| Réponse
:
La notion d'adresse IP comme donnée personnelle
à l'internaute est au coeur des débats
actuels sur la liberté individuelle et le traitement
de ces données personnelles, notamment par
les moteurs de recherche. Leur stockage et leur traitement
peuvent être impactés par le caractère
et le statut juridique de l'adresse IP. Qu'en dit
la loi aujourd'hui ?...
Les
moteurs de recherche collectent les adresses IP de
leurs usagers. Ils ne s'en cachent pas car elles sont
utiles pour de nombreuses raisons, déjà
évoquées par le passé dans ces
colonnes (NDLR : voir notamment l'article Peter Fleischer
(Google) : "Traiter Google de Big Brother, c'est
ne pas se donner le temps de comprendre..." en
juin 2007). Mais sont-elles, juridiquement parlant,
ce que l'on peut définir comme des données
personnelles ?
Qu'est ce qu'une "donnée à
caractère personnel" ?
Il s'agit de "toute information relative à
une personne physique identifiée ou qui peut
être identifiée, directement ou indirectement,
par référence à un numéro
d'identification ou à un ou plusieurs éléments
qui lui sont propres. Pour déterminer si une
personne est identifiable, il convient de considérer
l'ensemble des moyens en vue de permettre son identification
dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne"
(article 2 de la loi "Informatique et Libertés").
En conséquence, tout élément
d'identification directe ou indirecte d'une personne
est une donnée à caractère personnel
dont l'utilisation est régie par cette réglementation,
même si celui qui détient un élément
d'identification est, à lui seul, incapable
de faire le lien entre cet élément et
une personne déterminée.
L'intérêt de poser la question
Le fait que les adresses IP soient qualifiées
de données personnelles induit l'application
de la loi "Informatique et Libertés"
de 1978 qui porte précisément sur les
traitements automatisés de données à
caractère personnel.
Concrètement, selon les termes de la loi, le
"responsable d'un traitement de données
personnelles" est défini par l'article
3.I de la loi de 1978 comme la personne "qui
détermine ses finalités et ses moyens".
Il a de nombreuses obligations légales, et
notamment :
- La notification de l'existence de traitements, avant
leur mise en œuvre, à la Commission Nationale
de l'Informatique et des Libertés et ce, que
ces traitements soient traités par lui-même
ou par des tiers agissant pour son compte (sanctions
pénales à défaut de notifications
préalables).
- La communication préalable à la personne
auprès de laquelle sont recueillies des données
à caractère personnel d'un certain nombre
d'informations qui concernent notamment la finalité
principale de traitement de ces données, les
catégories de personnes (morales ou physiques)
destinataires des données, l'existence d'un
droit d'opposition au traitement de ces données
et d'un droit d'accès et de rectification de
ces données et, le cas échéant,
le transfert de ces données hors de l'Union
européenne.
- L'obligation de conserver confidentielles les données
personnelles, et de ne les conserver que le temps
nécessaire.
- L'obligation de mettre en demeure les personnes
dont les données sont traitées d'exercer
leurs droits, notamment de s'opposer, pour des motifs
légitimes, au traitement de ses données
personnelles, et d'accéder et rectifier ses
données personnelles auprès du responsable
du traitement.
De plus, le responsable du traitement ne peut pas
transférer les données collectées
à d'autres entités.
En conséquence, si l'adresse IP est considérée
comme une donnée personnelle, les moteurs de
recherche devront tenir compte de ces obligations
même pour traiter les simples demandes de recherche.
La récente évolution jurisprudentielle
Récemment, certains tribunaux français
se sont demandé si l'adresse IP est une donnée
personnelle. Certains considèrent que l'adresse
IP ne permet de ne retrouver que l'ordinateur et non
la personne. D'autres relèvent que précisément,
le fait de pouvoir retrouver l'ordinateur permet indirectement
de retrouver la personne.
La cour d'appel de Paris a considéré
que les adresses IP collectées à l'occasion
de la recherche et de la constatation des actes de
contrefaçon sur Internet ne permettent pas
d'identifier, même indirectement, des personnes
physiques et que, dès lors, elles ne constituent
pas des données à caractère personnel
(CA Paris, 27 avril 2007 et 15 mai 2007).
Dans le premier arrêt (du 27 avril 2007), un
agent assermenté par la SCPP (société
civile des producteurs phonographiques) avait collecté
les adresses IP de contrevenants sur un réseau
Peer-to-peer. Ces contrevenants s'étaient défendu
en expliquant qu'on ne peut pas collecter des adresses
IP (et donc des données personnelles) à
l'insu des personnes concernées. La cour a
considéré que l'agent avait agi correctement
: "Il s'est contenté de se connecter à
Internet, d'accéder par un logiciel à
des fichiers partagés et de recueillir l'adresse
IP grâce à un pseudonyme, ce que tout
internaute pouvait faire".
