L’adresse IP : une donnée à caractère personnel au sens de la loi relative à l’informatique, aux fichiers et aux libertés
La Cour de cassation considère, dans son arrêt n° 15-22595 du 3 novembre 2016, que les adresses IP (internet protocol) sont des données personnelles protégées au sens de la loi. Il convient à ce titre de faire une déclaration préalable pour le traitement de ces données auprès de la Cnil.
Cass. 1re civ., 3 nov. 2016, no 15-22595
En l’espèce, des sociétés appartenant toutes trois à un groupe, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet de l’une des sociétés. Ces dernières ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (Cnil), et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, une autre société, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du premier groupe, a saisi le président du tribunal de commerce en rétractation de son ordonnance.
La demande de rétractation formée par la société est rejetée. La cour d’appel retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative. Les juges en déduisent que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.
Un pourvoi est formé sur le fondement des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi de 2004 relative à l’informatique, aux fichiers et aux libertés. Selon l’auteur du pourvoi, les adresses IP sont bien des informations à caractère personnel ce qui justifie l’application de la loi et l’obligation d’une inscription auprès de la Cnil.
Les juges suprêmes devaient donc déterminer si une adresse IP est une donnée qui entre dans le champ d’application de la loi et si, à ce titre, le traitement de cette donnée doit être déclaré préalablement.
La Cour répond positivement : se fondant sur les articles 2 et 22 de la loi précitée, elle considère que les adresses IP permettent « d’identifier indirectement une personne physique ». Elles « sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la Cnil ».
La décision met donc en évidence le fait que des données, pour être protégées en raison de leur caractère personnel, peuvent permettre d’identifier, même indirectement, une personne physique (I), ce qui est le cas des adresses IP. Dès lors, le traitement de ces données doit faire l’objet d’une déclaration préalable auprès de la Cnil (II).
I – La protection des données permettant indirectement l’identification d’une personne physique
La loi de 1978 dans sa version modifiée en 2004, ne cesse de faire l’objet d’interprétation jurisprudentielle, ce qui permet de définir plus précisément son contenu et notamment les données qui sont objets de protection. La Cour, dans la présente décision, qualifie les adresses IP (B) de données personnelles permettant l’identification indirecte (A) d’une personne physique.
A – L’identification indirecte d’une personne physique par l’exploitation de données
À l’origine, la loi a été rédigée dans un contexte dans lequel les technologies de l’information étaient à leurs balbutiements. Le but de cette loi était, et est toujours, de donner un cadre, établir des limites à l’utilisation des données recueillies grâce à différents moyens, notamment informatiques. L’article de 2 de la loi, issue de la loi de 2004 qui a modifié le texte d’origine, donne le champ d’application élargi.
La loi s’applique donc, selon l’article 2 aux « traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles », dans certains cas précis déterminés par la loi.
L’article poursuit en précisant qu’une donnée à caractère personnel en est une constituée par « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Pour déterminer si une personne est identifiable, la loi dispose qu’il convient de prendre en considération « l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
L’alinéa 3 du même article qualifie de « traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
La loi s’applique exclusivement aux personnes physiques puisqu’à l’origine, et c’est toujours le cas, il existe un lien juridique fort entre protection de la vie privée et protection des données personnelles. Il est donc évident que sont exclues les données relatives à des personnes morales.
La Cour de de justice des communautés européennes, dans un arrêt du 6 novembre 2003, a donné quelques précisions concernant le champ d’application des lois protectrices des données personnelles, et a notamment considéré que, pour être regardées comme des données « personnelles », les données doivent porter sur des personnes physiques identifiées ou identifiables1.
Il faut préciser que, dans le domaine de la protection des données personnelles, les normes européennes ne sont pas silencieuses et donnent même matière aux législateurs nationaux, notamment au législateur français2.
