Autour du statut juridique de l’adresse IP

L’Assemblée nationale a publiée un rapport d’information présenté par Mm. Patrick Bloche et Patrice Verchère « sur les droits de l’individu dans la révolution numérique » concernant des nombreuses thématiques relatives au numérique en France et l’Union européenne.

Ce rapport d’information formule plusieurs orientations sur les problématiques liées à la protection de la vie privée et des données personnels dont l’importance de clarifier le statut juridique de l’adresse IP.

Voici quelques remarques posées sur le sujet:

Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP (Internet Protocol), qui utilise des adresses numériques, appelées adresses IP. Dans sa version 4, ces adresses sont composées de quatre nombres entiers compris chacun entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Chaque ordinateur relié à un réseau dispose d’une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau. De même, chaque site Internet dispose d’une adresse IP, qui peut être convertie en nom de domaine.

L’adresse IP est-elle une donnée à caractère personnel au sens de l’article 2 de la loi du 6 janvier 1978, à savoir une information « relative à une personne identifiée ou identifiable » ?

La réponse à cette question nécessite au préalable de savoir s’il est possible techniquement d’identifier un individu précis à partir de la seule adresse IP.

Sur un plan technique, les techniciens qui ont collaboré avec la mission ont signalé que l’adresse IP ne permettait pas d’identifier avec certitude un internaute. « En premier lieu, la même personne qui se connecte depuis des endroits différents a des adresses IP différentes.  Il en va de même dans le cas de deux connexions successives au même endroit, dès lors que ces adresses sont attribuées de façon dynamique et temporaire – pour la durée d’une connexion ou d’une journée – par un fournisseur d’accès. L’adresse est certes, à un moment donné, unique, mais elle peut varier au cours du temps pour un même individu.

En second lieu, s’il s’agit d’une adresse IP privée à laquelle on se connecte depuis un lieu public – par exemple dans un café –, il n’y a alors aucun moyen d’identifier l’internaute. Il en va de même pour les réseaux privés familiaux. »

L’adresse IP n’est donc pas un moyen fiable et efficace pour identifier les internautes et il ne semble pas exister de technique spécifique qui rendrait possible une telle identification.

Compte tenu des contraintes techniques liées à l’identification d’un individu à travers de l’adresse IP, le juge judiciaire français a estimé que l’adresse IP ne pouvait pas être considérée comme une donnée personnelle, dans la mesure où « elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (Cour d’appel de Paris, 13e chambre, 15 mai 2007) ne permettant « pas d’identifier le ou les personnes qui ont utilisé cet ordinateur » (Cour d’appel de Paris, 13e chambre, 27 avril 2007)

Le juge administratif français (CE, 23 mai 2007, SACEM et autres) et le juge européen (CJCE, 29 janvier 2008, Promusicae, dans une affaire relative à la lutte contre le piratage) ont considéré que l’adresse IP était une donnée personnelle garantie et protégée par la loi du 6 janvier 1978 comme par la directive du 24 octobre 1995. Cette jurisprudence est conforme, d’une part, à l’avis rendu par le G29, le 20 juin 2007, dans lequel il rappelle que l’adresse IP attribuée à un internaute lors de ses communications doit être regardée comme une donnée à caractère personnel, ainsi que, d’autre part, à l’article 2 de la directive du 15 mars 2006 qui dispose désormais que les données à caractère personnel comprennent les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur, incluant à ce titre l’adresse IP.

Face à cette situation marquée par des évolutions techniques à venir et un cadre juridique qui reste à stabiliser, le rapport a jugé important que la protection des données personnelles liées à l’adresse IP soit assurée,  ainsi qu’une clarification du statut juridique de l’adresse IP (Orientation n° 18).

Au-delà du statut juridique de l’adresse IP, se pose la question de l’anonymisation et de la suppression des personnelles liées à cette adresse. En mai 2010, le G29 a demandé à Google, Microsoft et Yahoo de rapidement vérifier la façon dont ils préservent l’anonymat des internautes.

La durée de conservation des données personnelles liées à l’adresse IP sur Internet est variable : 9 mois pour Google, 3 mois pour Yahoo ! Microsoft a décidé de suivre les recommandations du G29 en détruisant, après 6 mois de conservation, les références aux adresses IP des utilisateurs de ses services. Microsoft procède également à une anonymisation complète de ces données, « jusqu’au dernier octet » pour rendre impossible toute reconstitution de l’adresse par rétro-ingénierie.

Le rapport consacre alors son Orientation n° 19 à la destruction et l’anonymisation complètes des données par les fournisseurs de services après six mois.

Advertisements

, , , , , ,

  1. #1 by Adresse IP on November 29, 2013 - 23:50

    En tout cas on n’a aucun doute de la bonne volonté de coopération de Goggle, Yahoo, Bing… avec les agences gouvernementales, d’autant plus qu’elles se font grassement rémunérer pour le “service”. La protection des données personnelles, ça ne pèse pas grand chose à côté de ça, ce ne sont que des mots, du vent, des données numériques qui valent aussi de l’or.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: