CJUE, 19 octobre 2016, C-582/14
Civ.1, 3 novembre 2016, 15-22.595
A quelques semaines d’intervalle, la CJUE et la Cour de Cassation se sont prononcées sur la qualification de données à caractère personnel des adresses IP des internautes.
Dans l’affaire soumise à la CJUE, Un internaute allemand s’est opposé devant la justice de son pays à ce que des sites fédéraux puissent collecter et conserver son adresse de protocole internet (dite adresse IP). Afin de se prémunir contre les attaques et, le cas échéant, pouvoir lancer efficacement des poursuites judiciaires, les services fédéraux allemands enregistrent un ensemble de données de consultations de leurs sites (page du site ou fichier consulté, date et heure de la consultation etc.) ainsi que l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée.
Dans cette affaire, l’internaute accédait à internet par le biais d’un fournisseur d’accès à internet (FAI) via une adresse IP dynamique, à savoir provisoire, attribuée à chaque connexion à Internet et remplacée lors de ses connexions ultérieures (par opposition aux adresses IP « statiques », qui sont invariables et permettent l’identification permanente du dispositif connecté au réseau). Ainsi, les éditeurs des sites ne pouvaient faire eux-mêmes le lien entre l’identité de cet internaute et les différentes adresses IP collectées lors de ses visites. Seul son FAI disposait des informations complémentaires nécessaires pour l’identifier.
Le recours introduit par l’internaute est remonté à la Cour de justice fédérale allemande qui, avant de trancher le litige au fond, a posé à la CJUE la question préjudicielle suivante : une adresse IP « dynamique » constitue-t-elle une donnée à caractère personnel au sens de la législation européenne ?
Par un arrêt du 19 octobre dernier, la Cour a estimé qu’une adresse IP dynamique constituait bien une donnée à caractère personnel à l’égard de l’exploitant du site, dès lors qu’elle permettait de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI de cette personne, informations accessibles à l’exploitant du site par des moyens légaux.
Dans un arrêt du 3 novembre dernier, la première chambre civile de la Cour de cassation a consacré une solution identique, par un attendu de principe on ne peut plus clair :
« Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »
L’impact de ces décisions est considérable pour tous les éditeurs de sites Internet, qui sont tenus d’obtenir le consentement des utilisateurs afin de stocker les adresses IP, des lors qu’ils entendent les utiliser pour une finalité autre que celle de fournir le service en ligne qu’ils éditent.
L’entrée en vigueur du Règlement Général sur la Protection des Données 2016/679 (RGPD) en mai 2018 ne remettra pas en question cette solution, puisque l’article 2 de la directive 95/46 (cité dans la décision de la CJUE) est incorporé en des termes quasiment identiques au RGPD.