Dans son arrêt du 3 novembre 2016, la Cour de Cassation affirme qu’une adresse IP[1] doit être considérée comme entrant dans le régime des données personnelles[2] conformément aux articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Dans un monde dans lequel l’internet et les services de télécommunication sont devenus indispensables, ce constat est d’un intérêt particulier.
Déjà depuis plusieurs années, le conflit entre la protection des données personnelles d’une part et l’exploitation des nouvelles possibilités de stockage et de traitement de données générées par le monde de l’informatique d’autre part, s’est intensifié. Au-delà de faire l’objet des débats enflammés au niveau national, la protection des données personnelles sous forme informatique représente un sujet sensible au niveau européen.
Avec son arrêt, la Cour de cassation met fin à une hésitation jurisprudentielle française (I) tout en s’alignant sur une décision de la Cour de Justice de l’Union Européenne du 19 octobre 2016, dans laquelle elle aussi avait qualifié des adresses IP[3] comme étant des données personnelles[4], étant ainsi soumises aux dispositions légales relatives à la protection de ces données (II).
I. La Cour de Cassation met fin à une jurisprudence française hésitante…
Dans l’arrêt en question, le groupe LOGISNEUF avait constaté une connexion à son réseau informatique par des ordinateurs ne faisant pas partie du groupe. Les connexions avaient été effectuées en utilisant des codes d’accès réservés aux administrateurs du site internet logisneuf.com. Afin de relever l’identité des titulaires des adresses IP litigieuses, le groupe LOGISNEUF a sollicité un juge de requêtes auquel ont été transmises les adresses IP en question.
La société CABINET PETERSON, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe LOGISNEUF et à laquelle correspondent les adresses IP litigieuses, a ensuite invoqué l’illicéité de la conservation des adresses IP par le groupe LOGISNEUF. Elle soutient que cette conservation aurait dû faire l’objet d’une déclaration auprès de la CNIL conformément aux dispositions applicables aux données personnelles.
Dans son dispositif, la Cour de cassation affirme que « les adresses IP (…) sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».[5]
Par ce constat, la Cour ne casse pas seulement l’arrêt du 28 avril 2015 rendu par la Cour d’appel de Rennes, ayant considéré qu’une adresse IP ne faisait pas partie des données personnelles à ce qu’elle « se rapporte à un ordinateur et non à l’utilisateur »[6], mais elle met fin à un intense débat jurisprudentiel français.
En 2007, le Tribunal de grande instance de Saint-Brieuc avait considéré que l'adresse IP, associée au fournisseur d'accès internet (FAI), constituait un ensemble de moyens permettant de connaître le nom de l'utilisateur et que par conséquent les informations recueillies avaient la nature de données à caractère personnel.[7] Or, au cours de la même année, la Cour d’appel de Paris avait défendu la position contraire en affirmant que l’adresse IP « ne constitue en rien une donnée indirectement nominative relative à la personne, l'adresse se rapportant à une machine et non à un individu qui utilise l’ordinateur(…). »[8]
Ensuite, un an plus tard, la Cour d’appel de Rennes s’était encore opposée à la dernière position défendue par la Cour d’appel de Paris, en arguant que même « si [l’adresse IP] ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI. »[9] L’arrêt est cassé le 13 janvier 2009 sans néanmoins que la Cour de cassation se prononce explicitement sur la qualification des adresses IP.[10]
Le Conseil d’Etat, pour sa part, avait, dans une décision du 11 mars 2015, considéré que les adresses IP ainsi que les identifiants uniques représentent des données à caractère personnel et qu’ils auraient dans le cas d’espèce dû être collectées avec l’accord préalable de l’internaute.[11]
Finalement, l’arrêt du 3 novembre 2016 semble mettre fin à cette indécision jurisprudentielle en affirmant clairement le principe d’après lequel les adresses IP représentent des données personnelles.
II. … s’alignant sur une décision de la Cour de Justice de l’Union Européenne du 19 octobre 2016
Par ailleurs, le jugement rendu semble confirmer une tendance établie par la Cour de Justice de l’Union européenne (CJUE) qui a rendu un arrêt à ce sujet en octobre dernier.
