Adresse IP et données personnelles : une difficile conciliation

Les adresses IP sont-elles des données personnelles ? Alors que l'on croyait la réponse certaine, des juridictions répressives continuent de refuser une telle qualification. Etat des lieux.

Voilà près de deux ans que le débat sur le régime juridique des adresses IP sévit afin de déterminer l'application de la loi "Informatique et Libertés" du 6 janvier 1978. Deux intérêts s'affrontent:
· d'une part, les autorités nationales de protection des données personnelles qui estiment que les adresses IP constituent des données personnelles et que donc, les principes de la directive sur la protection des données personnelles du 24 octobre 1995 s'appliquent aux opérateurs Internet qui les collectent et traitent;
· d'autre part, certaines juridictions répressives qui considèrent que les adresses IP ne permettent pas d'identifier une personne physique et rejettent donc cet élément pour retenir l'identification (et la condamnation) d'un prévenu.

Pourquoi se poser la question ?

Le fait que les adresses IP soient qualifiées de données personnelles induit l'application de la loi « Informatique et Libertés ». Concrètement, selon les termes de la loi, le « responsable d'un traitement de données personnelles » a de nombreuses obligations légales, et notamment :
- la notification de l'existence de traitements, avant leur mise en oeuvre, à la CNIL,
- la communication préalable à la personne auprès de laquelle sont recueillies des données à caractère personnel d'un certain nombre d'informations,
- l'obligation de conserver confidentielles les données personnelles, et ne les conserver que le temps nécessaire.
Si une adresse IP est donnée personnelle, les moteurs de recherche (à commencer par Google) sont soumis à la réglementation sur les données personnelles, et donc, à la CNIL.

En procédure pénale, si une adresse IP est une donnée personnelle, elle permet d'identifier l'auteur d'une infraction à partir de son ordinateur et donc, de prononcer une condamnation sur cette base factuelle.

La position des juridictions répressives

La Cour d'appel de Paris avait déjà considéré que les adresses IP collectées à l'occasion de la recherche et de la constatation des actes de contrefaçon sur Internet ne permettent pas d'identifier des personnes physiques et que, dès lors, elles ne constituent pas des données à caractère personnel (CA Paris, 27 avril 2007 et 15 mai 2007). Ces deux arrêts très commentés ont suscité beaucoup d'émotion dans la communauté de la protection de la vie privée. C'est dans un cadre similaire que la Cour d'appel de Paris a rejeté les adresses IP à titre de preuve dans sa décision du 28 mai 2008.

Ces décisions peuvent de prime abord surprendre, mais il faut souligner que les juridictions répressives doivent appliquer les principes de droit pénal, au premier chef desquels la stricte application de la loi pénale et de la procédure pénale. Or, l'analyse technique de l'adresse IP faite par les juges de la Cour d'appel de Paris n'est pas erronée.

En effet, l'IPv4 ne permet pas de déterminer avec certitude l'identité d'une personne physique, sauf, éventuellement, pour le fournisseur d'accès qui peut recouper ses propres fichiers pour déterminer l'identité de la personne physique. A l'inverse, un moteur de recherche ne peut pas, sans difficultés ou assistance de la part d'un fournisseur d'accès (le cas échéant, en violation de la Loi ... « Informatique et Libertés » d'ailleurs) obtenir avec certitude l'identité d'une personne physique à partir d'une adresse IPv4. En revanche, l'IPv6 permettra d'identifier un appareil avec certitude et permettra donc, avec plus de facilité, d'identifier une personne physique. C'est sur ce doute que les juges rejettent l'acceptation de telles preuves. Ce qui n'est pas le cas de la CNIL.

La position de la CNIL et des autorités européennes

Afin de faire entrer les moteurs de recherche dans le cadre de la directive européenne sur la protection des données personnelles, le Groupe de l'Article 29 (émanation de la Commission européenne regroupant les principales autorités nationales) a rapidement considéré que les adresses IP sont des données personnelles.
Le Groupe de l'Article 29 a ainsi rappelé, dans un avis du 20 juin 2007, que l'adresse IP attribuée à un internaute lors de ses communications constituait une donnée personnelle.  Le 18 février 2008, a encore précisé que les « moteurs de recherche tombent dans le champ d'application de la Directive (de protection des données personnelles) s'ils collectent des adresses IP des utilisateurs ou l'historique de navigation et doivent, en conséquence, respecter les obligations de la loi ». C'est d'ailleurs sur le fondement de cette interprétation que le Groupe de l'Article 29 a pu négocié et a obtenu un délai de conservation des adresses IP par les moteurs de recherche beaucoup plus court. Google a ainsi annoncé en septembre 2008 un délai de conservation des adresses IP de 9 mois, Microsoft a communiqué le 9 décembre 2008 un délai de 6 mois et Yahoo! un délai de 3 mois.

Or, même si la CNIL a été reconnue comme une juridiction (au sens de l'article 6-1 Convention européenne des Droits de l'Homme) par le Conseil d'Etat, les méthodes d'interprétation diffèrent avec les juridictions répressives. Les buts poursuivis par la CNIL et la Cour d'appel de Paris sont différents et chacun est louable. Cette hésitation pourrait continuer jusqu'à l'arrivée de l'IPv6 qui permettra, sans discussion possible, d'identifier une personne physique, mais pourrait s'éclaircir dans le cadre de la réunion du Groupe de l'Article 29, au mois de février 2009 sur les moteurs de recherche et les adresses IP.