Accueil > Juridique, Web > L’adresse IP est-elle une donnée personnelle ?

L’adresse IP est-elle une donnée personnelle ?

8 janvier, 2008

Faut-il voir les adresses IP comme des données personnelles ? La question, loin d’être anodine s’est posée au moment où les sociétés d’auteurs ont souhaité relever les adresses IP des internautes pratiquant des téléchargements de fichiers protégés par le droit d’auteur.

La CNIL s’est prononcée favorablement dès la fin 2004. Elle a également rendu 3 décisions le 18 octobre 2005 réaffirmant sa position : les adresses IP sont des données personnelles.

Dans la mesure où les adresses IP sont des données personnelles, les dispositions de la loi du 6 janvier 1978 modifiée sont donc applicables. Il est dès lors nécessaire, aux termes de l’art. 25 de la loi du 6 janvier 1978 modifiée de demander l’autorisation à la CNIL de recueillir ces données. C’est une autorisation et non une simple déclaration qui est nécessaire. Dans le cas présent, le recueil vise en effet des données relatives à des infractions : la procédure est dès lors plus contraignante.


La position de la CNIL est toutefois contredite par les tribunaux qui considérent quant à eux que les adresses IP ne sont pas des données personnelles :

  • La Cour d’Appel de Paris a rendu un arrêt le 27 avril 2007 aux termes duquel, le fait de relever les adresses IP n’est pas en tant que tel un traitement automatisé de données. En effet, pour la Cour d’Appel, les adresses IP ne permettent pas à elles seules d’identifier l’utilisateur d’un micro-ordinateur et de logiciel de peer to peer
  • Le Conseil d’État a rendu un arrêt le 23 mai 2007 dans lequel il a annulé les 3 décisions de la CNIL. Le Conseil d’État juge que la CNIL a entaché sa décision d’une erreur d’appréciation en « estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d’échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité poursuivie« . En effet les sociétés d’auteurs ne souhaitaient surveiller les échanges de fichiers que sur 10 000 titres musicaux alors qu’elles sont chargées de la protection des droits de plusieurs millions de titres.

La position adoptée par les deux juridictions est toutefois critiquable au regard de l’article 2 de la loi de 1978 qui dispose que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres« . On le voit sont également protégées les données indirectement personnelles comme peuvent l’être les adresses IP.

L’ensemble des autorités européennes de protection des données personnelles a rappelé dans un avis daté du 20 juin 2007 que pour elles les adresses IP sont bien des données personnelles. Le fait que le rapprochement entre l’adresse IP et les coordonnées du client puisse se faire selon une procédure simple justifie une protection de celle-ci.

En Suisse le Préposé fédéral à la protection des données et à la transparence suit la même logique que la CNIL et considère également qu’une adresse IP est une donnée personnelle et que donc la Loi fédérale sur la protection des données doit s’appliquer.

Il reste maintenant à savoir si les juridictions administrative et judiciaire vont tenir compte des remarques de la CNIL sur le caractère indirectement personnel des adresses IP et modifier leur jurisprudence.

Mise à jour du 31 janvier 2008:

Dans une affaire un arrêt (CJCE Aff. n° 275/06 – Promusicae) rendu le 29 janvier 2008 par la encore pendante devant la Cour de Justice des Communautés, l’avocat général indique dans ses conclusions que « dans la mesure où les titulaires des adresses IP peuvent être identifiés en raison du fait que le fournisseur d’accès à l’Internet a enregistré l’attribution qui leur en avait été faite, il s’agit d’ailleurs déjà, lorsque Promusicae intercepte les adresses IP, du traitement de données à caractère personnel, c’est-à-dire d’une opération qui doit être conforme aux exigences du droit de la protection des données« .

Reste à savoir si la Cour suivra les conclusions de l’avocat général sur ce point précis. La Cour :

  • décide que les directives [2000/31/CE, 2001/29/CE, 2004/48/CE, 2002/58/CE] « n’imposent pas aux États membres de prévoir, dans une situation telle que celle de l’affaire au principal, l’obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du droit d’auteur dans le cadre d’une procédure civile« .
  • exige des États que lors de la « transposition de ces directives, ils veillent à se fonder sur une interprétation de celles-ci qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire ».
  • laisse aux États le soin d’interpréter « leur droit national d’une manière conforme à ces mêmes directives, mais également de ne pas se fonder sur une interprétation de celles-ci qui entrerait en conflit avec lesdits droits fondamentaux ou avec les autres principes généraux du droit communautaire, tels que le principe de proportionnalité« .
  1. Felix Treguer
    6 mars, 2009 à 2:09

    Vive l’Europe…

  1. No trackbacks yet.
Les commentaires sont fermés.
%d blogueurs aiment cette page :