Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’adresse IP : une donnée à caractère personnel (la plupart du temps !)

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Le raisonnement peut toutefois apparaître quelque peu pervers à des non-juristes, quand il est explicité : l’adresse IP de doit pas être reconnue comme une donnée à caractère personnel, car elle rendrait plus compliquée – pour de purs motifs procéduraux tels que l’autorisation préalable de traitement – l’identification des auteurs des actes et donc in fine le dépôt de plaintes ou les actions civiles. Sans cette protection, cette identification serait possible et la poursuite (pénale ou civile) serait facilitée… étant entendu que justement, si elle rend possible identification des auteurs des actes, l’adresse IP entre par définition dans le champ des données à caractère personnel !

Cette identification rendue possible est la raison pour laquelle, outre la position de la CNIL en ce sens, le Groupe de travail des autorités européennes de protection des données (aussi appelé « Groupe de l’Article 29 ») a considéré que l’adresse IP devait être considérée comme une donnée à caractère personnel. Dans un avis du 20 juin 2007, le Groupe de l’Article 29 a en effet déclaré que l’information qui permet l’identification indirecte d’une personne peut être qualifiée de donnée à caractère personnel compte tenu des moyens mis en œuvre, par le responsable du traitement, pour identifier ladite personne (position implicitement suivie par de la Cour de Justice des Communautés Européennes dans son arrêt Promusicae du 29 janvier 2008).

Évacuons d’emblée un autre contre-argument fantasque : le fait que l’on puisse usurper une adresse IP n’est en rien de nature à l’empêcher d’être une donnée à caractère personnel. On ne demande pas à une telle donnée d’être fiable et de garantir une identification, mais juste de la permettre dans le cadre d’une utilisation classique. Heureusement, car sinon même le traitement des données telles que notre nom, notre adresse ou notre date de naissance ne serait pas protégé par la loi en raison des risques d’usurpation d’identité !

Unité ou multiplicité de l’adresse IP ?

Plus sérieusement, attachons-nous à la réalité de l’adresse IP, telle qu’elle a été notamment mise en avant par la CNIL dans sa délibération du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information, qui l’a décrite comme des « adresses qui constituent l’équivalent d’un numéro minéralogique que le fournisseur d’accès attribue à l’ordinateur utilisé par l’abonné, soit de manière permanente, soit à chacune de ses connexions. La conservation de cette adresse IP permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexion ».

De cette formulation en effet, certains commentateurs ont pu déduire, le temps passant, que l’adresse IP identifiait un ordinateur, et non l’abonné du fournisseur d’accès. Pourtant, cette immatriculation de l’ordinateur n’est valable qu’à un temps T donné, et qu’en présence d’une adresse IP fixe, l’ordinateur peut être physiquement remplacé à travers le temps de son abonnement : un nouveau terminal utilisé à un moment donné par la même personne ou entité présentera toujours la même IP telle qu’attribuée par le fournisseur d’accès… En effet, ce dernier attribue une adresse à l’abonné en fonction du contrat qui les lie, et non en considération d’un matériel particulier se trouvant derrière le modem ou la box reliée au FAI.

En réalité, la vraie question permettant de déterminer la nature juridique de l’adresse IP est liée à l’adresse en elle-même et à sa nature profonde, les adresses IP pouvant être fondamentalement divisées en deux grandes catégories : les adresses dites « routables » ou encore « publiques » d’une part, permettant à chacun de leur titulaire de directement rendre visible son ordinateur sur le réseau public internet, et les adresses locales, purement internes à un réseau informatique donné d’autre part et qui ne sont destinées qu’à cette utilisation : la même adresse (192.168.0.1 par exemple) peut être utilisée sur des millions de réseaux informatiques différents. Cette distinction est liée à la gestion de la ressource limitée qu’était l’adresse IP dans sa version de protocole 4, raison de son remplacement par la version 6. Et c’est grâce à une « passerelle », qui permet une « translation » c’est-à-dire une correspondance entre une (ou plusieurs) adresse locale et l’adresse routable, que l’utilisateur peut, au sein d’un réseau local, se connecter sur l’internet.

L’adresse IP comme donnée d’identification utile

L’adresse routable donne donc forcément la possibilité de remonter jusqu’à celui – personne physique ou morale – à qui elle a été apparemment attribuée. Le lien entre l’adresse routable partagée et l’IP locale (attribuée à celui qui s’est effectivement connecté au sein du réseau local) dépend en revanche des conditions d’attribution de cette adresse (de façon anonyme et automatique ? après identification préalable et obligatoire ?) par le responsable du réseau local (cybercafé vis-à-vis de ses clients, entreprise vis-à-vis de ses salariés notamment, etc.). D’où l’application de la réglementation liée à la conservation obligatoire des données de connexion à d’autres que les FAI en ayant fait leur profession (cf. art. 34-1 alinéa 2 du CPCE, arrêt de la cour d’appel de Paris du 4 février 2005, etc.).

Si, en raison des développements précédents, seule l’adresse IP locale attribuée en interne pourrait donc être considérée comme n’étant pas toujours une donnée à caractère personnel (tout dépendant des modalités de son attribution), reste que la généralisation du protocole IP version 6 pourrait mettre tout le monde d’accord.

Le futur règlement européen tranchera-t-il toutefois expressément la question de la nature juridique de l’adresse IP ? Renverra-t-il à un acte d’exécution qui pourrait aller jusqu’à faire des distinctions entre IP routable ou local, version 4 ou version 6 ? Des surprises pourraient en tout cas avoir lieu d’ici à l’adoption de ce texte, au vu des enjeux supposés en terme de répression des internautes délinquants, voire des questions de détection des incidents de sécurité (outils SIEM, exploitation Big Data, etc.), d’autant que le considérant 39, dans sa version présentée le 25 janvier 2012, mentionnait spécifiquement que le traitement des données relatifs au trafic à des fins de sécurité des réseaux et des informations, par les CERT notamment, est licite, car constituant bien un « intérêt légitime ».

D’ailleurs, une fois la question de l’adresse IP réglée, d’autres interrogations pourraient naître, qui ne font pas l’objet de tant de médiatisation pour l’heure : qu’en est-il de l’adresse MAC (Media Access Control) ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à L’adresse IP : une donnée à caractère personnel (la plupart du temps !)

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.