A la base de cet arrêt était un litige allemand qui opposait Monsieur Patrick Breyer aux services fédéraux allemands. Monsieur Breyer s’opposait devant les juridictions allemandes « à ce que les sites Internet des services fédéraux allemands qu’il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP »). »[12] L’enregistrement de ces adresses avait été justifié comme étant une défense « contre des attaques cybernétiques et [pour] rendre possibles les poursuites pénales. »[13]
Pour trancher ce litige, la Cour fédérale de Justice allemande a fait recours à la CJUE qui devait donc se prononcer sur deux questions préjudicielles dont la première concernait explicitement la qualification des adresses IP comme étant des données personnelles :
« 1) L’article 2, sous a), de la directive 95/46 doit-il être interprété en ce sens qu’une adresse IP qui est enregistrée par un fournisseur de services [de médias en ligne] à l’occasion d’un accès à son site Internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée?»[14]
Quant à cette première question, il convient de relever la différenciation qui est mentionné dans la question entre « le fournisseur de services [de medias en ligne] »[15] d’un côté et « le fournisseur d’accès [disposant d’informations supplémentaires nécessaires pour identifier la personne concernée] »[16] de l’autre.
En effet, tandis qu’un fournisseur de services en ligne qui collecte une adresse IP ne peut pas pour autant relever l’identité exacte du titulaire de cette adresse, un fournisseur d’accès à internet (FAI) dispose des informations nécessaires à une telle identification nominale.
Lors de son jugement du 19 octobre 2016 la CJUE précise donc « qu’une adresse IP dynamique enregistrée par un (…) exploitant d’un site Internet (…) lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel, lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier. »[17]
De ce fait, la CJUE fait ressortir que ne tombe sous le régime des données personnelles uniquement l’adresse IP enregistrée par un exploitant de site qui est doté de la capacité légale d’obtenir les informations supplémentaires nécessaires à l’identification de l’internaute auquel correspond l’adresse IP.
Cette précision s’ajoute à un arrêt précédent de la CJUE, rendu le 24 novembre 2011, dans lequel la Cour statuait déjà que les adresses IP représentent « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs. » L’arrêt rendu en 2011 se bornait cependant à qualifier comme données à caractère personnel les adresses IP collectées par un fournisseur d’accès à Internet (FAI), sans pourtant se prononce sur les adresses IP collectées par des exploitants des sites internet. La différence significative entre les deux consiste en la possibilité dont dispose le FAI d’identifier directement de manière précise les utilisateurs des adresses IP. Les exploitants des pages web, quant à eux, nécessitent des informations supplémentaires (dont disposent notamment les FAI) pour pouvoir procéder à une telle identification.
Par son arrêt récent, la CJUE maintient donc son raisonnement restrictif d’après lequel une adresse IP ne fait partie des données personnelles uniquement « dès lors qu'elle permet, en conjonction avec d'autres moyens, d'identifier nominalement l'internaute. »[18]
Certes, l’arrêt rendu par la Cour de Cassation s’aligne d’une certaine manière sur cette décision rendue par la CJUE. Cet alignement reste cependant limité. Car quand bien même elle reconnait les adresses IP également comme étant des données personnelles, elle le fait avec moins de timidité. Ainsi, la Cour de cassation affirme explicitement que même « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »[19] Il n’est donc pas requis que le collecteur des données dispose de tous les éléments pour pouvoir dévoiler l’identité du titulaire de l’adresse IP, il suffit que cette identification puisse avoir lieu de manière indirecte pour affirmer que les adresses IP représentent des données personnelles susceptibles d’être conformément protégées.
L’arrêt de la Cour de cassation peut ainsi être considéré comme étant plus protecteur pour les internautes que l’est actuellement la jurisprudence européenne.
[1] Adresse IP : Une adresse IP (Internet Protocol) est un numéro d'identification qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l'Internet Protocol.
[2] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016
[3] Cet arrêt ne se réfère pourtant uniquement aux adresses IP dynamiques : Une adresse IP dynamique est une adresse IP qui change lors de chaque nouvelle connexion à Internet. À la différence des adresses IP statiques, les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Ainsi, seul le fournisseur d’accès à Internet dispose des informations nécessaires pour identifier la personne physique derrière l’adresse IP.
[4] EUR-Lex ; C‑582/14 ARRÊT DE LA COUR (deuxième chambre), 19 octobre 2016
[5] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016.
[6] CA Rennes, Ch. Com., 28 avril 2015, n˚ 14/05 708
[7] Tribunal de grande instance Saint Brieuc, 6 Septembre 2007
[8] CA Paris, Chambre correctionnelle 13, section A, 15 Mai 2007, n° 06/01954
[9] CA Rennes, 3ème Ch., 22 mai 2008, n° 07/01495
[10] Cour de Cassation, chambre criminelle, 13 janvier 2009, n° de pourvoi: 08-84088
[11] Conseil d'Etat, Sous-sections 10 et 9 réunies, 11 Mars 2015, n° 368624
[12] Suivre le lien
[13] Idem
[14] EUR-Lex ; C‑582/14 ARRÊT DE LA COUR (deuxième chambre), 19 octobre 2016
[15] Idem
[16] Idem
[17] Idem
[18] Lire l'article
[19] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016
Comments