Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

L’adresse IP des surfeurs, enregistrée par les sites web visités, est une donnée personnelle

Publié le par

C’est un très intéressant arrêt que la cour de justice vient de rendre. Elle confirme que l’adresse IP dynamique est une donnée à caractère personnel. Elle rappelle aussi que les Etats membres ne peuvent ni ajouter ni retrancher d’éléments substantiels aux hypothèses de légitimité du traitement prévues par la directive. Notamment, au niveau de la balance des intérêts, il n’est pas question qu’un État en restreigne la portée en énonçant des conditions supplémentaires qui feraient presque toujours pencher la balance en faveur de la personne concernée.


Les faits

De nombreuses institutions publiques allemandes ont des portails Internet accessibles au public sur lesquels elles fournissent des informations actualisées. Afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les pirates, la plupart de ces portails enregistrent toutes les consultations dans des fichiers ou des registres de protocole. Y sont conservés, y compris après la fin de la session, le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été faite.

M. Breyer, citoyen allemand qui a consulté plusieurs des sites mentionnés, s’y oppose.

Les questions qui se posent

Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) a saisi la Cour de justice pour savoir si les adresses IP « dynamiques » constituent elles aussi, à l’égard de l’exploitant du site Internet, une donnée à caractère personnel et bénéficient ainsi de la protection prévue pour de telles données.

Par ailleurs, le Bundesgerichtshof cherche à savoir si l’exploitant d’un site Internet doit, au moins en principe, avoir la possibilité de collecter et d’utiliser ultérieurement les données à caractère personnel des visiteurs afin de garantir la capacité générale de fonctionnement de son site. Il observe à cet égard que la majorité de la doctrine allemande interprète la réglementation allemande en la matière en ce sens que ces données doivent être effacées à la fin de la session de consultation à moins qu’elles ne soient requises à des fins de facturation.

Un peu de technique

Une adresse IP dynamique est une adresse IP qui change lors de chaque nouvelle connexion à Internet. À la différence des adresses IP statiques, les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Ainsi, seul le fournisseur d’accès à Internet de M. Breyer dispose des informations supplémentaires nécessaires pour l’identifier.

Une adresse IP (protocole Internet) est une suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Pour se connecter à Internet, le dispositif doit utiliser la suite de chiffres donnée par les fournisseurs du service d’accès au réseau. L’adresse IP est communiquée au serveur sur lequel le site Internet consulté est hébergé.

En particulier, les fournisseurs d’accès au réseau (généralement les entreprises de téléphonie) attribuent à leurs clients les adresses dites « adresses IP dynamiques » de manière provisoire, pour chaque connexion à Internet, et les modifient lors des connexions ultérieures. Ces entreprises tiennent un registre dans lequel figure l’adresse IP qu’elles ont attribuée, à chaque fois, à un dispositif déterminé.

Les propriétaires des sites Internet consultés au moyen des adresses IP dynamiques tiennent généralement aussi des registres indiquant les sites consultés, le moment où ils l’ont été et l’adresse IP à partir de laquelle la consultation a eu lieu. Ces registres peuvent, techniquement, être conservés sans limite de temps après la fin de la connexion à Internet de chaque utilisateur.

Une adresse IP dynamique ne suffit pas, à elle seule, pour que le fournisseur de services identifie l’utilisateur de son site Internet. Toutefois, il pourrait le faire s’il combinait l’adresse IP dynamique à d’autres informations détenues par le fournisseur d’accès au réseau.

Le point litigieux en l’espèce est de savoir si les adresses IP dynamiques sont une donnée à caractère personnel, au sens de l’article 2, sous a), de la directive 95/46/CE.

La réponse exige de déterminer, préalablement, la pertinence, à cette fin, du fait que les informations supplémentaires nécessaires pour identifier l’utilisateur soient en possession non pas du propriétaire du site Internet, mais d’un tiers (en l’occurrence, le fournisseur du service d’accès au réseau).

Il s’agit d’une question inédite pour la Cour. Au point 51 de l’arrêt Scarlet Extended, celle‑ci a certes déclaré que les adresses IP sont « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs », mais dans un contexte dans lequel la collecte et l’identification des adresses IP étaient faites par le fournisseur d’accès au réseau, et non par un fournisseur de contenus, comme c’est le cas en l’espèce.

