La Cour de justice de l’Union européenne (CJUE) a mis fin à un long suspense en précisant que l’adresse IP dynamique d’un visiteur, enregistrée lors de la consultation d’un site web accessible au public, est une donnée personnelle pour le site web, même s’il ne peut pas identifier directement le visiteur mais qu’il a des moyens légaux de le faire identifier grâce à des informations supplémentaires dont dispose par exemple le fournisseur d’accès à Internet de cette personne.
Après les adresses statiques, les adresses dynamiques
La CJUE a déjà eu l’occasion de dire que lorsque la collecte et l’identification des adresses IP des utilisateurs d’Internet sont effectuées par les fournisseurs d’accès, les adresses IP sont des données personnelles, car elles permettent l’identification précise de ces utilisateurs.
Dans l’Affaire Patrick Breyer contre Bundesrepublik Deutschland (C-582/14), la CJUE devait préciser si les adresses IP des utilisateurs d’un site web proposé au public par un fournisseur de services de médias en ligne sont des données personnelles, même si ce fournisseur de service ne dispose pas des informations supplémentaires nécessaires pour identifier ces utilisateurs.
La Cour distingue entre les adresses IP attribuées par les fournisseurs d’accès à Internet dites «statiques» et celles dites «dynamique», car elles changent à chaque nouvelle connexion. Les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Dans cette affaire, il s’agit d’adresses IP dynamiques.
Une personne identifiable
En résumé, le fournisseur de médias en ligne dispose d’une adresse IP dynamique, ainsi que de la date et l’heure de la session de consultation de son site web à partir de cette adresse IP. Le fournisseur d’accès à Internet dispose lui d’informations supplémentaires qui, si elles sont combinées avec l’adresse IP, permettent d’identifier le titulaire de l’adresse IP.
Pour la CJUE, l’adresse IP dynamique ne se rapporte pas à une personne identifiée (l’adresse ne révèle pas directement l’identité de la personne), mais une personne identifiable. Pour rappel une donnée personnelle est une donnée qui se rapporte tant à une personne identifiée qu’à une personne identifiable. On considère que la personne est identifiable lorsque des informations supplémentaires susceptibles d’être raisonnablement mis en œuvre permettent d’identifier la personne.
Dans les cas des adresses IP, les informations supplémentaires nécessaires ne sont pas détenues par le site web, mais par le fournisseur d’accès à Internet de l’utilisateur. Pour la CJUE, cela n’empêche pas la qualification de données personnelles. Le droit allemand applicable à cette affaire ne permet certes pas au fournisseur d’accès à Internet de transmettre directement au site web les informations supplémentaires nécessaires à l’identification de la personne concernée, mais des voies légales permettent au site web de s’adresser à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.
En droit suisse, si une plainte pénale est déposée contre un inconnu identifiable au moyen d’une adresse IP, l’autorité de poursuite pénale obtiendra du fournisseur d’accès les informations d’identification et le plaignant aura aussi connaissance de ces informations.
La CJUE a finalement rappelé qu’un État membre ne peut pas déroger au droit européen et empêcher un fournisseur de services de collecter et d’utiliser des données personnelles relatives à un utilisateur, même en l’absence du consentement de celui-ci, dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et cas échéant facturer l’utilisation desdits services par cet utilisateur. Un site web peut donc, même sans le consentement de l’internaute, traiter l’adresse IP. Cette adresse ne devrait en revanche pas être conservée après une session ou pour une utilisation dans d’autres buts.
Et en Suisse
Le Tribunal fédéral avait déjà affirmé de manière claire en 2010 que l’adresse IP dynamique est une donnée personnelle (ATF 136 II 508).
Laisser un commentaire