La Cour de cassation casse un arrêt qui refusait de voir dans l’adresse IP une donnée à caractère personnel

Publié le 07/11/2016 par Etienne Wery - 2174 vues

Pour la Cour de cassation, les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. Une affirmation à nuancer.

Les faits

Il n’est pas facile de comprendre la portée exacte des faits à la lecture de l’arrêt de cassation.

D’après ce que l’on en comprend, une société se rend compte que des ordinateurs, extérieurs au groupe, se connectent sur son réseau informatique interne en s’identifiant grâce à des codes d’accès réservés aux administrateurs de la société. Cela sent le hacking … Elle s’adresse au juge des requêtes et sollicite de sa part une injonction délivrée au fournisseur d’accès à Internet de communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.

L’arrêt ne le dit pas expressément, mais on déduit de sa rédaction que la mise en œuvre de l’ordonnance permet d’identifier une société concurrente. Le cas n’est pas rare : lorsqu’une intrusion a lieu dans un réseau informatique professionnel, il n’est malheureusement pas rare de constater que l’acte est perpétré par des personnes liées de près ou de loin à un concurrent. Bienvenue dans la concurrence 3.0.

Toujours est-il que les deux sociétés se disputent sur la question suivante : le fichier contenant les identités des titulaires des adresses IP est-il un traitement de données à caractère personnel qui aurait dû faire l’objet d’une déclaration préalable auprès de la CNIL ?

La Cour d’appel de Rennes

Pour rejeter la demande de rétractation formée par la société concurrente, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative.

Pour la Cour d’appel, il s’en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.

La Cour de cassation

L’arrêt est particulièrement bref : la Cour de cassation estime « Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la Cour d’appel a violé les textes susvisés ». (voir Arrêt n° 1184 du 3 novembre 2016 (15-22.595) – Cour de cassation – Première chambre civile – ECLI:FR:CCASS:2016:C101184).

Commentaires

L’arrêt de la Cour d’appel, en ce qu’il exclut purement et simplement toute possibilité de qualifier l’adresse IP de donnée à caractère personnel, était manifestement mal fondé.

Pour autant, faut-il approuver l’arrêt de la Cour de cassation ? On a l’impression, à lire l’attendu très bref, qu’une adresse IP est, aux yeux de la Cour, toujours une donnée à caractère personnel. Si tel est l’enseignement qu’il faut retirer de l’arrêt, alors on peut écrire que la Cour de cassation est également dans l’erreur.

La vérité est en effet entre les deux : une adresse IP peut être une donnée à caractère personnel. Ce n’est ni toujours oui, ni toujours non : cela dépend.

La Cour de justice de l’Union européenne a rendu deux arrêts qui permettent de mieux comprendre le problème.

Au point 51 de l’arrêt Scarlet Extended, la CJUE a déclaré que les adresses IP sont « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs », mais elle l’a fait dans un contexte dans lequel la collecte et l’identification des adresses IP étaient faites par le fournisseur d’accès au réseau. Cela n’est pas innocent.

Dans l’affaire Breyer, la Cour était invitée à se demander si l’adresse IP collectée par un site web au fur et à mesure des visites des surfeurs sur ledit site, est une donnée à caractère personnel dans le chef du responsable du site visité.

La Cour aurait pu renvoyer à l’affaire Scarlet ; elle ne le fait pas. Au contraire, elle insiste sur les différences. L’avocat général était lui aussi formel : « il s’agit d’une question inédite pour la Cour ».

Pourquoi ? Tout simplement parce que vis-à-vis de la ‘capacité de personnalisation’ d’une adresse IP, le fournisseur d’accès et le responsable du site visité, sont dans des situations très différentes. Alors que le fournisseur d’accès est bel et bien en mesure d’établir un lien entre une adresse IP utilisée à un moment donné et un abonné, on ne peut pas dire la même chose de la part du responsable d’un site Web visité qui doit recouper cette information avec plusieurs autres auxquelles il n’a pas nécessairement accès.

C’est ce qui explique la réponse tout en nuances de la CJUE : une adresse IP enregistrée par l’exploitant d’un site Internet lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel, « lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier ».

La Cour de justice invite spécifiquement à prendre en compte le contexte et privilégie une approche très concrète : « (…) la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet [doit constituer] un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. »

L’avocat général était sur la même ligne, écrivant au point 68 de ses conclusions qu’il faut vérifier que l’identification est possible légalement et réalisable en pratique, ce qui ne serait pas le cas si elle implique un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.

Si l’on transpose ceci à l’arrêt de la Cour d’appel de Rennes, et à l’arrêt de la Cour de cassation qui le censure, on perçoit mieux que l’un et l’autre sont dans l’erreur : ils donnent une réponse trop catégorique à une question dont la résolution nécessite la prise en compte de tout un contexte. Il faudra attendre le prochain arrêt de la Cour de cassation pour voir si celle-ci a été mal comprise (l’attendu est vraiment excessivement bref) ou si elle considère réellement qu’une adresse IP est toujours une donnée à caractère personnel, mais en ce cas elle devra corriger sa jurisprudence pour se mettre en conformité avec les décisions de la Cour de justice de l’Union européenne.

Plus d’infos?

En matière de données à caractère personnel, il y a un site de référence. Sur GDPR-expert, le cabinet Ulys vous présente pour chaque article du nouveau règlement européen, une base de données affichant :

• les dispositions correspondantes de (l’ancienne) Directive ;
• les dispositions correspondantes de la loi française ;
• les dispositions correspondantes de la loi belge;
• en option, vous pouvez décider d’afficher le(s) considérant(s), ainsi que les versions intermédiaires du règlement.

Par ailleurs, chaque article fait l’objet d’un commentaire en trois temps :

1. D’où vient-on ? ;
2. Où va-t-on ? ;
3. Problèmes probables ?