De dynamische IP-adressen als persoonsgegeven

In haar arrest van 19 oktober 2016, heeft het Europees Hof van Justitie zich uitgesproken over de vraag in welke mate een «dynamisch IP-adres » kan beschouwd worden als een persoonsgegeven.

De zaak betreft de bewaring door de Bondsrepubliek Duitsland van de IP-adressen van internetgebruikers van de websites van Duitse federale instellingen.

Het internetprotocoladres(« IP-adres ») is een reeks van cijfers toegewezen aan elk apparaat (computer, tablet, telefoon). Ze wordt dus bij de raadpleging van een website, doorgegeven aan de server waar de bezochte website is opgeslagen. De « dynamische » IP adressen worden bij elke nieuwe verbinding vervangen. Het is daarom dat ze alleen de gebruiker kunnen identificeren, door het IP-adres te combineren, met de bijkomende informatie exclusief gehouden door de Internetproviders.

In 2011 had het EHVJ al geoordeeld dat met betrekking tot het verzamelen en de identificatie van IP-adressen door de internetproviders, de IP-adressen persoonlijk beschermde gegevens zijn, want ze maken de nauwkeurige identificatie van gebruikers mogelijk.

In de zin van artikel 2, a) van de richtlijn 95/46, kan een persoon « indirect » geïdentificeerd worden in de hypothese waar de identificatie mogelijk is door « een middel die in aanmerking komt om redelijkerwijs uit te voeren». Dit is het geval namelijk wanneer de vereiste informatie voor de identificatie zich bij meerdere personen bevindt en moet gecombineerd worden.

Volgens het Hof is aan deze voorwaarde in dit geval voldaan. Want in zekere omstandigheden, in het bijzonder in geval van cyberaanvallen, laat het Duitse recht toe zich te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om de vereiste informatie van de internetprovider te verkrijgen voor de identificatie van de internetgebruiker.

De vraag te weten of de registratie van een dynamisch IP-adres een gegeven met een persoonlijk karakter creëert, kan dus alleen worden beantwoord door een onderzoek van de bijzondere omstandigheden. Dit zal o.m. het geval zijn wanneer men over wettelijke middelen beschikt waarmee men de betreffende persoon kan identificeren aan de hand van extra informatie waarover de internetprovider beschikt. In dit geval zal de verantwoordelijke die de IP-adressen verzamelt er dus moeten over waken de wetgeving op de bescherming van het privéleven te respecteren.

De bewaring van IP adressen is een gangbare praktijk, in het bijzonder als beschermingsmaatregel tegen de cybercriminaliteit en ieder verantwoordelijke van een verwerking die deze IP adressen inzamelt, zal er moeten over waken deze te behandelen als persoonsgegevens, dit wil zeggen door de bescherming te verzekeren en alle voorziene verplichtingen door de reglementering op de bescherming van het privéleven te respecteren.

Indien u meer informatie wenst over dit onderwerp, aarzel dan niet om contact op te nemen met ons kantoor, bij Mr. Guillaume RUE (guillaume.rue@cairnlegal.be).

Met vriendelijke groeten,

Het Cairn Legal Team.