la souscription d’un abonnement internet par le fournisseur d’accès à internet. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs, grâce à l’enregistrement systématique dans un fichier de la date, l’heure, la durée et l’adresse IP de chaque connexion. Cependant, cet outil permettant l’identification des utilisateurs ne débouche pas obligatoirement sur une personne physique. En effet, il peut également s’agir de robot, passerelles ou serveurs informatiques.

L’absence de lien certain entre une adresse IP et une personne physique est l’un des éléments à l’origine du débat jurisprudentiel sur sa reconnaissance comme donnée personnelle.

Une évidence pour une grande majorité

La loi informatique et libertés[5] définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Soucieux de permettre l’intégration des futures technologies, le législateur a ainsi proposé une notion large, refusant de limiter les données personnelle à une liste exhaustive. Historiquement désignée comme « information nominative », la loi du 6 aout 2004 a également étendu le champ d’application de la loi du 6 janvier 1978 en utilisant la notion plus vaste de « donnée à caractère personnelle ».

L’utilisation des adresses IP par les juridictions concernent aujourd’hui principalement la lutte contre certaines infractions spécifiquement visées par la LCEN – apologie des crimes contre l’humanité, pornographie enfantine[6], les délits de presses – diffamation, injure et dénigrement[7], et surtout la lutte contre la contrefaçon.

En 2001, la CNIL se prononce pour la première sur le statut des adresses IP leur reconnaissant la possibilité indirecte d’identifier l’activité d’un internaute. Selon elle, « la conservation de cette adresse IP permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexion »[8]. Par la suite, le Groupe Article 29 – émanation de la Commission européenne regroupant les principales autorités nationales dont la CNIL, confirme également l’importe des adresses IP dans l’identification des utilisateurs de site Internet, évoquant « sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a) de la directive »[9].  Une réponse de la Commission européenne à la question posée par un député français a également aboutit en 2013 à la même conclusion[10].

Complétant ces institutions, la CJUE a toujours défendu le statut des adresses IP comme donnée à caractère personnel à l’occasion de trois décisions rendues au cours des dix dernières années. L’arrêt Promusicae[11] a été le premier à interpréter les textes communautaires en faveur de cette reconnaissance. Par la suite, la Cour a pu confirmer sa position à l’occasion de  collectes et identification des adresses IP des utilisateurs d’Internet effectuées par les fournisseurs d’accès à Internet dans l’arrêt Scarlet Extended[12]. L’arrêt Breyer[13] en octobre 2016 est venu l’étendre à l’ensemble des éditeurs de site internet dans la mesure où il était question d’adresses IP enregistrées par des fournisseurs de services de médias en ligne, ces données ne leur permettant pas directement d’identifier l’utilisateur.

Selon la juridiction communautaire, une adresse IP dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue au sens de la directive de 1995, pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur. Confirmant l’avis de l’avocat général, Campos Sánchez-Bordona, la Cour a estimé que les adresses dynamiques IP font partie des données personnelles des utilisateurs et donc être sujette au droit des protections des données. Une incertitude demeure dans la décision du 19 octobre 2016, notamment concernant les dérogations légales admises par la directive 95/46 à la demande préalable de consentement des internautes, obligatoire en cas de collecte de données personnelles[14].

Un débat pour les juridictions françaises

L’absence de définition juridique ou légale de l’adresse IP en droit interne a laissé les juridictions dans un conflit de qualification selon les spécificités des faits portés à leur connaissance. L’enjeu est de taille dans la mesure où reconnaitre l’adresse IP comme donnée personnelle implique que la collecte et le traitement d’adresses IP seront soumis à la réglementation « Informatique et Libertés », la réalisation de formalités de déclaration auprès de la CNIL, le respect des obligations d’information, d’accès, de rectification, de suppression auprès des utilisateurs, des obligations de sécurité et de confidentialité des données collectées. Les éditeurs de site internet se livrant à cette récolte de données seront également passibles des sanctions prévues en cas du non-respect des dispositions légales. À ce titre, les juridictions pénales se sont montrées particulièrement réticentes à garantir la protection des données personnelles aux adresses IP notamment dans le cadre de la lutte contre la contrefaçon.