Première question : l’adresse IP dynamique est une donnée personnelle

Par son arrêt, la Cour répond tout d’abord qu’une adresse IP dynamique enregistrée par un « fournisseur de services de médias en ligne » (c’est-à-dire par l’exploitant d’un site Internet, en l’occurrence les services fédéraux allemands) lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel, lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier.

L’avocat général avait résumé l’enjeu comme suit : « Le cœur de la question posée se limite donc à déterminer si le fait qu’un tiers bien spécifique (le fournisseur d’accès à Internet) dispose d’informations supplémentaires qui, combinées aux adresses IP dynamiques, sont susceptibles de permettre l’identification de l’utilisateur qui a consulté un site Internet déterminé est pertinent aux fins de qualifier lesdites adresses de données à caractère personnel. »

Pour qu’une information soit une donnée personnelle, elle doit rendre la personne concernée identifiée ou identifiable, étant entendu que cette identification peut être directe ou indirecte.

La Cour privilégie une approche très concrète : « (…) la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet [doit constituer] un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. »

La Cour rejette donc la théorie in abstracto qui circule depuis quelques années selon laquelle il suffit qu’une information puisse, même théoriquement, rendre l’identification possible, pour constituer, pour cette raison, une donnée à caractère personnel.

En 2001 déjà, nous écrivions que cette approche n’avait pas de sens car il n’y a quasiment aucune information qui ne puisse jamais, par qui que ce soit, être rattachée directement ou indirectement à une personne physique. Nous plaidions à l’époque pour une interprétation raisonnable : « l’adresse IP peut devenir une donnée à caractère personnel si le responsable du traitement dispose de moyens susceptibles d’être raisonnablement mis en œuvre, par lui-même ou par une autre personne, permettant d’identifier l’utilisateur personne physique. » Nous insistions sur la nécessité d’une approche in concreto.

L’avocat général ne dit pas autre chose au point 68 de ses conclusions, estimant qu’il faut vérifier que l’identification est possible légalement et réalisable en pratique, ce qui ne serait pas le cas si elle implique un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.

Deuxième question : le retour en grâce de la balance des intérêts

Le principe est connu : la directive crée 5 hypothèses de légitimité du traitement.

En effet, le traitement ne peut être effectué que si :

a)       la personne concernée a indubitablement donné son consentement, ou

b)      il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou

c)       il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou

d)      il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou

e)      il est nécessaire à l’exécution d’une mission d’intérêt public (…), ou

f)        il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

La dernière hypothèse est ce qu’on appelle la balance des intérêts : à gauche l’intérêt légitime du responsable du traitement ; à droite les droits et libertés fondamentaux de la personne concernée ; de quel côté la balance penche-t-elle ?

En l’occurrence, le gouvernement allemand qui gère les sites concernés ne pouvait invoquer que la balance des intérêts.

Le problème vient du fait qu’en raison de l’interprétation qui est faite de la balance des intérêts par la doctrine allemande majoritaire, cette hypothèse est la plupart du temps purement théorique.

La cour l’énonce en ces termes : « (…) il importe de rappeler que la réglementation nationale en cause au principal, telle qu’interprétée dans le sens restrictif évoqué par la juridiction de renvoi, n’autorise la collecte et l’utilisation des données à caractère personnel afférentes à un utilisateur desdits services, en l’absence du consentement de celui-ci, que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média en ligne par l’utilisateur en question, sans que l’objectif visant à garantir la capacité générale de fonctionnement du média en ligne puisse justifier l’utilisation desdites données après une session de consultation de ce média. »

La Cour rappelle qu’elle a déjà, dans une affaire précédente, jugé que la directive prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite, et que les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel audit article ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article. (voir notre commentaire)

La cour en rajoute une couche :  la marge d’appréciation dont disposent les États membres ne peut être utilisée que conformément à l’objectif poursuivi par ladite directive consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée.

Pour la Cour, il résulte de l’ensemble des considérations qui précèdent que la directive s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.

Plus d’infos ?

En lisant l’arrêt rendu, et les conclusions de l’avocat général, tous les deux disponibles en annexe.

 

Droit & Technologies

Annexes

Arrêt rendu par la CJUE

file_download Télécharger l'annexe

Conclusions de l’avocat général

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK