Dans un communiqué du 2 août dernier, la CNIL s'inquiète de deux décisions de la Cour d'appel de Paris considérant que l'adresse IP n'est pas une donnée à caractère personnel.
Dans deux arrêts récents, relatifs à des actes de contrefaçon commis à l'aide de logiciels permettant la mise à disposition de fichiers musicaux sur internet, la cour d'appel de Paris a considéré que les adresses IP collectées à l'occasion de la recherche et de la constatation des actes de contrefaçon sur internet ne permettent pas d'identifier, même indirectement, des personnes physiques et que, dès lors, elles ne constituent pas des données à caractère personnel..
Cette analyse remet profondément en cause la notion de donnée à caractère personnel qui est très large. En effet, l'article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à des éléments qui lui sont propres. Ce qui est le cas d'un numéro de plaque d'immatriculation de véhicule, d'un numéro de téléphone ou d'une adresse IP.
L'ensemble des autorités de protection des données des Etats membres de l'Union européenne a d'ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l'adresse IP attribuée à un internaute lors des ses communications constituait une donnée à caractère personnel.
La CNIL demande donc que soit examinée la possibilité d'intenter un pourvoi en cassation dans l'intérêt de la loi à l'encontre de ces deux arrêts.
Source : communiqué de la CNIL du 2/8/07.
L'été a décidément été riche d'interventions de la CNIL...
Et cette autorité administrative indépendante n'est pas la seule à s'émouvoir de ces décisions. Nombreux sont les juristes spécialisés en droit de l'information à tenter de comprendre quelle torsion on peut appliquer à la notion de donnée à caractère personnelle au nom de la recherche d'infractions pénales.
De notre point de vue, une telle nécessité d'ordre public (respect du droit pénal) ne devrait pas entraîner une définition à géométire variable des données personnelles. Il serait de beaucoup préférable de permettre aux autorités compétentes de passer outre la protection de données que tout le monde reconnaîtrait à caractère personnel, pour les seuls besoins de la constatation d'infractions pénales, avec autorisation de la CNIL à l'appui.
Les deux arrêts de la Cour d'appel de Paris cités datent respectivement du 27 avril et du 15 mai.
Ils sont publiés sur le Forum des droits sur l'Internet :
27 avril 2007 : www.foruminternet.org/specialistes/veille-juridique/jurisprudence/...
15 mai 2007 : www.foruminternet.org/documents/jurisprudence/lire...