A l’occasion des poursuites judiciaires portant sur le téléchargement illicite d’œuvres musicales, la Cour d’appel dans deux arrêts des 27 avril[15] et 15 mai 2007[16] a refusé la qualification de donnée personnelle pour les adresses IP donnant lieu à déclaration préalable, fondant ses décisions sur le fait que l’adresse IP se rapporte à une machine et non à l’individu utilisant l’ordinateur. Les deux sections de la 13ème chambre défendent pour l’une l’impossibilité pour le particulier d’identifier un individu à partir de son adresse IP et pour l’autre le seul lien existant entre un numéro d’IP et une machine et non une personne, confirmé dans un arrêt ultérieur du 29 janvier 2008[17]. De nombreuses décisions de justice protègent ainsi la régularité de la procédure judiciaire d’obtention et d’exploitation des données personnelles[18] par les services de police en refusant de relever l’exception de nullité de procédure invoqué en défense.

L’une des justifications semble tenir à la spécificité de la matière pénale, notamment des prérogatives de collectes de données personnelles par des organismes de défense des droits d’auteurs[19]. La chambre pénale veille en effet à ne pas détourner les règles de la loi relative à l’informatique aux fichiers et aux libertés pour servir les délinquants cherchant à échapper aux nécessités de l’enquête et de la répression judiciaire[20]. La Cour de cassation et le Conseil d’État ont ainsi rendu des décisions favorables à la lutte contre la contrefaçon[21], la première en considérant que les autorisations de la CNIL opéraient validation rétroactive des dispositifs litigieux, la deuxième en annulant un refus d’autorisation de la CNIL portant sur des dispositifs d’avertissement et de mise en garde des internautes suspects[22].

La position des juridictions répressives peut également se justifier par la stricte application de la loi pénale et de la procédure pénale : les adresses IP sous leur forme historique de numérotation – Ipv4, ne permettant pas de déterminer avec certitude l’identité d’une personne physique, sauf à bénéficier de l’aide du fournisseur d’accès. Plusieurs auteurs ont par ailleurs vu dans ces arrêts non pas un désaveu des adresses IP comme donnée personnelle mais des décisions opportunistes afin d’écarter l’exception de nullité mise en avant par les prévenus dans le but de protéger la répression des téléchargements illicites[23].

Cette position n’a pourtant pas fait l’unanimité au sein des juridictions, certains faisant valoir de manière claire le caractère indirectement nominatif de l’adresse IP[24]. Peu de temps après, la 14ème chambre de la Cour d’appel de Paris s’est également démarquée dans un arrêt du 12 décembre 2007, dans lequel celle-ci reconnait l’adresse IP comme une donnée personnelle tout en rappelant qu’elle ne permet d’identifier qu’un ordinateur[25].

La situation a pris un tournant inattendu en 2009 lorsque la chambre criminelle de la Cour de cassation[26] se prononce contre la reconnaissance du statut de donnée personnelle de l’adresse IP, cassant l’arrêt d’appel[27] s’inscrivant dans une évolution de la jurisprudence sur la question[28]. Si la haute juridiction refuse la qualification de donnée à caractère personnelle, elle admet cependant que l’adresse IP peut constituer « un élément dans le faisceau d’indices permettant d’établir l’identité de l’internaute, lorsque d’autres éléments la corroborent et la complètent ». Confortés par la position de la haute juridiction, plusieurs décisions ultérieures ont suivi cette interprétation[29]. Les décisions de la CJUE de 2011 puis 2016 ont cependant permis aux juridictions civiles et commerciales d’ouvrir à nouveau le débat jurisprudentiel en droit interne[30].

De nouvelles problématiques

Dans ce contexte et devant le poids indéniable des décisions européennes, la Cour de cassation devait réagir. L’arrêt rendu par la 1ère chambre civile permet d’unifier les interprétations nationales et communautaires sur les adresses IP. L’arrêt du 3 novembre 2016 peut permettre de freiner la multiplication d’intrusions numériques non sollicitées dans nos appareils numériques connectés – ordinateurs, tablettes et smartphones quel que soit les motifs – commercial, ergonomique, ou judiciaire. Elle aura cependant des conséquences lourdes pour les éditeurs de site Internet, qui seront tenus d’obtenir le consentement des internautes afin de conserver leurs adresses IP. Pour ces derniers, le danger se trouvera sans doute en cas d’absence de déclaration préalable à la CNIL de la conservation des adresses IP. Selon la Cour de cassation, elle peut avoir pour conséquence de rendre impossible les poursuites contre le titulaire d’une adresse IP qui aurait commis un acte frauduleux ou illicite, tels qu’un piratage ou un accès non autorisé à un site ou un système.