Une délibération de la Cnil a aussi précisé que les nom et prénom, apparaissant par exemple dans les décisions juridictionnelles doivent être regardées comme des données personnelles3.
À côté des données précises qui permettent d’identifier directement une personne physique, d’autres données permettent l’identification d’une manière indirecte. Ainsi, le Conseil d’État, dans une décision rendue le 5 septembre 2008, a considéré que les coordonnées téléphoniques sont des données personnelles4. De la même façon, les données biométriques sont protégées, selon la Cour européenne des droits de l’Homme5.
Toutes ces informations permettent d’une façon indirecte d’identifier une personne. Elles font donc l’objet de la protection prévue par loi.
La loi prévoit que ces données soient « traitées » pour être protégées. Mais l’interprétation de la notion de traitement est très large. Ainsi, dès lors toute donnée faisant l’objet d’un traitement, quel qu’il soit, est prise en compte.
En l’espèce, les données litigieuses sont des adresses IP et ont été conservées, donc traitées. Pour la Cour de cassation, et contrairement à ce qu’ont conclus les juges du fond, une adresse IP est donc une donnée qui doit être protégée.
B – L’adresse IP : une donnée permettant l’identification d’une personne physique
Une adresse IP est un numéro unique qui permet à un ordinateur de se connecter un réseau. Il est unique à l’instar d’un numéro de téléphone.
En l’espèce, des données IP avaient été conservées par une société, et elles devaient être, selon l’auteur de l’action, protégées en application de la loi de 1978 modifiée.
La cour d’appel a, quant à elle, considéré que tel n’était pas le cas. En effet, les juges du second degré retiennent que l’adresse IP, « constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ». Ils en déduisent que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, « ne constitue pas un traitement de données à caractère personnel ». Ils écartent donc du champ d’application les adresses IP.
Les juges de la Cour de cassation prennent une décision inverse et considèrent au contraire que les adresses IP « permettent d’identifier indirectement une personne physique ». La Cour conclut que ces données ont un caractère personnel et de ce fait, leur collecte constitue un traitement de données à caractère personnel. La Cour fait donc entrer dans l’objet de la protection ces données informatiques.
Le raisonnement de la Cour est conforme à la jurisprudence de la Cour de justice des Communautés européennes qui fait découler d’une directive le caractère personnel des données IP6.
Le Conseil d’État considère depuis une décision du 23 mai 2007 que ces informations ont un caractère personnel dont le traitement doit être règlementé7.
Les juges judiciaires n’avaient pas clairement tranché la question. La cour d’appel de Lyon a, à titre d’exemple, écarté quelque peu la question en précisant dans une espèce que « l’adresse IP de l’ordinateur mis à la disposition d’un salarié pour les besoins de son activité professionnelle par un employeur, seul titulaire de l’abonnement auprès du fournisseur d’accès, n’est pas pour le salarié utilisateur du poste informatique une donnée à caractère personnel au sens de l’article 1er de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 »8.
Dans ce cas, la cour d’appel avait ainsi considéré que c’était la société qui était titulaire de l’abonnement et non le salarié. De ce fait, elle concluait qu’il n’y avait pas eu traitement de données d’une personne physique. Mais en raisonnant a contrario, il est possible de conclure que les juges auraient considéré comme étant des données personnelles les adresses IP d’ordinateur appartenant à une personne physique.
La cour d’appel de Paris avait quant à elle précisé, dans un arrêt du 27 avril 2007, que « l’adresse IP ne permet pas d’identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur d’accès l’identité de l’utilisateur »9. Dans une autre décision, la même cour précisait dans un arrêt du 15 mai 2007, que « cette série de chiffres en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon »10.
La Cour de cassation avait pris une décision dans le même sens dans un arrêt rendu dans sa chambre criminelle en date du 13 janvier 200911.
Dans l’espèce présentée ici, les juges du fond vont donc dans le même sens, et dénient toute protection des données IP.
