Par François Coupez (@f_coupez), Avocat à la Cour, Associé Cabinet Caprioli & Associés
Chargé d’enseignement à l’université Paris II Panthéon-Assas

La question du statut réel de l’adresse IP est une question qui revient avec obstination sur le devant de la scène juridique et parfois médiatique, alors même que les partisans de chaque camp l’estiment résolue. Avec l’adoption de la proposition de règlement européen sur la protection des données à caractère personnel qui se rapproche, le moment est venu d’un petit rappel sur le sujet.

Précisons en effet qu’à l’origine, l’article 4 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définissait les données « nominatives » comme « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Modifiée par la loi du 6 août 2004 pour que le droit français se conforme à la directive européenne 1995/46/CE, la donnée « nominative » est devenue « donnée à caractère personnel » (art. 2 de la loi de 1978 ainsi modifiée) et sa définition a été complétée pour préciser cette notion d’identification indirecte : « Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Au plan technique, l’adresse IP permet quant à elle d’identifier, au sein d’un réseau informatique, un terminal (quel que soit son type) utilisant l’ensemble de protocoles TCP/IP pour communiquer avec d’autres terminaux, notamment lors de la connexion à l’internet. Ce numéro, unique pour chaque interface de connexion d’un terminal au sein d’un même réseau, peut être attribué par l’entité gérant la communication des ordinateurs en son sein – dans le cas d’une connexion Internet, cette entité est le Fournisseur d’Accès à Internet ou FAI. L’attribution peut s’opérer de façon dynamique (dans ce cas, l’adresse est donnée lors de chaque connexion à Internet et ne sera conservée que pendant le temps de cette connexion), semi-permanente (fixée pour une durée déterminée) ou permanente : dans ce cas, l’adresse ne varie pas dans le temps même si le terminal est déconnecté puis reconnecté au réseau.

Adresse IP ou adresse ID ?

L’adresse IP est-elle une donnée permettent une identification indirecte au sens de la loi ? Si c’est le cas, les conséquences seront en effet importantes, car le traitement de ces adresses sera soumis au respect de la loi et donc à son formalisme. Il n’est donc pas étonnant de constater que le sujet a été mis en avant à chaque fois que la répression pénale des internautes a été envisagée en masse sur la base de constatations effectuées directement par les victimes de ces actes :
– il en a été ainsi pour le contentieux de la contrefaçon, du fait des téléchargements illicites. Les tribunaux ont considéré à cette occasion que les adresses IP collectées par des sociétés privées mandatées par des ayants droit à l’occasion de la recherche et de la constatation des actes de contrefaçon sur Internet ne permettaient pas d’identifier, même indirectement, des personnes physiques et que, dès lors, elles ne constituaient pas des données à caractère personnel (Cour d’appel de Paris 27 avril 2007, 15 mai 2007, 29 janvier 2008 ; Cour de cassation 13 janvier 2009). Notons que la CNIL avait refusé les autorisations de mise en place de telles collectes (notamment le 18 octobre 2005 par quatre décisions, avant censure le 23 mai 2007 par le Conseil d’État).
– et il faut souligner qu’en février 2013, un sénateur avait déposé un amendement visant à reconnaître que l’adresse IP n’était pas une donnée caractère personnel à l’occasion de la récente discussion sur la proposition de loi « visant à harmoniser les délais de prescription des infractions prévues par la loi sur la liberté de la presse du 29 juillet 1881, commises en raison du sexe, de l’orientation ou de l’identité sexuelle ou du handicap ». Son raisonnement, là aussi, reposait sur le fait que permettre à l’adresse IP d’être protégée par la loi de 1978 (imposant un formalisme dans le recueil et le traitement, rappelons-le) empêcherait l’action judiciaire dans le délai de prescription prévu par loi de 1881 (« Considérer l’adresse IP comme une donnée à caractère privé est une position compréhensible dans le cadre du respect de la vie privée, mais indéfendable dans celui de la loi de 1881, parce qu’on ne peut pas trouver l’auteur de l’infraction… »), étant entendu que « l’exclusion proposée de l’adresse IP du champ des données à caractère personnel ne concernerait bien entendu que la poursuite des infractions visées par le texte qui nous est soumis ».