Cependant, la force de cet arrêt semble incertaine concernant la matière pénale et la Hadopi, cette dernière refusant toujours de communiquer une copie du procès-verbal de constatation des faits reprochés à un abonné, contenant pourtant l’adresse IP de l’utilisateur[31]. Cette dernière considère que les documents produits dans le cadre et pour les besoins d’une procédure judiciaire sont exclus du champ d’application de la loi du 17 juillet 1978, se fondant sur un avis de la Commission d’accès aux documents administratifs[32] citant un arrêt du Conseil d’État[33].

Il sera intéressant d’attendre la position de la chambre criminelle sur le sujet. Il n’est pas impossible que cette dernière persiste à défendre son argumentation pénale en dépit du poids des différentes institutions nationales et communautaires optant pour une reconnaissance pleine et entière. Sa position historique est aujourd’hui d’autant plus difficile à justifier que la généralisation de la norme IPv6, stabilisant les adresses IP des utilisateurs facilite considérablement les moyens d’identification d’un appareil et donc indirectement celle d’une personne physique. Elle sera encore plus affaiblie par l’entrée en vigueur du futur règlement européen le 25 mai 2018. Le Règlement général sur la protection des données[34], dit « RGPD » semble en effet garantir le statut de donnée personnelle de l’adresse IP évoquant la notion d’ « identifiants en ligne »[35]. Ce dernier définit à son article 4 la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Il précise par ailleurs qu’ « est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale[36] ».

Breyer aura finalement résumé les enjeux futurs entourant l’utilisation des adresses IP : « La génération internet a le droit d’avoir accès à l’information en ligne de la même façon que nos parents écoutent la radio ou lisent les journaux sans surveillance et sans inhibition […] L’Europe devrait rejeter l’impitoyable méthode de la NSA qui consiste à « recueillir tout » et de faire respecter notre droit à la liberté d’information et d’expression à l’ère numérique »[37].

 

[1] Cass. 1ère, 3 novembre 2016, n°15-22.595

[2] E. Caprioli, L’adresse IP n’est pas forcément une donnée à caractère personnel, Communication Commerce électronique n° 7, Juillet 2015, comm. 64

[3] TC Nantes, réf., 1er juillet 2014 ; CA Rennes, Ch. Com., 28 avril 2015, N° 222, 14/05708, SARL Cabinet Perterson, SARL Groupe Logisneuf, SARL C.Invest, SARL. Européen Soft

[4] Notamment TGI Saint-Brieuc, 6 sept. 2007, Ministère public, SCPP, SACEM c/ J.-P. ; F. Mattatia, Internet face à la loi Informatique et libertés : l’adresse IP est-elle une donnée à caractère personnel ? : Gaz. Pal. 13-15 janv. 2008, p. 9. ; Question n°21517 Commission européenne, É. Courtial, V. Reding, 19/03/2013, http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-2013-000873&language=FR

[5] Art. 2 al. 2 de loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée L. n° 2004-801, 6 août 2004 issue de la transposition de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[6] Art. 6-II de la loi du 21 juin 2004 ; Décret du 25 février 2011 relatif à la «conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne »

[7] Art. 32 et 32-6 de la loi du 6 janvier 1978 ; Article 29 de la loi du 29 juillet 1881 sur la liberté de la presse

[8] CNIL, Délib. n° 01-018, 3 mai 2001, portant avis sur le projet de loi sur la société de l’information

[9] G29, Avis n° 4/2007, sur le concept de données à caractère personnel, 20 juin 2007 : 01248/07/FR, WP 136, p.22, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2000/wp37fr.pdf

[10] Question n°21517 Commission européenne, É. Courtial, V. Reding, 19/03/2013, http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-2013-000873&language=FR

[11] CJUE 29 janvier 2008 (Promusicae c/ Telefonica de Espana SAU, Affaire C-275/06, http://curia.europa.eu/juris/showPdf.jsf;jsessionid=9ea7d2dc30d5dc45c3242b054a85aaa4bf4474fe117a.e34KaxiLc3qMb40Rch0SaxyKaNz0?text=&docid=70107&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=261097

[12] CJUE, 24 novembre 2011, Scarlet Extended SA contre Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), Affaire C-70/10, http://curia.europa.eu/juris/liste.jsf?language=fr&num=C-70/10

[13] CJUE, 19 octobre 2016, Breyer, Affaire C-582/14, http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668

[14] M.-A. Ledieu, L’adresse IP est une donnée personnelle ?, 3 novembre 2016, http://www.ledieu-avocats.fr/adresse-ip/

