L’adresse IP, objet de toutes les convoitises … La CNIL se fâche !
Publié le 07/08/2007 par Etienne Wery
Pas contente la CNIL ! Tellement fâchée qu’elle appelle le Garde des Sceaux à intenter un pourvoi en cassation dans l’intérêt de la loi contre deux décisions de la Cour d’appel de Paris qui ont considéré que l’adresse IP n’est pas une donnée à caractère personnel.
Dans deux arrêts récents relatifs à des actes de contrefaçon commis à l’aide de logiciels permettant la mise à disposition de fichiers musicaux sur internet, la cour d’appel de Paris a considéré que les adresses IP collectées à l’occasion de la recherche et de la constatation des actes de contrefaçon sur internet ne permettent pas d’identifier, même indirectement, des personnes physiques et que, dès lors, elles ne constituent pas des données à caractère personnel.
Pour la CNIL, « cette analyse remet profondément en cause la notion de donnée à caractère personnel qui est très large. En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP ».
La CNIL rappelle que le groupe 29 (composé des autorités de protection des données des Etats membres de l’Union européenne) a récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors des ses communications constituait une donnée à caractère personnel.
On ne peut s’empêcher de faire le lien avec l’affaire actuellement pendante devant la Cour de Justice européenne suite à une question préjudicielle posée par un juge espagnol sur le même sujet.
Dans son avis rendu le 18 juillet, l’avocat général devant le CEJ n’y a pas été par quatre chemins :
« La présente affaire illustre le fait que le stockage de données à certaines fins suscite l’envie de les utiliser à plus large échelle. En Espagne, les fournisseurs d’accès à Internet sont tenus de stocker certaines données relatives aux utilisateurs individuels afin qu’elles puissent, le cas échéant, être utilisées dans le cadre d’une enquête pénale ou en vue de la sauvegarde de la sécurité publique et de la défense nationale. Or, une association de titulaires de droits d’auteur souhaite utiliser ces données afin d’identifier les utilisateurs qui enfreignent ces droits par l’échange de fichiers.
C’est la raison pour laquelle la juridiction de renvoi souhaite s’entendre préciser si le droit communautaire autorise, voire exige, la divulgation de données à caractère personnel relatives au trafic concernant l’utilisation d’Internet aux titulaires de droits de propriété intellectuelle. Elle part du principe que diverses directives sur la protection de la propriété intellectuelle et sur la société de l’information confèrent aux titulaires de droits correspondants le droit d’exiger des fournisseurs de services électroniques qu’ils leur communiquent ces données lorsqu’elles sont de nature à démontrer une violation de droits protégés.
Je démontrerai toutefois dans les pages qui suivent que les dispositions du droit communautaire relatives à la protection des données dans le secteur des communications électroniques n’autorisent la transmission de données à caractère personnel relatives au trafic qu’aux autorités publiques compétentes, mais ne permettent pas une divulgation directe aux titulaires de droits d’auteur désireux de poursuivre civilement la violation de leurs droits ».
Certes, la question préjudicielle ne demande pas explicitement si l’adresse IP est une donnée personnelle, mais elle le sous-entend clairement et l’on sent, en filigranes de l’avis de l’avocat général, qu’elle est sur la même longueur d’onde.
La CNIL est tellement certaine de son fait qu’elle suggère même une question préjudicielle posée directement à la juridiction européenne sur ce sujet.