Par une décision du 19 octobre 2016, la Cour de justice de l´Union européenne a déclaré que les adresses IP « dynamiques » constituent, sous conditions, des données à caractère personnel. Maître Muriel Assuline, Avocat du cabinet Assuline & Partners, explique que selon la Cour, un fournisseur de services de média en ligne est autorisé à conserver les adresses IP des visiteurs de son site quand il existe un intérêt légitime et notamment pour la préservation de la capacité générale de fonctionnement du site ainsi que pour la protection contre des éventuelles attaques cybernétiques.
Le litige en cause (aff. C‑582/14, Patrick Brayer c/ Bundesrepublik Deutschland) concernait M. Patrick Breyer qui s´opposait à ce que les sites Internet des services fédéraux allemands qu´il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP »). Afin de se protéger contre des éventuelles attaques informatiques et de rendre possibles les poursuites pénales, les services fédéraux allemands enregistrent et conservent les données suivantes: le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l´heure de la consultation, le volume des données transférées, la constatation du succès de la consultation, ainsi que les adresses IP des visiteurs.
Dans ce contexte, la Cour fédérale de justice allemande a saisi la Cour de justice d´une question préjudicielle afin de savoir si les adresses IP « dynamiques » constituent une donnée à caractère personnel et bénéficient, à ce titre, d´une protection correspondante en vertu de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. A la différence des adresses IP « statiques », les adresses IP « dynamiques » changent à l´occasion de chaque nouvelle connexion à Internet. De même, les adresses IP « dynamiques » ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d´accès à Internet. En l´espèce donc, seul le fournisseur d´accès à Internet de M. Breyer disposait des informations supplémentaires nécessaires pour l´identifier.
Par ailleurs, la juridiction de renvoi cherchait à savoir si l´exploitant d´un site Internet doit, en principe, avoir la possibilité de collecter et d´utiliser ultérieurement les données à caractère personnel des visiteurs afin de garantir la capacité générale de fonctionnement de son site. En ce sens, la juridiction de renvoi a constaté que la majorité de la doctrine allemande interprète la réglementation allemande en la matière en ce sens que ces données doivent être effacées à la fin de la session de consultation à moins qu´elles ne soient requises à des fins de facturation.
Une adresse IP « dynamique » : donnée à caractère personnel (sous conditions)
La Cour de justice de l´Union européenne a répondu à la première question préjudicielle par l´affirmative, en considérant qu´au regard de l´article 2, sous a) de la Directive 95/46/CE, une adresse IP dynamique enregistrée par un « fournisseur de services de média en ligne » lors de la consultation de son site Internet accessible au public constitue une donnée à caractère personnel. Néanmoins, cette qualification est conditionnelle : il faut que le fournisseur de services de média en ligne « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Or, à cet égard, il existe en Allemagne des voies légales permettant au fournisseur de services de média en ligne de s´adresser, en cas d´attaques cybernétiques, à l´autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d´accès à Internet et déclencher par la suite des poursuites pénales.
L´intérêt légitime de la conservation des adresses IP
Conformément à l’article 7, sous f), de la Directive 95/46/CE, le traitement de données à caractère personnel est licite « s´il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 » de cette directive.
Or, en l´espèce, la réglementation nationale prévoit qu´en l’absence du consentement du visiteur, un fournisseur de services de média en ligne ne peut collecter et utiliser les données à caractère personnel du visiteur que dans la mesure où cette collecte et cette utilisation sont nécessaires facturer l’utilisation concrète des services par ce visiteur, sans que l’objectif visant à garantir la capacité générale de fonctionnement de ces services puisse justifier l’utilisation des données après une session de consultation de ceux-ci. En effet, cette législation a une portée plus restrictive que celle du principe prévu à l´article 7, sous f), de la Directive 95/46/CE, car elle exclut que l’objectif de garantir la capacité générale de fonctionnement du média en ligne puisse faire l’objet d’une pondération avec l’intérêt ou les droits et libertés fondamentaux des visiteurs. Ainsi, selon la Cour, les services fédéraux allemands pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites. Dans ce contexte, la Cour de justice de l´Union européenne sanctionne la réglementation allemande comme étant contraire à l´article 7, sous f), de la Directive 95/46/CE.
C´est ainsi qu´un fournisseur de services de média en ligne peut avoir l´intérêt légitime à conserver les adresses IP des visiteurs de son site, notamment afin de se prémunir contre les attaques cybernétiques.
Solution reprise par la Cour de cassation
Dans une affaire récente, la Cour de cassation française a suivi la décision de la Cour de justice du 19 octobre dernier, en qualifiant l´adresse IP de donnée à caractère personnel au sens de l´article 2 de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée en 2004 (Cass., Civ.1ère, 3 novembre 2016, N. 15-22.595). Au sens de la décision de la Cour de cassation, les adresses IP- en tant que données à caractère personnel au titre de l´article 2 de la loi « Informatique et Libertés » de 1978- doivent être conservées en conformité avec l´article 22 de la loi de 1978. En effet, la conservation des adresses IP doit faire l´objet d´une déclaration auprès de la CNIL.
Quid du Règlement 2016/679?
Enfin, il n´est pas sans intérêt de noter que la décision de la Cour de justice du 19 octobre 2016 a été rendue au visa des dispositions de la Directive 95/46/CE et non pas du Règlement 2016/679 relatif à la protection des données personnelles du 27 avril 2016. En ce sens, l´article 4 du Règlement 2016/679 prévoit expressément que peut constituer une donnée à caractère personnel une information relative à une personne identifiable directement ou indirectement par référence à des données de localisation ou à des identifiants en ligne. Cette définition ne sera applicable qu´à partir du mai 2018- date de l´entrée en vigueur du Règlement.