L´adresse IP de vos consommateurs est-elle une donnée personnelle?

Le traitement des adresses IP en e-commerce

En tant qu’e-commerçant, vous avez de nombreuses obligations légales. L´une d´entre elles concerne l’obligation d’accomplir les formalités préalables au traitement des données personnelles de vos clients en conformité avec la loi Informatique et libertés de 1978. En effet, en fonction de la nature des données personnelles concernées et de la finalité de votre collecte, vous devrez notamment soit « simplement » déclarer votre traitement, soit demander une autorisation à la CNIL (Commission Nationale de l’Informatique et des Libertés). Mais que recouvre la notion de « données personnelles » ?


Contexte

Si le nom, le prénom, l’adresse postale et le numéro de téléphone viennent spontanément à l’esprit, le doute peut cependant s’installer concernant l’adresse IP (Internet Protocol). Qu’en est-il donc pour ce numéro d’identifiant unique d’une machine (et non d’une personne physique) permettant de déterminer quelle machine se connecte à un site internet ? La question se complexifie si on distingue entre adresse IP fixe (permanente) et dynamique (attribuée par un fournisseur d’accès à internet à chaque machine pour chaque connexion de ses utilisateurs et donc changeante et provisoire).

L’enjeu de la qualification de « donnée personnelle » est important. Si l’adresse IP n’est pas considérée comme une donnée personnelle, sa collecte est libre; en revanche, si on lui fait porter l’étiquette de « donnée personnelle » alors il convient d’en déclarer préalablement le traitement à la CNIL.

La position européenne

La Directive 95/46 du 24 octobre 1995 qui règlemente le traitement des données à caractère personnel pose en son article 2 a) la définition, assez large, des données personnelles. Il s´agit de

 «toute information concernant une personne physique identifiée ou identifiable (personne concernée) (…) est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.»

La CJUE (Cour de Justice de l´Union européenne), chargée d´interpréter le droit de l'Union à la demande des juges nationaux, a considéré aux termes de l´arrêt Scarlet Extended¹ du 24 novembre 2011 concernant le domaine du peer to peer et impliquant un fournisseur d´accès à internet belge, que l’adresse IP des utilisateurs d’internet, collectée par les fournisseurs d’accès à internet (qui attribuent eux-mêmes lesdites adresses IP), était une donnée personnelle car elle permettait l’identification précise des utilisateurs.

L’arrêt Breyer du 19 octobre 2016², permet lui à la CJUE de se prononcer sur la collecte d’adresses IP (dynamiques) effectuée cette fois non pas par un fournisseur d’accès à internet mais par un fournisseur de services de médias en ligne (ici la République fédérale d’Allemagne (RFA) fournissant des sites internet fédéraux) sans qu´il ne dispose lui-même des informations supplémentaires pour identifier ses utilisateurs. Aux termes de l’article 2 a) de la directive précitée « est réputée identifiable une personne qui peut être identifiée non seulement directement mais aussi indirectement ». Selon la Cour, c’est le cas ici où, par la mise en œuvre de moyens légaux, la combinaison entre les informations collectées par la RFA (dont l´adresse IP) et celles dont disposait le fournisseur d’accès à internet, permettait d’identifier l’utilisateur du site internet. L’adresse IP constitue dès lors une donnée personnelle.

Si la position européenne est clairement définie, la position française a, quant-à-elle, longtemps été indéterminée, et ce jusqu’à très récemment.

La position française

A l’inverse de la CNIL, pour qui l’adresse IP est, de manière certaine et depuis 2006³, une donnée à caractère personnel au sens de l’article 2 de la loi dite Informatique et libertés du 6 janvier 1978, la position des juges français a longtemps été divergente sur la qualification juridique de l´adresse IP.

