L’adresse IP est-elle, oui ou non, une donnée à caractère personnel ? La question n’est pas sans importance puisque de sa réponse dépend le régime juridique des collectes d’adresses IP, notamment par les entreprises chargées de surveiller les réseaux P2P. On se souvient par exemple que le Conseil d’Etat, en jugeant en 2007 que l’adresse IP n’était pas une donnée personnelle, avait obligé la CNIL à autoriser une chasse aux pirates qu’elle avait gelée.
Dans un rapport (.pdf) sur « la vie privée à l’heure des mémoires numériques », publié ce mercredi, les sénateurs Yves Détraigne (MoDem) et Anne-Marie Escoffier (PRC) proposent d’affirmer « sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel« .
« Alors que le statut juridique de l’adresse IP en France demeure flou, vos rapporteurs ont pour leur part acquis la conviction que l’adresse IP constituait un moyen d’identifier un internaute, au même titre qu’une adresse postale ou un numéro de téléphone par exemple« , écrivent les deux rapporteurs.
« L’adresse IP répond de ce point de vue aux critères fixés par la directive 95/46/CE, repris à l’article 2 de la loi du 6 janvier 1978 modifiée et selon lesquels une donnée à caractère personnel est une information » relative à une personne identifiée ou identifiable « « .
Ils proposent de modifier cet article 2 pour expliciter le fait que l’adresse IP est une donnée à caractère personnelle, car « compte-tenu du rôle essentiel qu’Internet est appelé à jouer dans la vie d’une partie sans cesse croissante de nos concitoyens, il leur semble indispensable que les garanties concernant la collecte de données à caractère personnel s’appliquent également sans ambiguïté aux données de connexion des internautes« .
Une jurisprudence française floue dans un cadre européen clair
La France suivrait alors la recommandation du G29, qui rassemble les différentes « CNIL européennes ». Dans un avis du 20 juin 2007 (un mois après la décision du Conseil d’Etat), elle avait en effet affirmé que l’IP devait être regardée comme une donnée personnelle. Un avis d’ailleurs suivi par la Cour de Justice des Communautés Européennes dans l’arrêt Promusicae du 29 janvier 2008, et conforme à la révision de la directive de 2002, intervenue en 2006.
« En France, néanmoins, la question demeure confuse. Dans une décision rendue le 13 janvier 2009, la Chambre criminelle de la Cour de cassation a considéré que, lorsque la collecte des adresses IP s’effectue » à la main « , et non au moyen d’un traitement informatique automatisé, l’autorisation de la CNIL n’est pas requise« , regrettent les rapporteurs. « Ce faisant, la Chambre criminelle n’a pas tranché le débat relatif au statut de l’adresse IP, ce qui semble particulièrement regrettable au regard du flou juridique qui subsiste sur cettequestion« .
Toutes les recommandations émises par le rapport :
FAIRE DU CITOYEN UN » HOMO NUMERICUS » LIBRE ET ECLAIR°, PROTECTEUR DE SES PROPRES DONN°ES
Recommandation n° 1 – Renforcer la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires
Recommandation n° 2 – Promouvoir l’organisation et le lancement d’une campagne d’information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l’heure du numérique ainsi qu’à les informer des droits que leur reconnaît la loi » informatique et libertés «
Recommandation n° 3 – Promouvoir rapidement la création de labels identifiant et valorisant des logiciels, applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles
RENFORCER LES MOYENS ET LA L°GITIMIT° DE LA CNIL
Recommandation n° 4 – Créer une redevance, de faible montant, acquittée par les grands organismes, publics et privés, qui traitent des données à caractère personnel
Recommandation n° 5 – Déconcentrer les moyens d’actions de la CNIL par la création d’antennes interrégionales
Recommandation n° 6 – Renforcer la capacité d’expertise et de contrôle de la CNIL
Recommandation n° 7 – Rendre obligatoires les correspondants informatique et libertés pour les structures publiques et privées de plus de cinquante salariés
Recommandation n° 8 – Rendre publiques les audiences et les décisions de la formation restreinte de la CNIL
COMPL°TER LE CADRE JURIDIQUE ACTUEL
Recommandation n° 9 – Soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles
Recommandation n° 10 – Affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel
Recommandation n° 11 – Créer a minima une obligation de notification des failles de sécurité auprès de la CNIL
Recommandation n° 12 – Réunir sous une seule autorité, la CNIL, les compétences d’autorisation et de contrôle en matière de vidéosurveillance
Recommandation n° 13 – Réserver au législateur la compétence exclusive pour créer un fichier de police
Recommandation n° 14 – Réfléchir à la création d’un droit à » l’hétéronymat » et d’un droit à l’oubli
Recommandation n° 15 – Inscrire dans notre texte constitutionnel la notion de droit au respect de la vie privée
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !