La Cour de justice de l’Union européenne a décidé, dans un arrêt du 19 octobre 2016 :
1) «[…] une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel ou sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier Io personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».
2) « L’article 7 sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci ».
Peu de temps après, dans un arrêt du 3 novembre 2016, la Cour de cassation a suivi la Cour de justice et décidé que «[..] les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
Observations : Par deux décisions rendues le 19 octobre 2016 et le 3 novembre 2016, la Cour de justice de l’Union européenne et la Cour de cassation ont successivement qualifié l’adresse IP (Internet Protocol) de donnée à caractère personnel, mettant ainsi un terme à une incertitude juridique longtemps entretenue par ces deux juridictions.
Dans la première espèce, soumise à l’examen de la Cour de justice, un ressortissant allemand, M. Breyer, avait consulté des sites internet des services fédéraux allemands, lesquels sites enregistraient l’adresse IP des visiteurs et les conservaient aux termes des sessions de consultation afin de se prémunir contre des attaques informatiques. M. Breyer avait introduit devant les juridictions allemandes un recours visant à ce qu’il soit fait interdiction à l’Allemagne de conserver ou de faire conserver, au terme des sessions de consultation des sites internet des services fédéraux allemands, l’adresse IP du système hôte accédant. La Cour fédérale de justice allemande a saisi la Cour de justice de deux questions préjudicielles. À la première question portant sur l’interprétation de la notion de donnée à caractère personnel telle qu’elle ressort de l’article 2 de la directive 95/46/CE du 24 octobre 1995, la Cour de justice a affirmé qu’une adresse IP dynamique enregistrée par un fournisseur de services à l’occasion d’un accès à un site internet constituait pour celui-ci une donnée à caractère personnel même si c’est un tiers qui dispose des informations nécessaires pour identifier la personne concernée. À la seconde question, portant sur l’interprétation des conditions de licéité d’un traitement de données à caractère personnel telles que prévues par l’article 7 de cette directive, la Cour de justice a décidé que la collecte et l’utilisation, par un fournisseur de services de médias, des données à caractère personnel afférentes à l’utilisateur de ces services en l’absence de consentement de celui-ci pouvaient être justifiées par l’intérêt légitime du responsable de traitement dont l’objectif est de garantir la capacité générale de fonctionnement de ces services.
Dans la seconde espèce, soumise à l’examen de la Haute juridiction française, trois sociétés d’un même groupe ayant constaté des connexions frauduleuses sur leur réseau informatique interne ont formé une requête sur le fondement de l’article 145 du code de procédure civile de façon à obtenir de plusieurs fournisseurs d’accès à internet la communication de l’identité des titulaires des adresses IP utilisées pour les connexions litigieuses. Une personne morale, identifiée par le biais de cette mesure d’instruction et ayant formé une demande de rétractation de l’ordonnance rendue, a invoqué l’illicéité de la mesure en arguant du fait que la conservation sous forme de fichier de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL. La Cour de cassation, interrogée sur la nécessité ou non de déclarer un tel fichier devait au préalable qualifier l’adresse IP, ce qu’elle a fait en décidant que ces adresses en tant qu’elles permettent d’identifier indirectement une personne physique sont des données à caractère personnel, de sorte que leur traitement devait faire l’objet d’une déclaration auprès de la CNIL.
À quelques semaines d’intervalle, la Cour de justice de l’Union européenne et la Cour de cassation adoptent donc la même approche en qualifiant l’adresse IP de donnée à caractère personnel (I), ce qui est lourd de conséquence car cela induit l’application à l’adresse IP du régime de protection propre aux données à caractère personnel (II).
Veuillez télécharger le PDF pour lire la suite de l’article: