Adresse IP : donnée à caractère personnel ou pas ?

La question de définir si une adresse IP (adresse de connexion internet d'un ordinateur) constitue une donnée à caractère personnel ou non a longuement été débattue en jurisprudence voici quelques années déjà et il semblait que la question fût tranchée.
Notre attention est à nouveau portée sur cette question par un intéressant article de synthèse publié par Zahra Reqba, docteur en droit, sur le site du Village de la Justice le 24 septembre dernier.
Ce texte rend compte de toutes les positions tant des diverses décisions de justice que de la Cnil et du G29 : "L’adresse IP est-elle une donnée à caractère personnel ?" :
www.village-justice.com/articles/adresse-est-elle-une-donnee,20484.html

Jurisprudences divergentes versus analyse de la Cnil et du G29

L'auteur rappelle en effet que si la jurisprudence a été divisée sur cette question, la Cnil et le G29 ont très tôt affirmé que, toute donnée permettant d'identifier une personne étant à caractère personnel, l'adresse IP devait entrer dans cette catégorie. Ce type de raisonnement est volontairement favorable à la protection d'un maximum de personnes physiques puisque, dès lors que la donnée est personnelle, l'arsenal protecteur de la loi s'applique. Et ce raisonnement ne tranche pas avec d'autres solutions retenues par les mêmes autorités concernant notamment les numéros minéralogiques ou les numéros de téléphone. Dans tous les cas de figure, rien ne permet d'affirmer que la personne rattachée à la donnée est auteur d'un acte, mais simplement responsable (du véhicule, de l'abonnement téléphonique ou internet).

Notion de personne "identifiable"

L'ambiguïté semblerait venir d'une définition imprécise de la notion de personne identifiable.
L'alinéa 2 de l'actuel article 2 de la loi du 6 janvier 1978 Informatique, fichiers et libertés dispose qu'il s'agit de "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres".

Vers une plus grande précision terminologique  ?

L'auteur de l'article cité appelle donc à plus de précision dans l'avenir sur la définition de la notion de donnée à caractère personnel. Et d'en appeler au futur Règlement européen sur la protection des données à caractère personnel.
Dans sa rédaction provisoire, le règlement en question précise un petit peu plus les choses (article 4, 1 : il est question d'une "personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".
Malgré la précision, il est encore possible de dénicher des ambiguïtés dans cette définition qui trouveront tôt ou tard des candidats à leur constatation judiciaire pour échapper à la loi…

Une autre approche moins ambiguë

Peut-être en fait que le problème n'est pas là où on le cherche, un peu comme on a cherché pendant des mois la "qualification juridique" du lien hypertexte, pour découvrir que la question était sans objet et qu'en outre la réponse, de bon sens, était ailleurs.
Nous l'avons effleuré d'un mot ci-dessus, une donnée peut être à caractère personnel sans que pour autant elle constitue la signature non équivoque d'un acte. C'est semble-t-il la raison pour laquelle certains juges avaient dénié la qualification de donnée personnelle à l'adresse IP, en ce qu'elle ne permettait pas d'affirmer que le détenteur de l'adresse soit l'auteur des faits incriminés (en l'occurrence téléchargement illégal). C'est, pour le coup, créer un autre ambiguïté et exiger qu'une simple donnée personnelle soit assimilée à la signature certaine d'un acte.
Comme nous le suggérions plus haut, des données personnelles telles que le numéro minéralogique ou de téléphone ou l'adresse IP ne font que désigner une personne et les relier à la responsabilité sur un véhicule, un abonnement téléphonique ou internet. Mais cette détermination du responsable ne prouve en rien qu'il en ait été l'usager effectif. C'est si vrai que le législateur de la regrettable loi dite Hadopi n'a pu instituer qu'un délit de négligence de surveillance de sa connexion internet et non une quelconque présomption de commission du délit de contrefaçon par voie de téléchargement…

Affiner l'analyse juridique…

De sorte que la question à creuser serait de savoir quel poids juridique représente une donnée à caractère personnel. Pour nous, elle ne fait qu'identifier un personne physique, mais en rien l'accuser d'un acte quelconque : or en droit, à notre connaissance, on ne juge pas les personnes pour ce qu'elles sont, mais pour leurs actes.

En d'autres termes, en matière de recherche de l'auteur d'une infraction pénale, la donnée personnelle ne peut être qu'un des éléments d'un faisceau de preuves convergentes, parmi d'autres telles que des indices, présomptions et témoignages.

En pratique…

Revenons à des considérations plus pragmatiques, utiles au praticien : l'analyse juridique de la Cnil et du G29 nous paraissent donc tout à fait solides, pratiquement viables et de surcroît nullement incompatibles avec certaines décisions de justice apparemment contradictoires.

Didier FROCHOT