[15] CA Paris, 13e ch. corr. Section B, 27 avril 2007, n° 06/02334, Sté civile des producteurs phonographiques c. Anthony  Guillemot

[16] CA Paris, 13e ch. corr. Section A, 15 mai 2007, n° 06/01954 ; Comm. com. électr. 2007, comm. 144, Ch. Caron,

[17] CA Paris, 13e ch. A, 29 janv. 2008, RG n° 07/05373

[18] TGI Bayonne, 15 nov. 2005. ; CA Pau, 24 août 2006, RG n° 06/593. ; TGI Lyon, 17 juin 2005, RG n° 5041. ; TGI Montauban, 9 mars 2007, RG n° 396/2007.

[19] Références aux articles L321-1, L331-1 et L331-2 du Code de la propriété intellectuelle ; Art. 9, 4° de la loi du 6 janvier 1978, issu de l’article 2 de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[20] J. Frayssinet, L’accouplement du droit de la protection des données personnelles avec le droit d’auteur : la naissance d’un avorton, l’article 9-4° de la loi modifiée relative à l’informatique, aux fichiers et aux libertés : Legipresse 2004, n° 216, II 119

[21] Cass. crim., 4 avr. 2007, n° 07-80.267 ; Ch. Caron, Vers la traque des internautes contrefacteurs, Communication Commerce électronique n° 7-8, Juillet 2007, comm. 90 ; CE, 23 mai 2007 : n° 288149, n° 288150, n° 288215, n° 288449

[22] L. Flament, Le numéro d’IP n’est pas une donnée à caractère personnel. – La cour d’appel de Paris persiste et signe !, Droit pénal n° 12, Décembre 2008, étude 27 ;

[23] M. Cahen, L’ADRESSE IP EST ELLE UNE DONNEE PERSONELLE ?, Juillet 2008,http://www.murielle-cahen.com/publications/p_donnees3.asp

[24] TGI Saint-Brieuc, 6 sept. 2007, Ministère public, SCPP, SACEM c/ J.-P. ; TGI Paris, 3e Ch. 24 juin 2009, Jean-Yves L. c/ Google ; CA Rennes, 23 juin 2008, n° 07/0121

[25] CA Paris, 14e ch. corr., 12 décembre 2007, n° 07/10036 : « l’adresse IP, si elle constitue une donnée personnelle »

[26] Cass. crim., 13 janv. 2009, n° 08-84.088 ;

[27] CA Rennes, 22 mai 2008, n° 08/868

[28] CA Rennes, 23 juin 2008, n° 1062/08

[29] TGI Paris 30 janv. 2013 ; D. 2013, p. 637 ; T. com. 1 févr. 2013, n° 2012075972 ; CA Paris, Ch. 5, 12 juin 2013 ; CA Paris, pôle 5, ch. 5, 3 oct. 2013, Rentabiliweb Europe c/ Hi-Media : www.legalis.net

[30] TGI Paris, réf., 7 juill. 2014 ; CA Rennes, Ch. Com., 28 avril 2015, N° 222, 14/05708, SARL Cabinet Perterson, SARL Groupe Logisneuf, SARL C.Invest, SARL. Européen Soft ; TGI Meaux, réf., 10 août 2016, France Sécurité / NC Numéricable, https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-meaux-ordonnance-de-refere-du-10-aout-2016/

[31] M. Rees, Pour la Cour de cassation, l’adresse IP est bien une donnée personnelle, 08.11.2016, http://www.nextinpact.com/news/102009-pour-cour-cassation-l-adresse-ip-est-bien-donnee-personnelle.htm

[32] CADA, Avis 20161007 – Séance du 31/03/2016, http://www.cada.fr/avis-20161007,20161007.html

[33] CE, 19 octobre 2011, French Data Network, n°342405, http://www.conseil-etat.fr/Decisions-Avis-Publications/Decisions/Selection-des-decisions-faisant-l-objet-d-une-communication-particuliere/CE-19-octobre-2011-French-Data-Network-n-342405

[34] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[35] Considérant 30 du règlement

[36] Règlement UE 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[37] S. Le Calme, CJUE : les adresses IP dynamiques sont des données personnelles, 16 mai 2016, http://www.developpez.com/actu/98689/CJUE-les-adresses-IP-dynamiques-sont-des-donnees-personnelles-et-peuvent-donc-etre-sujettes-aux-droits-de-protection-des-donnees/

Cette actualité est associée aux catégories suivantes : Publications