Données personnelles : une adresse IP même dynamique peut constituer une donnée à caractère personnel

La Cour de justice de l'Union européenne a récemment rendu un arrêt éclairant sur le contour du caractère personnel de l'adresse IP d'un internaute pour l'éditeur du site que celui-ci consulte.

Faits et procédure

Un internaute allemand s'est opposé devant la justice de son pays à ce que des sites fédéraux puissent collecter et conserver son adresse de protocole internet (dite adresse IP). Les services fédéraux enregistrent de telles données, couplées aux dates et heures de connexion pour se prémunir des attaques cybernétiques et pouvoir éventuellement lancer efficacement des poursuites judiciaires.
L'affaire est allée jusque devant la Cour de justice fédérale allemande qui a — désormais classiquement — posé à la CJUE une question préjudicielle avant de trancher le litige : une adresse IP "dynamique" constitue-t-elle une donnée à caractère personnel au sens de la législation européenne (Directive 95/46 CE, toujours actuelle avant l'entrée en vigueur du Règlement général sur la protection des données en 2018).

Une question subsidiaire posée par la Cour fédérale était de savoir si un exploitant de site est fondé à enregistrer et à conserver de telles données dans le but de garantir la capacité générale de fonctionnement de son site.

Notion d'adresse IP dynamique

L'adresse Internet Protocol ou IP est l'adresse, composée d'une série de chiffres, qui est attribuée à tout "équipement terminal" connecté au réseau (serveur, ordinateur, mais aussi tablette ou téléphone intelligent se connectant au réseau). Il arrive fréquemment que ces adresses, concernant les clients d'un fournisseur d'accès, ne soient pas permanentes et fixées une fois pour toutes, mais attribuées à chaque session de connexion par le fournisseur. C'est ce qu'on nomme adresse IP dynamique.
En conséquence, un même internaute ne se connecte par forcément sous la même adresse IP à un service en ligne, comme par exemple à ce site fédéral allemand mis en cause. La question, à la fois technique et juridique méritait donc d'être posée.

L'arrêt de la CJUE

Sur la première question

La Cour répond d'abord "qu’une adresse IP dynamique enregistrée par un «fournisseur de services de médias en ligne» (c’est-à-dire par l’exploitant d’un site Internet, en l’occurrence les services fédéraux allemands) lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel, lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier".
On voit donc qu'il n'y a pas d'analyse univoque d'une adresse IP dynamique dans l'abstrait, mais bien une analyse qui tient compte des circonstances : il y a donnée à caractère personnel au sens de la directive dès lors que l'adresse IP dynamique permet à celui qui l'a collectée de faire identifier la personne. On retrouve ainsi la notion de personne "identifiable", qui est plus large qu'identifiée, de la directive (article 2 al.2 de notre loi du 6 janvier 1978 modifiée).
La Cour note à ce sujet qu'il existe en Allemagne des moyens de faire identifier un internaute à partir de son adresse IP dynamique par son fournisseur d'accès, en transitant par les autorités compétentes (injonction judiciaire comme en France).

Sur la seconde question

La Cour rappelle ensuite que la directive européenne prévoit qu'en l'absence de consentement de la personne, les données personnelles la concernant ne peuvent traitées et exploitées que si ce traitement est "nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée" (règle qu'on retrouve dans à l'article 7 de notre loi de 1978).

La question se pose dès lors de savoir si le souci de se prémunir contre des cyber-attaques du site et de se donner les moyens d'identifier a posteriori un internaute pour lancer des poursuites contre lui constitue bien cet "intérêt légitime" l'emportant sur les droits personnels de l'individu.

Pour répondre à cette question, la Cour examine la réglementation allemande, constatant que celle-ci est plus restrictive que la directive, limitant les cas de traitement licite des données sans le consentement de l'intéressé aux seules nécessités de l'accès au service en ligne et de son éventuelle facturation.

Elle émet donc l'avis selon lequel, en dépit de la législation allemande, un site internet peut être considéré comme ayant un intérêt légitime — primant sur la protection des droits individuels de l'internaute — à conserver de telles données en vue de se prémunir contre les cyber-attaques et de pouvoir identifier les auteurs de celles-ci.

En résumé :

  • L'adresse IP dynamique doit être considérée comme une donnée à caractère personnel dès l'instant que le responsable du traitement a la possibilité de faire identifier la personne à partir de cette adresse (personne identifiable) ;
  • La traitement et la conservation de cette donnée sont justifiés par l'intérêt légitime que poursuit un site internet de se prémunir contre les cyber-attaques et de pouvoir identifier ses éventuels auteurs.

En savoir plus

Communiqué de presse de la CJUE du 19 octobre 2016 sur son site Curia (pdf, 210 ko) :
http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112fr.pdf

L'arrêt de la Cour lui-même sur EUR-Lex :
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62014CJ0582

Didier FROCHOT