Posts Tagged données personnelles

Autour du statut juridique de l’adresse IP

L’Assemblée nationale a publiée un rapport d’information présenté par Mm. Patrick Bloche et Patrice Verchère « sur les droits de l’individu dans la révolution numérique » concernant des nombreuses thématiques relatives au numérique en France et l’Union européenne.

Ce rapport d’information formule plusieurs orientations sur les problématiques liées à la protection de la vie privée et des données personnels dont l’importance de clarifier le statut juridique de l’adresse IP.

Voici quelques remarques posées sur le sujet:

Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP (Internet Protocol), qui utilise des adresses numériques, appelées adresses IP. Dans sa version 4, ces adresses sont composées de quatre nombres entiers compris chacun entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Chaque ordinateur relié à un réseau dispose d’une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau. De même, chaque site Internet dispose d’une adresse IP, qui peut être convertie en nom de domaine.

L’adresse IP est-elle une donnée à caractère personnel au sens de l’article 2 de la loi du 6 janvier 1978, à savoir une information « relative à une personne identifiée ou identifiable » ?

La réponse à cette question nécessite au préalable de savoir s’il est possible techniquement d’identifier un individu précis à partir de la seule adresse IP.

Sur un plan technique, les techniciens qui ont collaboré avec la mission ont signalé que l’adresse IP ne permettait pas d’identifier avec certitude un internaute. « En premier lieu, la même personne qui se connecte depuis des endroits différents a des adresses IP différentes.  Il en va de même dans le cas de deux connexions successives au même endroit, dès lors que ces adresses sont attribuées de façon dynamique et temporaire – pour la durée d’une connexion ou d’une journée – par un fournisseur d’accès. L’adresse est certes, à un moment donné, unique, mais elle peut varier au cours du temps pour un même individu.

En second lieu, s’il s’agit d’une adresse IP privée à laquelle on se connecte depuis un lieu public – par exemple dans un café –, il n’y a alors aucun moyen d’identifier l’internaute. Il en va de même pour les réseaux privés familiaux. »

L’adresse IP n’est donc pas un moyen fiable et efficace pour identifier les internautes et il ne semble pas exister de technique spécifique qui rendrait possible une telle identification.

Compte tenu des contraintes techniques liées à l’identification d’un individu à travers de l’adresse IP, le juge judiciaire français a estimé que l’adresse IP ne pouvait pas être considérée comme une donnée personnelle, dans la mesure où « elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (Cour d’appel de Paris, 13e chambre, 15 mai 2007) ne permettant « pas d’identifier le ou les personnes qui ont utilisé cet ordinateur » (Cour d’appel de Paris, 13e chambre, 27 avril 2007)

Le juge administratif français (CE, 23 mai 2007, SACEM et autres) et le juge européen (CJCE, 29 janvier 2008, Promusicae, dans une affaire relative à la lutte contre le piratage) ont considéré que l’adresse IP était une donnée personnelle garantie et protégée par la loi du 6 janvier 1978 comme par la directive du 24 octobre 1995. Cette jurisprudence est conforme, d’une part, à l’avis rendu par le G29, le 20 juin 2007, dans lequel il rappelle que l’adresse IP attribuée à un internaute lors de ses communications doit être regardée comme une donnée à caractère personnel, ainsi que, d’autre part, à l’article 2 de la directive du 15 mars 2006 qui dispose désormais que les données à caractère personnel comprennent les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur, incluant à ce titre l’adresse IP.

Face à cette situation marquée par des évolutions techniques à venir et un cadre juridique qui reste à stabiliser, le rapport a jugé important que la protection des données personnelles liées à l’adresse IP soit assurée,  ainsi qu’une clarification du statut juridique de l’adresse IP (Orientation n° 18).

Au-delà du statut juridique de l’adresse IP, se pose la question de l’anonymisation et de la suppression des personnelles liées à cette adresse. En mai 2010, le G29 a demandé à Google, Microsoft et Yahoo de rapidement vérifier la façon dont ils préservent l’anonymat des internautes.

La durée de conservation des données personnelles liées à l’adresse IP sur Internet est variable : 9 mois pour Google, 3 mois pour Yahoo ! Microsoft a décidé de suivre les recommandations du G29 en détruisant, après 6 mois de conservation, les références aux adresses IP des utilisateurs de ses services. Microsoft procède également à une anonymisation complète de ces données, « jusqu’au dernier octet » pour rendre impossible toute reconstitution de l’adresse par rétro-ingénierie.

Le rapport consacre alors son Orientation n° 19 à la destruction et l’anonymisation complètes des données par les fournisseurs de services après six mois.

Advertisements

, , , , , ,

1 Comment