La cour d'appel a mis en avant des arguments similaires
dans une affaire jugée le 15 mai 2007. Elle
avait estimé, là aussi, que la collecte
d'adresses IP dans le cadre d'une recherche d'infraction
sur Internet, ne permet pas d'identifier une personne
physique, et donc que l'adresse IP n'est pas une donnée
à caractère personnel.
La réaction des institutions
L'ensemble des autorités de protection des
données des Etats membres de l'Union européenne
a récemment rappelé, dans un avis du
20 juin 2007 relatif au concept de données
à caractère personnel, que l'adresse
IP attribuée à un internaute lors des
ses communications constituait une donnée personnelle.
Le 18 février 2008, le Groupe de l'Article
29 (émanation de la Commission européenne
regroupant les principales autorités nationales)
a encore précisé que les "moteurs
de recherche tombent dans le champ d'application de
la Directive (de protection des données personnelles)
s'ils collectent des adresses IP des utilisateurs
ou l'historique de navigation et doivent, en conséquence,
respecter les obligations de la loi".
En France, la CNIL a publié très rapidement
un communiqué de presse condamnant les décisions
de la cour d'appel de Paris. Au demeurant, elle appuie
un pourvoi en cassation pour que les décisions
de la cour d'appel de Paris soient révisées
par la Cour de cassation.
Il faut rappeler que la CNIL a toujours considéré
les adresses IP comme des données personnelles.
Elle a d'ailleurs interdit en octobre 2005 à
la SACEM de ficher les adresses IP sur les réseaux
peer-to-peer. Toutefois, le Conseil d'Etat a annulé
cette décision en mai 2007 sous prétexte
que la protection de la propriété intellectuelle
est plus importante que la protection des données
personnelles.
L'application aux moteurs de recherche
Peter Fleischer, conseiller à la protection
de la vie privée de Google, s'est défendu
en déclarant utiliser ces adresses pour offrir
un meilleur service, par exemple pour connaître
la langue des utilisateurs, et pour fournir aux annonceurs
des preuves que les utilisateurs cliquent sur les
publicités en ligne et éviter la "fraude
de clic". Selon lui, "il n'y pas de réponse
blanche ou noire : parfois l'adresse IP peut être
considérée comme une donnée personnelle,
parfois non, cela dépend du contexte".
Jusqu'en mars dernier, Google stockait les données
personnelles, dont les adresses IP, pendant une durée
illimitée. Depuis, sous la pression de ce même
Groupe de l'Article 29, il a accepté d'harmoniser
ses pratiques avec la directive européenne
en anonymisant ces données au bout de 18 mois.
A ce titre, la position de la CNIL et des autorités
européennes pourrait être confrontée
au considérant 26 de la Directive "données
personnelles" qui précise clairement que:
"pour déterminer si une personne est identifiable,
il convient de considérer l'ensemble des moyens
susceptibles d'être raisonnablement mis en œuvre,
soit par le responsable du traitement, soit par une
autre personne, pour identifier ladite personne".
L'IPv4 ne permet pas de déterminer avec certitude
l'identité d'une personne physique, sauf, éventuellement,
pour le fournisseur d'accès qui peut recouper
ses propres fichiers pour déterminer l'identité
de la personne physique. A l'inverse, un moteur de
recherche ne peut pas, sans difficultés ou
assistance de la part d'un fournisseur d'accès
(le cas échéant, en violation de la
Loi... "Informatique et Libertés"
d'ailleurs) obtenir avec certitude l'identité
d'une personne physique à partir d'une adresse
IPv4.
D'un point de vue technique, avec l'IPv4, une adresse
identifie un dispositif et non un ordinateur unique
(ce qui ne sera plus le cas avec l'IPv6). Donc, aujourd'hui,
dans de nombreux lieux (espaces publics, cybercafés,
sociétés, etc.), des personnes sont
connectées sur différents ordinateurs
au même réseau et partagent donc la même
IP (par exemple, avec du Wifi). En revanche, l'IPv6
permettra d'identifier un appareil avec certitude
et permettra donc, avec plus de facilité, d'identifier
une personne physique. Toutefois, si l'IPv6 est "disponible",
son effectivité demande de nombreux changements
de matériels qui prennent du temps.
Aujourd'hui, il n'en reste pas moins que le fait de
définir l'adresse IP comme une donnée
privée pourrait générer de nouvelles
règles en matière de récolte,
de traitement et de rétention de ces données.
Les autorités devraient assurément définir
autrement les adresses IP pour ne retenir que la qualification
de donnée personnelle uniquement dans des cadres
restreints qui protègent réellement
les intérêts des personnes physiques
et non des grands principes théoriques.
Article écrit par
Alexandre Diehl, avocat à la Cour
|
Webmasters,