Ainsi, et notamment dans le cadre du peer-to-peer de jeux vidéos ou de musique les juges ont tâtonné (et les décisions se sont contredites) entre :

- celles⁴ rejetant la qualification de donnée à caractère personnel en alléguant notamment que « cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (Cour d’appel de Paris 13ème chambre, section A, 15 mai 2007, Henri S. / SCPP) ;

- celles attribuant la qualité de donnée à caractère personnel en considérant notamment que « L’adresse IP, est, au sens strict, l'identifiant d’une machine lorsque celle-ci se connecte sur l’internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée, un numéro IP associé à un fournisseur d’accès internet correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. » (TGI Saint-Brieuc 6 septembre 2007, Ministère public, SCPP, SACEM c/ J.-P).

Les évolutions récentes de la jurisprudence permettent de clarifier la question.

Le 10 août 2016, les juges du Tribunal de Grande Instance de Meaux ont considéré que l’adresse IP d’un internaute soupçonné par une société d´être l´auteur d´infractions (actes de concurrence déloyale et usurpation d´identité) permettant de pouvoir l´identifier comme auteur de correspondances électroniques, constitue bien une donnée à caractère personnel dont la collecte et le traitement, par le service informatique de ladite société, nécessitaient l´autorisation de la CNIL.

Enfin, et pour la première fois, la Cour de cassation, dans un arrêt du 3 novembre 2016 clarifie le statut juridique de l’adresse IP et affirme enfin, en conformité avec la position des juges européens, que l’adresse IP est une donnée personnelle.

A l’avenir

Le Règlement européen n°2016/ 679, abrogeant la directive précitée et entrant en vigueur le 25 mai 2018 se réfère clairement à l´adresse IP et précise au sein du considérant n°30 que « les  personnes physiques peuvent se voir  associer, par  les  appareils, des identifiants en ligne  tels  que  des  adresses IP (…) qui peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations (…) peuvent servir à créer des profils (…) et à identifier ces personnes ».

Bilan

La collecte de données à caractère personnel, dont l´adresse IP fait partie, nécessite une déclaration à la CNIL, et dans certains cas une autorisation. Dans la majorité des cas, c’est la norme n°48 simplifiée Gestion des Fichiers et Prospects, dans sa dernière version actualisée par Délibération du 21 juillet 2016, qui correspond à votre activité d’e-commerçant.

► Pour effectuer en ligne, et gratuitement, votre déclaration CNIL : https://www.cnil.fr/fr/declarer-un-fichier

A défaut, en cas d’omission de réalisation des formalités préalables, les sanctions sur le plan administratif, pécuniaire et pénal sont lourdes (article 226-16 du Code pénal: pour les personnes physiques: 5 ans d’emprisonnement et 300 000 € d’amende, pour les personnes morales: l’amende est multipliée par cinq et des peines complémentaires peuvent être prononcées), outre le fait que le traitement sera considéré comme illicite.

 

Vous souhaitez développer davantage votre e-commerce ? Téléchargez, dès à présent, notre livre blanc en cliquant sur la bannière ci-dessous. Profitez-en, c'est 100% gratuit. 

Nouveau call-to-action 

1. n° 70/10 (CJCE)
2. n° 582/14
3. délibération n°2006-294 du 21 décembre 2006 et avis du 2 août 2007
4. Cour d´appel de Paris, 12ème chambre, 1er février 2010, Cyrille S. / SACEM, n° 09/02337, sur renvoi de Cour de cassation, chambre criminelle,13 janvier 2009, n° 08-84088; Cour d´appel de Paris, 13ème chambre, section B, 27 avril 2007, Anthony G. / SCPP
5. Tribunal de Grand Instance de paris, 24 décembre 2007, ordonnance de référé Techland / france Telecom et autres
6. Tribunal de Grande Instance de Meaux, 10 août 2016, ordonnance de référé France Sécurité / NC Numéricable
7. Cour de cassation, 1ère chambre civile, 3 novembre 2016, n° 15-22-595, Cabinet Peterson / Groupe Logisneuf

 

0 Commentaires