Contexte

CJUE 19 octobre 2016, affaire C‑582/14

Un internaute a consulté plusieurs sites Internet des services fédéraux allemands. Sur ces sites, accessibles au public, lesdits services fournissent des informations actualisées.  Afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les « pirates », la plupart de ces sites enregistrent toutes les consultations dans des fichiers journaux et notamment l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée. Ces données sont conservées pendant 2 semaines.

L’internaute a introduit, devant les juridictions administratives allemandes, un recours visant à ce qu’il soit fait interdiction à la République fédérale d’Allemagne de conserver ou de faire conserver l’adresse IP dans ce contexte.

Règle applicable

Selon l’article 2 (a) de la directive 95/46 , les « données à caractère personnelles » sont définies comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Jurisprudence antérieure relative à l’adresse IP

Il convient de rappeler que, dans un arrêt du 24 novembre 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), la Cour a considéré, en substance, que les adresses IP des utilisateurs d’Internet étaient des données personnelles, car elles permettent l’identification précise de ces utilisateurs. Cependant, il s’agissait de cas dans lesquels la collecte et l’identification des adresses IP des utilisateurs d’Internet seraient effectuées par les fournisseurs d’accès à Internet.

Différence avec le cas d’espèce

Or en l’espèce c’est le fournisseur de services de médias en ligne, à savoir la République fédérale d’Allemagne, qui enregistre les adresses IP des utilisateurs d’un site Internet que ce fournisseur de services rend accessible au public, sans disposer des informations supplémentaires nécessaires pour identifier ces utilisateurs.

De plus il s’agit dans le cas d’espèce d’adresses « IP dynamiques », à savoir celles, provisoires, qui sont attribuées à chaque connexion à Internet et remplacées lors de connexions ultérieures, et non pas des adresses IP « statiques », qui sont invariables et permettent l’identification permanente du dispositif connecté au réseau.  Par conséquent, les données incluses dans une adresse IP dynamique ne permettent pas au fournisseur de services de médias en ligne d’identifier l’utilisateur.

Décision concernant l’adresse IP en général

La cour rappelle que :

– l’utilisation du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée personnelle, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée.

– le considérant 26 de la directive 95/46 énonce que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

La Cour a considéré que des adresses « IP dynamiques » constituent des données personnelles pour un fournisseur de services de médias en ligne (dans le cas présent : la République Fédérale d’Allemagne) qui donne accès à un site Internet.

Cela est suffisant selon la Cour pour être considéré comme des données personnelles, si les données supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont stockées par le fournisseur d’accès Internet de l’utilisateur. Il suffit que l’éditeur du site dispose de moyens légaux lui permettant de faire identifier la personne concernée (grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne).

Il est entendu par là tout moyen légal, par exemple les voies légales permettant au fournisseur de services de médias en ligne de s’adresser, en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet en cas de cyberattaque.

Impact

Cette décision va avoir un impact considérable pour tous les éditeurs de site Internet. Ultimement et en application de la même décision, l’éditeur du site Internet est tenu d’obtenir le consentement des utilisateurs afin de stocker les adresses IP dynamiques (pour une utilisation autre que celle visant à permettre et à facturer l’utilisation concrète du média en ligne par l’utilisateur en question).

Cette qualification restera inchangée après l’entrée en vigueur du Règlement sur la Protection des Données 2016/679 en mai 2018, puisque l’article 2 de la directive 95/46 qui est cité dans cette décision est incorporé en des termes quasiment identiques à l’article 4 (1) du RGPD.
  Contact : stephanie.faber@squirepb.com