Selon l’article 2 alinéa 2 de la loi du 6 janvier 1978, « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne« .

UNE ADRESSE IP (DYNAMIQUE OU NON) EST UNE DONNEE PERSONNELLE

Depuis 2007, la position de la CNIL est très clairement établie. L’adresse IP est une donnée personnelle au même titre qu’une plaque d’immatriculation ou encore d’un numéro de téléphone. La CNIL s’était exprimée le 2 août 2007 suite à deux arrêts de la cour d’appel de Paris qui avaient considéré que les adresses IP ne constituaient pas des données personnelles.

Quant à la Cour de Justice de l’Union Européenne, c’est depuis 2001 que cette dernière considère qu’une adresse IP est une donnée personnelle (CJUE, 24 nov. 2011, Scarlet Extended SA / Société Belge des Auteurs, C-70/10).

Enfin, depuis le 3 novembre 2016, la 1ère chambre civile de la Cour de cassation a tranché cette question en affirmant qu’une adresse IP constituait une donnée personnelle. Dans cette affaire, une société ayant une activité en lien avec l’immobilier neuf avait constaté que des personnes extérieures s’étaient connectées à son réseau informatique interne en utilisant les codes d’accès des administrateurs du site Internet de ladite société.

Cette société n’ayant que les adresses IP, elle a saisi le juge des requêtes pour obtenir une ordonnance faisant injonction à plusieurs fournisseurs d’accès Internet (FAI) de communiquer l’identité des titulaires des adresses IP collectées.

Il s’est avéré que lesdites adresses IP appartenaient à une société concurrente.

Cette société concurrente a, alors saisi, le Président du tribunal de commerce afin d’obtenir la rétractation de l’ordonnance. Pour ce faire, elle faisait valoir qu’une adresse IP était une donnée personnelle et qu’ainsi, à défaut, de déclaration du traitement de ces données personnelles auprès de la CNIL, la société ayant collecté les adresses IP ne pouvait obtenir lesdites informations et les utiliser, a fortiori.

La Cour de cassation a suivi la société concurrente en se fondant sur l’article 2 alinéa 2 de la loi du 6 janvier 1978 et en jugeant que « les adresses IP (…) qui permettent d’identifier indirectement une personne physique, sont des données personnelles... »

Cet arrêt s’inscrit dans la lignée d’un arrêt récent de la Cour de Justice de l’Union Européenne du 19 octobre 2016 concernant cette fois-ci une adresse IP dynamique. Contrairement à l’affaire Scarlet Extended, où il était question de la conservation des adresses IP par un fournisseur d’accès, dans l’affaire du 19 octobre 2016, il s’agissait d’un site qui stockait les adresses IP mais qui ne disposait pas des éléments d’identification des titulaires.

La CJUE, dans son considérant 42 juge que conformément au considérant 26 de la directive 95/46 « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement soit par une autre personne, pour identifier ladite personne« .

Ainsi, le fait que les données d’identification des adresses IP ne soient pas détenues par le site qui stocke lesdites adresses IP n’enlèvent pas aux adresses IP leur statut de données personnelles (CJUE, 19 oct. 2016, C-582/14).

CONSEQUENCES DE LA QUALIFICATION DES ADRESSES IP EN DONNEES PERSONNELLES- NECESSITE DE FAIRE UNE DECLARATION AUPRES DE LA CNIL

L’article 22-I de la loi du 6 janvier 1978 dispose que : « I. – A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration  auprès de la Commission nationale de l’Informatique et des libertés« .

Or, selon l’article 2 alinéa 3 de la loi du 6 janvier 1978, « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction« .

La collecte des adresses IP se connectant au réseau informatique interne de ladite société constituait bien un traitement de données personnelles et aurait donc du faire l’objet d’une déclaration auprès de la CNIL..

A défaut de déclaration, le traitement des données personnelles est illicite et la société ne pouvait s’en servir et sollicitait une ordonnance sur la base de ces données.

Cass. 1ère civ., 3 nov. 2016, n° pourvoi 15-22.595

03.01.2017