Mais la Cour de cassation tranche clairement dans le sens contraire et en faveur d’une extension du domaine de protection de la loi. Elle met donc un terme aux décisions contraires et aux doutes qui découlaient de la jurisprudence antérieure.
Par ce raisonnement, la Cour confirme que le traitement de ces données aurait dû être déclaré à la Cnil et de ce fait, considère indirectement le caractère illicite de la mesure ordonnée par le juge des requêtes qui a, par ordonnance, fait injonction à divers fournisseurs d’accès à internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.
II – L’obligation de déclaration de traitement des adresses IP
Deuxième texte fondant la décision des juges, l’article 22 de la loi de 78 dans sa rédaction issue de la loi modificatrice de 2004, donne l’obligation de déclarer à la Cnil le traitement des données protégées (A). Les sociétés auraient donc dû déclarer le traitement des adresses IP (B).
A – La déclaration du traitement des données protégées auprès de la Cnil
Selon la loi, les données personnelles qui subissent un traitement, automatisé ou non, doivent faire l’objet d’une déclaration préalable auprès de la Cnil, qui a vocation à garantir le respect dû à la vie privée des personnes physiques dans une société de plus en plus informatisée (et « internetisée »).
La déclaration permet de garantir une utilisation légale des informations répertoriées. La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé. Mais la délivrance du récépissé ne l’exonère d’aucune de ses responsabilités.
La déclaration est une formalité préalable obligatoire. Il en résulte qu’un traitement soumis à l’obligation de déclaration ne peut être légalement mis en œuvre avant que la Cnil ait délivré le récépissé de cette déclaration12.
De plus, il est nécessaire que la déclaration réponde à l’obligation de complétude sous peine d’irrégularité. Ainsi, la déclaration doit mentionner tous les éléments permettant l’évaluation du caractère légal du traitement. Le Conseil d’État a ainsi qualifié d’irrégulier, un traitement dont la déclaration ne mentionne pas les interconnexions ou rapprochements avec d’autres fichiers13.
En cas de modification substantielle portant sur les informations ayant été préalablement déclarées, il convient de les porter à la connaissance de la Cnil. Ce n’est pas obligatoire s’il s’agit d’une simple mise à jour d’un logiciel de traitement de données n’imposant pas de nouvelle déclaration14. En revanche, la décision qui « étend substantiellement la portée d’un traitement de données précédemment autorisé », doit être regardée comme créant un nouveau traitement, et est donc soumis aux formalités préalables15.
Les membres de la Commission nationale de l’information et des libertés ont accès, pour l’exercice de leur mission, à tous lieux servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel. Un avertissement peut être prononcé à l’égard du responsable d’un traitement qui ne respecte pas les obligations légales. En cas de mise en conformité après mise en demeure, la procédure est clôturée, dans le cas contraire, des sanctions seront prononcées. Dans des cas graves, des sanctions pénales sont prévues.
Comme on l’a fait remarquer à juste titre, il est très difficile pour toute institution de contrôler efficacement le traitement des données personnelles, tant la multiplication des outils de collecte rend complexe ce travail16.
En l’espèce, les juges n’ayant pas relevé le caractère personnel des données, aucune déclaration n’a été faite et une utilisation illégale des données en a découlé. Des informations ont donc pu être traitées et transmises aux intéressés au mépris de la loi.
B – La déclaration obligatoire du traitement des adresses IP : vers une extension continuelle du domaine de la loi ?
En concluant qu’il s’agissait bien de traitement de données à caractère personnel, les juges de la Cour de cassation indiquent que le recueil et le traitement des adresses IP par la société en question auraient dû satisfaire aux obligations de l’article 22 de la loi. Il convenait donc que la Cnil puisse recevoir ces informations avant afin d’évaluer la régularité du traitement.
La décision semble logique, puisqu’une adresse IP ne peut être attribuée qu’à un seul ordinateur. Le propriétaire déclaré d’un ordinateur peut donc être identifié grâce à ce numéro. Ces données sont par ailleurs exploitées dans des affaires pénales aux fins d’indentification.
