L’adresse IP est une donnée à caractère personnel et sa collecte suppose une déclaration préalable à la CNIL. C’est ce qu’a estimé la Cour de cassation le 3 novembre 2016.
L’adresse IP : une donnée à caractère personnel ?
Chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol se voit attribuer un numéro d’identification : l’adresse IP. Ainsi, chaque ordinateur connecté à internet est donc identifié par un numéro unique.
L’article 2 de loi du 6 janvier 1978 définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Or, l’adresse IP peut indirectement permettre l’identification de l’utilisateur d’un ordinateur qui s’est connecté à un réseau informatique ou à internet. C’est notamment le cas lorsque l’adresse IP enregistrée est recoupée avec les informations nominatives dont disposent les fournisseurs d’accès internet sur leurs clients.
Déclaration à la CNIL
De fait, la collecte, le traitement, l’enregistrement, la consultation, ou encore la conservation sous forme de fichier des adresses IP constituent un traitement de données à caractère personnel.
Ces opérations sont donc soumises aux dispositions prévues pour protéger les personnes physiques.
Elles supposent, en amont de tout traitement, une déclaration à la CNIL du fichier de données.
Fin du débat sur la nature juridique de l’adresse IP
L’arrêt de la Cour de cassation du 3 novembre 2016 met fin à un long débat juridique. Il lève le doute qui planait sur la qualification juridique de l’adresse IP en établissant qu’elle constitue une donnée à caractère personnel.
Les fluctuations de la jurisprudence sur cette question avaient d’ailleurs été rappelées dans une réponse ministérielle publiée au Journal Officiel du 10 novembre 2015.
Cette position de la Cour de cassation se rapproche de celle adoptée par la Cour de Justice de l’Union Européenne dans l’arrêt Bayer du 19 octobre 2016.
Quelles conséquences pour les entreprises ?
Cet arrêt de la Cour interroge : dans la pratique, quelles sont les conséquences de cette qualification de l’adresse IP ?
En effet, de nombreux sites internet enregistrent automatiquement les informations d’accès à leurs serveurs, dont les adresses IP des appareils qui s’y sont connectés. Ces données servent, entre autres, à générer des statistiques de fréquentation.
De même, dans un souci de sécurité et de traçabilité, de nombreux réseaux informatiques collectent les adresses IP des appareils s’y étant connectés.
Chaque responsable de site internet doit-il effectuer une déclaration auprès de la CNIL ? De même, chaque dirigeant dont l’entreprise est dotée d’un réseau informatique doit-il demander une autorisation avant sa mise en service ?
C’est, en tous les cas, la position de la CNIL depuis 2007 qui est confortée par cet arrêt de la Cour de cassation.
Ubiconseil :
Cette position de la Cour de cassation est particulièrement importante. En effet, elle peut avoir un fort impact sur les obligations légales des entreprises.
La qualification de l’adresse IP en tant que donnée personnelle concerne donc toutes les entreprises qui disposent d’un blog, d’un site internet, ou d’un intranet qui collecte les adresses IP de ses utilisateurs.
Votre prestataire informatique peut vous éclairer sur les données qui sont collectées lors des connexions au réseau informatique et au site internet de votre entreprise. N’hésitez pas à l’interroger.
Si l’adresse IP de chaque appareil qui s’est connecté à votre réseau ou votre site internet est collectée, assurez-vous d’avoir préalablement déclaré votre fichier à la CNIL. Veillez également à remplir vos obligations en matière d’information des utilisateurs. Prudence est mère de sûreté informatique !
Les experts Ubiconseil peuvent vous accompagner et vous conseiller quant à vos obligations légales en matière de systèmes d’information et à la sécurité de vos systèmes informatiques. N’hésitez pas à nous contacter.
Pour en savoir plus :
Arrêt n° 1184 du 3 novembre 2016 (15-22.595) – Cour de cassation – Première chambre civile
Loi n° 78-17 du 6 janvier 1978
CJUE – Arrêt « Scarlet » du 24 novembre 2011 – ECLI:EU:C:2011:771
CJUE – Arrêt « Bayer » du 16 octobre 2016 – ECLI:EU:C:2016:779
« L’adresse IP est une donnée à caractère personnel pour l’ensemble des CNIL européennes ». 02.08.2016. cnil.fr
Partagez cet article