25 Nov Les adresses IP dynamiques comme données personnelles

Dans son arrêt du 19 octobre dernier, la Cour de Justice de l’Union européenne s’est prononcée sur la question de savoir dans quelle mesure une « adresse IP dynamique » peut être considérée comme une donnée personnelle.

L’affaire concerne la conservation par la République fédérale d’Allemagne des adresses IP des internautes consultant les sites Internet des services fédéraux allemands.

L’adresse de protocole Internet (« adresse IP ») est une suite de chiffres attribuée à chaque dispositif (ordinateur, tablette, téléphone). Elle est, lors de la consultation d’un site, transmise au serveur sur lequel ce site est hébergé. Les adresses IP « dynamiques » sont remplacées à chaque nouvelle connexion. C’est pourquoi elles ne permettent d’identifier l’internaute qu’en combinant l’adresse IP avec des informations supplémentaires détenues exclusivement par les fournisseurs d’accès à Internet (« FAI »).

En 2011, la CJUE avait déjà considéré qu’en ce qui concerne la collecte et l’identification des adresses IP par les FAI, les adresses IP sont des données personnelles protégées, car elles permettent l’identification précise des utilisateurs.

Or, au sens de l’article 2, a) de la directive 95/46, une personne peut être identifiable « indirectement », dans l’hypothèse où l’identification est possible par « un moyen susceptible d’être raisonnablement mis en œuvre ». Tel est notamment le cas lorsque les informations requises pour l’identification se trouvent entre les mains de personnes différentes et doivent être combinées.

Selon la Cour, cette condition est remplie en occurrence. En effet, dans certaines circonstances, notamment en cas d’attaques cybernétiques, le droit allemand permet de s’adresser à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir auprès du FAI les informations requises à l’identification de l’internaute.

La question de savoir si l’enregistrement d’une adresse IP dynamique constitue une donnée à caractère personnel, ne peut donc qu’être tranchée par un examen des circonstances particulières. Elle le sera lorsqu’il y a des moyens légaux permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI.

La conservation des adresses IP étant une pratique courante, notamment comme mesure de protection contre la cybercriminalité, tout responsable d’un traitement qui récolte ces adresses IP devra dès lors veiller à les traiter comme données personnelles, c’est-à-dire en assurer la protection et respecter toutes les obligations prévues par la réglementation sur la protection de la vie privée.

Si vous souhaitez plus d’informations à ce sujet, n’hésitez pas à prendre contact avec notre cabinet auprès de Me Guillaume RUE (guillaume.rue@cairnelegal.be).

Avec nos salutations distinguées,

L’équipe Cairn Legal