Vous ne le savez peut-être pas encore, mais l’adresse IP (« IP » pour Internet Protocol) est un numéro qui permet d’identifier tout matériel (serveur web, serveur de courrier électronique, ordinateur individuel…) connecté à un réseau informatique, utilisant l’Internet Protocol.
Ces adresses IP prennent la forme d’une suite de numéros, attribuée par les fournisseurs d’accès à Internet (« FAI ») aux ordinateurs personnels, au moment de leur connexion au serveur. Pour les FAI, c’est donc un moyen d’identification des ordinateurs de leurs abonnés puisqu’ils sont en mesure d’identifier l’adresse postale de l’ordinateur qui est connecté sur un site « A » à un moment « t ».
Le rapprochement possible entre une adresse IP et l’identité d’un utilisateur pose la question de la qualification juridique de l’adresse IP au regard des données personnelles.
L’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définit les données à caractère personnel comme : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Lors d’une délibération du 21 décembre 2006, La Commission Nationale de l’Informatique et des Libertés ( « CNIL ») a clairement estimé que l’adresse IP est une « donnée indirectement personnelle » à l’instar d’un numéro de téléphone ou d’un numéro d’immatriculation quelconque, puisqu’il est possible, par recoupement, de l’associer à une personne physique déterminée.
Ce point de vue est partagé au niveau européen, le groupe dit de « l’Article 29 » (mis en place par la Directive 95/46/CE sur la protection des données et en charge des questions afférentes à ce sujet) ayant également qualifié l’adresse IP de donnée à caractère personnel dans un avis du 20 juin 2007.
Il l’est aussi au niveau national par nombre de juridictions de première instance qui tendent, elles aussi, à « personnifier» l’adresse IP pour lui reconnaître la qualité de donnée personnelle.
La Cour d’appel de Paris en revanche s’est clairement distinguée par deux arrêts d’avril et mai 2007 en refusant la qualification de donnée personnelle de l’adresse IP. Dans ces deux affaires des internautes utilisateurs, poursuivis pour contrefaçon d’œuvres protégées, soulevaient l’exception de nullité arguant que la collecte de leur adresse IP s’était faite sans déclaration auprès de la CNIL, en violation de la loi de 1978. Ils furent déboutés au motif que l’adresse I.P ne « constitue en rien une donnée directement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon. »
Au regard de ces décisions, (i) l’adresse IP en elle-même ne permettrait donc pas d’identifier une personne, mais (ii) il existerait une distinction entre deux types d’adresses. D’une part l’adresse IP en tant que donnée purement numérique et d’autre part l’adresse IP « personnalisée » (c’est à dire quand un internaute donne volontairement son identité à l’auteur de la collecte, par exemple dans le cadre d’un achat en ligne) qui serait, elle, une donnée à caractère personnel.
La question reste donc ouverte.
Compte tenu de l’essor d’Internet, il existe potentiellement aujourd’hui une multiplicité d’ordinateurs derrière une même adresse IP, et une multiplicité d’individus derrière un même ordinateur (cybercafé, cercle familial)
Si ces éléments techniques tendent vers le rejet de la qualification de donnée à caractère personnel de l’adresse IP, la CNIL ou le Groupe 29 proposeront peut-être à l’avenir une différence de statut des adresses IP, de manière à permettre la qualification de données personnelles pour les plus « personnalisée » d’entre elles, et garantir ainsi aussi la protection des informations personnelles auxquelles elles peuvent donner accès.