Considérer ou non l’adresse IP comme une donnée personnelle est une question récurrente qui est à l’origine de positions et de jurisprudence fluctuantes
Certains tribunaux ont considéré que l’adresse IP ne constitue qu’une « donnée parmi d’autres d’un faisceau d’indices, et donc, insuffisante à elle seule pour être qualifiée de donnée personnelle » (Chambre criminelle, 5 septembre 2007), ou que l’adresse IP n’est qu’une « série de chiffre (…) [qui] ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (CA Paris, 15 mai 2007).
En revanche, la CNIL, faisant écho à un avis de l’ensemble des CNIL européennes a affirmé le 2 août 2007 que l’adresse IP entrait dans le champ d’application de la loi du 6 janvier 1978 puisqu’elle permettait l’identification directe ou indirecte d’une personne physique.
Certains tribunaux ont ensuite suivi la position de la CNIL en considérant l’adresse IP comme une donnée personnelle (TGI Saint-Brieuc, 6 septembre 2007 ; TGI Paris, 24 décembre 2007 ; CA Rennes, 22 mai 2008 ; Conseil Constitutionnel, 10 juin 2009 n°2009-580 DC).
De la même manière, la Cour de Justice de l’Union Européenne a considéré que « (…) [les] adresses IP des utilisateurs qui sont à l’origine de l’envoi des contenus illicites sur le réseau étant des données protégées à caractère personnel, (…) elles permettent l’identification précise desdits utilisateurs » (CJUE, 24 novembre 2011 – aff. n°C-70/10).
Plus récemment, en 2013, un sénateur a posé la question au Ministre de l’économie, de l’industrie et du numérique, Emmanuel MACRON, qui a répondu que « l’adresse IP en tant que telle ne semble pas être qualifiée de donnée à caractère personnel. Elle pourrait constituer toutefois un élément dans le faisceau d’indices qui permettrait d’établir l’identité de l’internaute, lorsque d’autres éléments la corroborent et la complètent ».
Encore plus récemment, la Cour d’appel de Rennes a jugé le 28 avril 2015 qu’une « adresse IP (qui) est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à un utilisateur ».
A l’occasion d’une question préjudicielle, la CJUE a été amenée à préciser sa position en matière d’adresse IP dynamique, c’est-à-dire changeant à chaque nouvelle connexion à Internet et ne permettant donc pas de faire le lien entre un ordinateur et la connexion réseau utilisée par le FAI.
Un citoyen allemand ayant constaté que les sites internet fédéraux enregistraient les adresses IP, notamment dynamiques, et avait introduit un recours devant les juridictions administratives.
Après avoir été débouté entièrement en première instance puis partiellement en appel, il a formé un recours en révision devant la Cour fédérale d’Allemagne, qui s’est tournée vers la CJUE.
Dans sa décision du 19 octobre 2016, la CJUE, rappelant les critères de la directive 95/46, a jugé qu’une « adresse IP dynamique (…) constitue, à l’égard dudit fournisseur, une donnée à caractère personnel (…) lorsqu’il dispose des moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI de cette personne ».
Ainsi, selon cette très récente position de la CJUE, une adresse IP dynamique n’est pas considérée comme une donnée personnelle en tant que tel, mais peut le devenir si elle est recoupée avec d’autres informations.
Quelques jours après cette décision, la Cour de cassation a pris une décision très différente car beaucoup plus radicale.
Dans son arrêt du 3 novembre 2016, elle a considéré que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (1ère Chambre civile, 3 novembre 2016).
Il s’agit ainsi d’un retour à une position dont on peut se demander si, au-delà de l’objectif légitime visé de protection des personnes, elle peut s’inscrire durablement dans la réalité technique d’adressage IP.
