Les Faits
Cass. Civ. 1, 3 novembre 2016, n°15-22.595
Trois sociétés d’un même groupe ont constaté la connexion sur leur réseau informatique interne d’ordinateurs extérieurs au groupe. Cette connexion était effectuée au moyen de codes d’accès réservé aux administrateurs d’un site internet du groupe.
Souhaitant identifier les personnes s’étant connectées à leur réseau, les trois sociétés ont obtenu une ordonnance en référé enjoignant aux fournisseurs d’accès internet de révéler l’identité des titulaires des adresses IP utilisées.
Une société concurrente du groupe a été identifiée comme l’auteur de ces connexions. Celle-ci, après s’être vu déboutée en appel, s’est pourvue en cassation invoquant l’illicéité de la mesure d’instruction prévue par l’ordonnance. Elle soutenait que la conservation, sous forme de fichiers, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL.
La décision
La Cour de cassation juge que :
– « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel,
– de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ».
Portée
Cette décision s’inscrit dans la jurisprudence de la CJUE du 19 octobre 2016 (affaire C‑582/14) [1] dans laquelle la Cour considère que des adresses IP dynamiques constituent des données personnelles.
Le point plus problématique concerne les conséquences qui peuvent être tirées de l’absence de déclaration de traitement à la CNIL. Cela peut donner lieu à sanction administrative ou pénale (voir notre article Fichier concernant une seule personne : attention à la sanction pénale !) mais aussi à l’impossibilité d’utiliser les informations dans le cadre d’une action judiciaire (à rapprocher de l’arrêt déclarant nulle la cession d’un fichier non déclaré (voir notre article La cession d’un fichier non déclaré à la Cnil est illicite).
Ceci met encore une fois en lumière l’importance de respecter le droit de la protection des données personnelles.
Contact : stephanie.faber@squirepb.com
[1] Lire notre article La CJUE tranche sur la qualification des adresses IP comme données personnelles