Posts Tagged privacy

Autour du statut juridique de l’adresse IP

L’Assemblée nationale a publiée un rapport d’information présenté par Mm. Patrick Bloche et Patrice Verchère « sur les droits de l’individu dans la révolution numérique » concernant des nombreuses thématiques relatives au numérique en France et l’Union européenne.

Ce rapport d’information formule plusieurs orientations sur les problématiques liées à la protection de la vie privée et des données personnels dont l’importance de clarifier le statut juridique de l’adresse IP.

Voici quelques remarques posées sur le sujet:

Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP (Internet Protocol), qui utilise des adresses numériques, appelées adresses IP. Dans sa version 4, ces adresses sont composées de quatre nombres entiers compris chacun entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Chaque ordinateur relié à un réseau dispose d’une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau. De même, chaque site Internet dispose d’une adresse IP, qui peut être convertie en nom de domaine.

L’adresse IP est-elle une donnée à caractère personnel au sens de l’article 2 de la loi du 6 janvier 1978, à savoir une information « relative à une personne identifiée ou identifiable » ?

La réponse à cette question nécessite au préalable de savoir s’il est possible techniquement d’identifier un individu précis à partir de la seule adresse IP.

Sur un plan technique, les techniciens qui ont collaboré avec la mission ont signalé que l’adresse IP ne permettait pas d’identifier avec certitude un internaute. « En premier lieu, la même personne qui se connecte depuis des endroits différents a des adresses IP différentes.  Il en va de même dans le cas de deux connexions successives au même endroit, dès lors que ces adresses sont attribuées de façon dynamique et temporaire – pour la durée d’une connexion ou d’une journée – par un fournisseur d’accès. L’adresse est certes, à un moment donné, unique, mais elle peut varier au cours du temps pour un même individu.

En second lieu, s’il s’agit d’une adresse IP privée à laquelle on se connecte depuis un lieu public – par exemple dans un café –, il n’y a alors aucun moyen d’identifier l’internaute. Il en va de même pour les réseaux privés familiaux. »

L’adresse IP n’est donc pas un moyen fiable et efficace pour identifier les internautes et il ne semble pas exister de technique spécifique qui rendrait possible une telle identification.

Compte tenu des contraintes techniques liées à l’identification d’un individu à travers de l’adresse IP, le juge judiciaire français a estimé que l’adresse IP ne pouvait pas être considérée comme une donnée personnelle, dans la mesure où « elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (Cour d’appel de Paris, 13e chambre, 15 mai 2007) ne permettant « pas d’identifier le ou les personnes qui ont utilisé cet ordinateur » (Cour d’appel de Paris, 13e chambre, 27 avril 2007)

Le juge administratif français (CE, 23 mai 2007, SACEM et autres) et le juge européen (CJCE, 29 janvier 2008, Promusicae, dans une affaire relative à la lutte contre le piratage) ont considéré que l’adresse IP était une donnée personnelle garantie et protégée par la loi du 6 janvier 1978 comme par la directive du 24 octobre 1995. Cette jurisprudence est conforme, d’une part, à l’avis rendu par le G29, le 20 juin 2007, dans lequel il rappelle que l’adresse IP attribuée à un internaute lors de ses communications doit être regardée comme une donnée à caractère personnel, ainsi que, d’autre part, à l’article 2 de la directive du 15 mars 2006 qui dispose désormais que les données à caractère personnel comprennent les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur, incluant à ce titre l’adresse IP.

Face à cette situation marquée par des évolutions techniques à venir et un cadre juridique qui reste à stabiliser, le rapport a jugé important que la protection des données personnelles liées à l’adresse IP soit assurée,  ainsi qu’une clarification du statut juridique de l’adresse IP (Orientation n° 18).

Au-delà du statut juridique de l’adresse IP, se pose la question de l’anonymisation et de la suppression des personnelles liées à cette adresse. En mai 2010, le G29 a demandé à Google, Microsoft et Yahoo de rapidement vérifier la façon dont ils préservent l’anonymat des internautes.

La durée de conservation des données personnelles liées à l’adresse IP sur Internet est variable : 9 mois pour Google, 3 mois pour Yahoo ! Microsoft a décidé de suivre les recommandations du G29 en détruisant, après 6 mois de conservation, les références aux adresses IP des utilisateurs de ses services. Microsoft procède également à une anonymisation complète de ces données, « jusqu’au dernier octet » pour rendre impossible toute reconstitution de l’adresse par rétro-ingénierie.

Le rapport consacre alors son Orientation n° 19 à la destruction et l’anonymisation complètes des données par les fournisseurs de services après six mois.

, , , , , ,

1 Comment

More on smartphones and the use of location information

I’m an optimist, I believe people are smart.  And some people want to share more data than some other people do.  Ask them.  Ask them every time. Make them tell you to stop asking them if they get tired of you asking them.  Let them know precisely what you’re going to do with their data. That’s what we think (Steve Jobs, D8 Conference, June 1, 2010).

In order to give the big picture, it must be said that not only the iPhone is tracking the moves of its users, but Windows phones do it too, and Android phones as well, with a couple of particularities.

In short, phones store users’ location data in hidden files.  The concern was centered on the reason why this data was being retrieved, and its ultimate use.  Apparently, in order to make GPS and location services work faster, the phone would use the location data stored in the phone in previous sessions following information from cell towers.  Thus, the device will use this information to get a rough estimate of its location until more real-time data is available.

The key factor in this situation is time. In the case of the Android phones, after 12 hours (for cellular data) or 48 hours (for Wi-Fi data) the information is erased and replaced by new locations. This implies around 50 entries, whereas the Apple device would store around 13,000 data entries.

It is important that some other opinions are heard.  An interesting analysis has been made by A. Hesseldahl on the practical implications of the phenomenon of location and tracking position data retrieval.

Some developers and specialists (Gruber on Ihnatko) have stated that the only problem Apple would be facing is the amount of data the device is storing, as there would not be a need to keep such a long log of locations in order to facilitate the speed of certain applications. Another issue is if the data is being diverted to third parties, which, so far, has not yet been answered.

On a different note, we must remember that lately users have been quite keen on sharing locations through applications (Latitude, Facebook places, Foursquare). Nevertheless, these recent developments show that consumers are somewhat concerned (52-59%) about apps and their privacy.

It is possible that this controversy will be solved by correcting this bug via an update of  iOS (Apple) and the rest of the mobile devices’ operative systems. What can be considered a milestone for all of this controversy is the fact that users have shown concern on knowing how smartphones handle their personal information.

Pour aller plus loin:

http://www.elpais.com/articulo/Pantallas/evitar/le/localicen/elpepirtv/20110426elpepirtv_2/Tes

http://ihnatko.com/2011/04/20/hey-wonderful-theres-a-location-tracking-file-on-my-iphone/

http://thenextweb.com/google/2011/04/21/its-not-just-the-iphone-android-stores-your-location-data-too/

http://newenterprise.allthingsd.com/20110421/5301/

http://www.elpais.com/articulo/tecnologia/Microsoft/recoge/ubicacion/duenos/Windows/Phone/elpeputec/20110426elpeputec_4/Tes

http://feedproxy.google.com/~r/OmMalik/~3/AgQFy90R-zQ/

, ,

Leave a comment