Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Main Content

Left content

L’adresse IP : une donnée à caractère personnel (la plupart du temps !)

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

category-non-classe

Par François Coupez (@f_coupez), Avocat à la Cour, Associé Cabinet Caprioli & Associés
Chargé d’enseignement à l’université Paris II Panthéon-Assas

La question du statut réel de l’adresse IP est une question qui revient avec obstination sur le devant de la scène juridique et parfois médiatique, alors même que les partisans de chaque camp l’estiment résolue. Avec l’adoption de la proposition de règlement européen sur la protection des données à caractère personnel qui se rapproche, le moment est venu d’un petit rappel sur le sujet.

Précisons en effet qu’à l’origine, l’article 4 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définissait les données « nominatives » comme « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Modifiée par la loi du 6 août 2004 pour que le droit français se conforme à la directive européenne 1995/46/CE, la donnée « nominative » est devenue « donnée à caractère personnel » (art. 2 de la loi de 1978 ainsi modifiée) et sa définition a été complétée pour préciser cette notion d’identification indirecte : « Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Au plan technique, l’adresse IP permet quant à elle d’identifier, au sein d’un réseau informatique, un terminal (quel que soit son type) utilisant l’ensemble de protocoles TCP/IP pour communiquer avec d’autres terminaux, notamment lors de la connexion à l’internet. Ce numéro, unique pour chaque interface de connexion d’un terminal au sein d’un même réseau, peut être attribué par l’entité gérant la communication des ordinateurs en son sein – dans le cas d’une connexion Internet, cette entité est le Fournisseur d’Accès à Internet ou FAI. L’attribution peut s’opérer de façon dynamique (dans ce cas, l’adresse est donnée lors de chaque connexion à Internet et ne sera conservée que pendant le temps de cette connexion), semi-permanente (fixée pour une durée déterminée) ou permanente : dans ce cas, l’adresse ne varie pas dans le temps même si le terminal est déconnecté puis reconnecté au réseau.

Adresse IP ou adresse ID ?

L’adresse IP est-elle une donnée permettent une identification indirecte au sens de la loi ? Si c’est le cas, les conséquences seront en effet importantes, car le traitement de ces adresses sera soumis au respect de la loi et donc à son formalisme. Il n’est donc pas étonnant de constater que le sujet a été mis en avant à chaque fois que la répression pénale des internautes a été envisagée en masse sur la base de constatations effectuées directement par les victimes de ces actes :
– il en a été ainsi pour le contentieux de la contrefaçon, du fait des téléchargements illicites. Les tribunaux ont considéré à cette occasion que les adresses IP collectées par des sociétés privées mandatées par des ayants droit à l’occasion de la recherche et de la constatation des actes de contrefaçon sur Internet ne permettaient pas d’identifier, même indirectement, des personnes physiques et que, dès lors, elles ne constituaient pas des données à caractère personnel (Cour d’appel de Paris 27 avril 2007, 15 mai 2007, 29 janvier 2008 ; Cour de cassation 13 janvier 2009). Notons que la CNIL avait refusé les autorisations de mise en place de telles collectes (notamment le 18 octobre 2005 par quatre décisions, avant censure le 23 mai 2007 par le Conseil d’État).
– et il faut souligner qu’en février 2013, un sénateur avait déposé un amendement visant à reconnaître que l’adresse IP n’était pas une donnée caractère personnel à l’occasion de la récente discussion sur la proposition de loi « visant à harmoniser les délais de prescription des infractions prévues par la loi sur la liberté de la presse du 29 juillet 1881, commises en raison du sexe, de l’orientation ou de l’identité sexuelle ou du handicap ». Son raisonnement, là aussi, reposait sur le fait que permettre à l’adresse IP d’être protégée par la loi de 1978 (imposant un formalisme dans le recueil et le traitement, rappelons-le) empêcherait l’action judiciaire dans le délai de prescription prévu par loi de 1881 (« Considérer l’adresse IP comme une donnée à caractère privé est une position compréhensible dans le cadre du respect de la vie privée, mais indéfendable dans celui de la loi de 1881, parce qu’on ne peut pas trouver l’auteur de l’infraction… »), étant entendu que « l’exclusion proposée de l’adresse IP du champ des données à caractère personnel ne concernerait bien entendu que la poursuite des infractions visées par le texte qui nous est soumis ».

 

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

1 Star2 Stars3 Stars4 Stars5 Stars
6 avis - 4,17 / 5

Participez ou lancez la discussion!

  • bortzmeyer

    Très bien expliqué. Une correction technique, toutefois : il y a bien longtemps que l’adresse IP n’est plus « unique pour chaque interface de connexion d’un terminal ».

  • Fred

    Depuis quelques semaines, j’assiste en effet à une démarche de webmarketing effarante en matière d’intrusion : je me rends sur un site web marchand dans le cadre de mon travail et dans les heures qui suivent, je reçois une publicité sur mon compte e-mail personnel relatives aux produits que j’ai consultés!!!(dans le premier cas, j’étais connecté à un compte google non associé à mon adresse électronique)

    Comment s’est effectuée la relation adresse IP / adresse e-mail perso? La société qui génére la pub en question est Eperflex, spécialiste justement dans le multicanal… Celle-ci a-t-elle installé un mouchard pour détecter et aspirer mon adresse sur la page d’accueil de Zimbra et le mettre en relation avec l’IP de l’ordinateur? ou bien est-ce Zimbra qui génère cette association pour revendre ensuite cette dernière à une entreprise telle que Eperflex?

    • fred

      complément; Eperfex affiche sur son site  » une solution d’e-mail retargeting qui permet à un éditeur d’adresser dynamiquement à sa communauté d’abonnés des emails de reciblage basés sur leur navigation en ligne ». » Une bonne partie de la réponse est donc dans cette phrase. La manière d’y arriver en est une autre (cookie sur le navigateur par lequel l’inscription a été faite ?.

Right content

En bref

Newsletter gratuite

Suivez-nous…

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.


Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.


BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.


Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web