L’adresse IP : une donnée à caractère personnel ? Une question discutée par la jurisprudence, par Blandine Poidevin et Viviane Gelles, Avocats

En application de l’article 2 de la loi Informatique et Libertés, constitue une « donnée à caractère personnel » « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

La question de la qualification de l’adresse IP en tant que « donnée à caractère personnel » au sens de la loi Informatique et Libertés du 6 janvier 1978 est déterminante, à l’heure de rechercher et de constater des actes de contrefaçon commis sur Internet par le biais, par exemple, de logiciels permettant la mise à disposition de fichiers musicaux.

L’adresse IP fait en effet partie des données de trafic conservées pendant un an par les opérateurs de communication électronique, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (article L.34-1 du Code des Postes et des Télécommunications Electroniques). Il est possible, à partir de cette adresse IP, d’identifier le titulaire de l’abonnement Internet à partir duquel a été commis l’infraction reprochée. Cette identification est, le plus souvent, rendue possible sur requête adressée à un juge et ordonnant au fournisseur d’accès à Internet de communiquer l’identité des abonnés concernés.

La CNIL et le Groupe de l’Article 29 considèrent qu’au regard tant de la législation européenne que nationale, l’adresse IP constitue une donnée à caractère personnel.

Ainsi, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, le Groupe de l’Article 29 a considéré les adresses IP comme des données concernant une personne identifiable, en précisant que les fournisseurs d’accès à Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP du fait qu’ils enregistrent systématiquement dans un fichier les dates, heures, durées et adresses dynamiques IP données à l’utilisateur d’Internet. Il en va de même pour les fournisseurs de services Internet, qui conservent un fichier registre sur le serveur http.

Dans ces cas, on peut parler sans l’ombre d’un doute de données à caractère personnel au sens de l’article 2.a de la directive [directive du 24 octobre 1995 relative à la protection des données à caractère personnel].

Sur le plan national, la CNIL considère qu’à l’instar d’un numéro de téléphone ou d’un numéro d’identification d’un véhicule, l’adresse IP présente toutes les caractéristiques d’une donnée à caractère personnel en ce qu’elle constitue un numéro d’identification, permettant d’identifier indirectement, via le fournisseur d’accès à Internet, une personne physique ayant souscrit un abonnement à Internet, dans le cadre duquel il utilise un ordinateur auquel ladite adresse IP est rattachée.

Le point de vue de la Jurisprudence sur cette question est plus nuancé.

Ainsi, si dans une décision du 15 mai 2007 (1), la Cour d’Appel de PARIS a considéré que la série de chiffres constituée par l’adresse IP « ne constitue en rien une durée indirectement nominative relative à la personne, dans la mesure où elle ne se rapporte qu’à une machine et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon », cette décision a été censurée par le Conseil d’Etat le 23 mai 2007.

Cet arrêt intervenait dans le contexte du refus par la CNIL de délivrance d’une autorisation, par décision du 18 octobre 2005, à la SCPP (Société Civile des Producteurs Phonographiques). Cette décision de refus était elle-même motivée par l’absence de proportionnalité des mesures envisagées à la finalité poursuivie, à savoir la lutte contre le téléchargement illicite de fichiers musicaux.

Dans une autre affaire du 6 septembre 2007, le Tribunal de Grande Instance de SAINT BRIEUC (2) a estimé que l’adresse IP n’était, au même titre qu’un numéro de téléphone, que l’identifiant d’une ligne déterminée, mais pour laquelle un abonnement était souscrit par une personne déterminée. Dans ces circonstances, il a estimé que l’agent assermenté avait, du fait du recours à des logiciels spécifiques lui ayant permis d’obtenir l’adresse IP de l’ordinateur à l’origine d’une infraction, effectué un traitement de données à caractère personnel ne respectant pas les formalités préalables à la mise en œuvre d’un tel traitement, prévues par la loi Informatique et Libertés.

Au contraire, la Cour d’Appel de PARIS (3) a estimé que l’agent assermenté n’avait pas recouru à un traitement de données qui aurait nécessité une autorisation préalable de la CNIL puisqu’il s’était contenté de se connecter à Internet, d’accéder par un logiciel à des fichiers partagés et de recueillir l’adresse IP, ce que tout internaute pouvait faire. Elle rappelle ainsi que l’adresse IP, « série de chiffres, ne constitue en rien une donnée indirectement nominative relative à une personne, dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu utilisant l’ordinateur pour se livrer à la contrefaçon ».

Plus récemment, la Cour de Cassation (4) est intervenue pour rappeler que les constatations visuelles effectuées sur Internet par un agent assermenté sans recourir à un traitement préalable de surveillance automatisé, en utilisant un appareillage informatique et un logiciel de paire à paire, pour accéder manuellement aux fins de téléchargement à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès, en vue de la découverte ultérieure de l’auteur des contrefaçons, rentraient dans les pouvoirs conférés à cet agent et ne constituaient pas un traitement de données à caractère personnel.

Ce débat prend un sens particulier au moment où est débattu au Parlement le projet de loi Création Internet (5), communément appelée loi HADOPI. La question de l’identification, et donc de la sanction de l’internaute auteur d’une infraction sur Internet par le biais de son adresse IP est en effet le point de rencontre de multiples contestations, fondées pour l’essentiel sur l’imputabilité à l’abonné de l’utilisation à des fins frauduleuses de son réseau par un tiers.

Ce projet de loi prévoit que seule la Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet (HADOPI), anciennement désignée sous le nom ARMT (Autorité de Régulation des Mesures Techniques), pourra se procurer auprès des fournisseurs d’accès à Internet les données personnelles de l’abonné, nécessaires à l’envoi des messages d’avertissement prévus dans le cadre de la « riposte graduée ».

Blandine POIDEVIN

Avocat

Chargée d’enseignement en droit du commerce électronique

Viviane GELLES

Avocat

(1) CA PARIS, 15 mai 2007, Jurisdata n°2007-336.454, S c/Ministère public et autres

(2) TGI Saint Brieuc, 6 septembre 2007, Ministère public et autres c/ P

(3) CA PARIS, Ch. Corr., 29 janvier 2008, Jurisdata n°2008-355.382

(4) CCass, Ch. Crim., 13 janvier 2009, n°08-84.088

(5) Projet de loi n°405 déposé le 18 juin 2008