Le fait que ces données soient considérées comme personnelles induit un certain nombre d’obligations à la charge des responsables du traitement des données. Notamment, comme le dispose la loi, un droit d’accès est reconnu à la personne physique identifiable. La décision de la Cour n’est donc pas sans conséquence.
Ainsi, il est constant que le champ d’application de la loi s’étend, la décision rendue par la Cour de cassation l’atteste. Le rôle de la Cnil s’est développé ces dernières années. Il conviendra ainsi que toute société qui traite des données IP en fasse la déclaration préalable auprès de la Cnil. Comme l’a souligné un auteur à propos de l’activité de la Cnil en 2014, cette activité est « extrêmement intense »17. Cette activité n’ira pas, à l’évidence, en diminuant.
Notes de bas de pages
-
1.
CJCE, 6 nov. 2003, n° C-101/01, Lindqvist, Göta Hovrätt c/ Bodil : Lebon, p. I-12971.
-
2.
V. la convention n° 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, et la directive du 24 octobre 1995 de la Communauté européenne. Ces deux instruments, selon Laurent Cytermann, reprennent « une combinaison d’objectifs : protéger la vie privée tout en favorisant la circulation des données à caractère personnel » : v. « La loi informatique et libertés est-elle dépassée ? », Cytermann L., RFDA 2015, p. 99.
-
3.
CNIL, délib. n° 01-057, 29 nov. 2001, recommandation relative à l’anonymisation des décisions de justice.
-
4.
CE, 5 sept. 2008, n° 319071, Sté Directannonces : Lebon, inédit.
-
5.
Notamment les informations contenues dans le fichier automatisé des empreintes digitales : CEDH, 18 avr. 2013, n° 19522/09, M. K. c/ France.
-
6.
Sur une question posée dans le cadre de la protection des droits d’auteurs sur internet : CJCE, gde ch., 29 janv.2008, n° C-275/06.
-
7.
Décision concernant une délibération n° 2005-238 du 18 octobre 2005 de la Commission nationale de l’informatique et des libertés.
-
8.
CA Lyon, 17 mars 2009, n° 08/03020.
-
9.
CA Paris, 13e ch., sect. B, 27 avr. 2007, cité par Mattatia F., « Internet face à la loi informatique et libertés : l’adresse IP est-elle une donnée à caractère personnel ? », Gaz. Pal. 15 janv. 2008, n° H0395, p. 15.
-
10.
CA Paris, 13e ch., sect. A, 15 mai 2007, cité par Mattatia F., « Internet face à la loi informatique et libertés : l’adresse IP est-elle une donnée à caractère personnel ? », préc.
-
11.
Cass. crim., 13 janv. 2009, n° 08-84088, PB ; v. pour une demande de clarification de la jurisprudence sur cette question, Perray R., « Adresse IP et données personnelles : un besoin de convergence d’interprétations entre juges », Gaz. Pal. 30 avr. 2009, n° H3718, p. 6.
-
12.
CE, 19 juill. 2010, nos 317182 et 323441, M. Fristot et a. : Lebon, p. 320, décision qui concerne l’annulation de la décision de mettre en œuvre le traitement en tant qu’elle porte sur une période antérieure à la délivrance du récépissé.
-
13.
CE, 19 juill. 2010, nos 317182 et 323441, M. Fristot et a. : Lebon, p. 320.
-
14.
Cass. soc., 23 avr. 2013, n° 11-26099, PB.
-
15.
CE, 15 déc. 2000, n° 206981, Patel et a.
-
16.
V. sur ce constat : « La loi informatique et libertés est-elle dépassée ? », Cytermann L., préc.
-
17.
Dufour O., « Cnil : une activité “extrêmement intense” en 2014 », LPA 20 avr. 2015, p. 3.