[mis à jour le 26 juillet 2017] Puisque la CJUE le 19 octobre 2016, ainsi que la Cour de cassation le 3 novembre 2016, viennent de se pencher sur le problème, profitons-en pour faire un point sur la question (pas évidente) de la légalité de la collecte de l’adresse IP dynamique. Quelques explications techniques et juridiques sur la notion d’IP fixe et dynamique et sur l’obligation de collecte préalable du consentement ? Les images de la présentation sont dans le slider ci-dessous.

[wonderplugin_gallery id= »19″]

L’adresse IP ?

Commençons par la définition technique. Qu’est-ce que l’adresse IP ? C’est l’identifiant unique de chaque terminal qui se connecte à l’Internet en utilisant le protocole TCP/IP. C’est donc un numéro de machine, pas un numéro identifiant directement une personne physique. Comme la plaque d’immatriculation d’une voiture qui ne permet pas d’identifier son conducteur.

Premier niveau de complexité : savoir si un prestataire de services web peut collecter librement l’adresse IP de ses clients. Si cette « information » n’est pas une donnée à caractère personnel, ce serait alors une métadonnée, libre à la collecte et à l’utilisation. Ca arrangerait bien les professionnels du secteur qui pratiquent le IP tracking…

Une donnée personnelle

Mais la directive 95/46 du 6 octobre 1995 qui règlemente (jusqu’au 25 mai 2018) la collecte et le traitement des données personnelles au sein de l’Union Européenne pose une définition assez large des données personnelles, en ce sens que peuvent être des données personnelles les données qui permettent d’identifier directement OU indirectement des personnes physiques.

Fort de cette définition extensive, le G29 (groupe des CNIL de l’UE) a fort logiquement tranché dès 2007 que l’adresse IP est bien une donnée personnelle, ainsi que la CJUE dans un arrêt « Scarlet Extended » du 24 novembre 2011. Et les juridictions françaises ont suivi cette interprétation (voir récemment référé TGI Meaux 10 août 2016 France Sécurité / NC Numéricable).

[Mise à jour du 7 novembre 2016] La Cour de cassation, dans un arrêt du 3 novembre 2016, confirme très clairement qu’une adresse IP est bien une donnée à caractère personnel. Et en conclut, logiquement, que le traitement de données des adresses IP est bien aujourd’hui soumis à déclaration préalable, conformément à la loi « informatique et libertés » (en vigueur jusqu’au 25 mai 2018).

IP fixe vs. IP dynamique

Second niveau de complexité : l’adresse IP n’est pas une notion unitaire. Il faut distinguer entre adresse IP fixe (ou statique) et adresse IP dynamique (ou provisoire). Il faut savoir que, techniquement, aux débuts de l’Internet, il n’y avait que des adresses IP fixes. C’était pratique : 1 adresse IP = 1 machine.

Oui mais… avec le développement tout azimut des réseaux de télécommunication, le nombre d’adresses IP a explosé. Alors oui, techniquement, le monde bascule progressivement du système IPv4 à celui de l’IPv6 qui permet de démultiplier le nombre d’adresses disponibles au niveau mondial.

Mais aujourd’hui, grâce au protocole DHCP (Dynamic Host Configuration Protocole), un prestataire de services qui dispose de nombreux abonnés (un FAI ou une grande entreprise par exemple) attribue à chaque connexion de ses « users » une adresse IP provisoire. Cette adresse IP provisoire, l’IP dynamique, change donc à chaque connexion de chacun des user concernés. Vous devriez vous intéresser un instant aux aspects techniques de l’adresse IP pour vous y retrouver…

Alors, me direz-vous ? Et bien, cette adresse IP dynamique permet seule de déterminer la machine qui se connecte effectivement à un site web. Or, cette adresse dynamique n’est connue que du seul prestataire de services qui gère les adresses IP dynamiques (temporaires).

Une collecte avec consentement préalable des internautes…

Et voila l’intérêt de l’arrêt « Breyer » du 19 octobre 2016 de la CJUE : effectivement, cette adresse IP dynamique est également une donnée indirectement personnelle pour l’éditeur d’un site web, qu’il la collecte directement ou qu’il puisse y avoir accès auprès du fournisseur de services qui la met en oeuvre.

La conséquence de cette décision est très importante, dans la mesure où le principe de consentement préalable des internautes s’applique à toute donnée reconnue comme « à caractère personnel ».

De ce fait, un prestataire qui accède aux adresses IP dynamiques d’un tiers prestataire (comme le FAI dans l’arrêt « Breyer ») ne peut se passer de cette collecte préalable du consentement des internautes concernés.

…sauf exception légale

Sur ce point, il faut le reconnaitre, la lecture de l’arrêt « Breyer » du 19 octobre 2016 n’est pas aisée. Revenons pour cela aux principes de la directive 95/46 : une demande préalable de consentement des internantes est obligatoire en cas de collecte de données personnelles. Sauf dérogations légales précisées dans la directive 95/46.

Ainsi, la directive 95/46 permet aux prestataires web de ne pas collecter le consentement préalable de ses internautes pour les besoins de la facturation de leurs services. Qu’il s’agisse de l’adresse IP fixe ou dynamique.

Et il n’est pas permis aux Etats membres de l’UE de déroger dans leur loi nationale au nombre limitativement défini des exceptions à la collecte obligatoire et préalable du consentement. C’est la raison pour laquelle la CJUE a annulé la loi de la RFA attaquée par Monsieur Breyer.

Et la GDPR (Règlement UE 2016/679) ?

Que les prestataires n’attendent pas trop de liberté de collecte avec l’entrée en vigueur le 25 mai 2018 du Règlement 2016/679 dit « GRDP ». La définition des données personnelles est on-ne-peut-plus claire. La règle aujourd’hui posée par l’arrêt « Breyer » sera reconduite à l’identique. Le IP tracking va devenir tributaire des règles de la GDPR ? C’est ce qui s’appelle une révolution.

A bon entendeur…

—> pour aller plus loin sur l’adresse IP

• G29 avis n^o4/2007 – 20 juin 2007 WP 136
• CJUE aff. C-70/10 – 24 novembre 2011 « Scarlet Extended »
• CNIL délibération n°2013-420 – 3 janvier 2014 Google (page 12)
• référé TGI Meaux 10 août 2016 France Sécurité / NC Numéricable
• CJUE aff. C-582/14 – 19 octobre 2016 « Breyer »
• Cass. Civ. 1ère – 3 novembre 2016 « Cabinet Peterson / Groupe Logisneuf »

Encore merci à Sandrine CHATELIER et Emmanuel BOUTEILLE des éditions Akileos et à Vincent Brugeas et Ronan Toulhoat d’avoir bien voulu prêter à nouveau les « affreux » de la série “Chaos Team” pour cette présentation. Qu’ils soient également remerciés pour m’avoir accordé à nouveau le droit de détourner les phylactères de la BD originale.