L’adresse IP, une donnée personnelle qui peut être conservée pour lutter contre les cyberattaques

L’adresse IP, une donnée personnelle qui peut être conservée pour lutter contre les cyberattaques

Coup de couteau dans le DDoS

Avatar de l'auteur
Marc Rees

Publié dans

Droit

19/10/2016 5 minutes
12

L’adresse IP, une donnée personnelle qui peut être conservée pour lutter contre les cyberattaques

Un internaute avait attaqué l’Allemagne pour l’enregistrement et la conservation par cette dernière de l’adresse IP glanée lors de la consultation sur plusieurs sites des services fédéraux. La CJUE vient de trancher cette question en posant avant tout que l'adresse IP est bien une donnée personnelle. Sous conditions.

Pour justifier de cette conservation, les autorités allemandes avaient mis en avant le besoin de se prémunir contre les attaques informatiques. Conserver des IP rend en effet possibles les poursuites pénales contre « les pirates » informatiques et spécialement les auteurs d’attaques par déni de service. Sont ainsi enregistrés lors de la session de consultation, « le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée ». 

L’IP dynamique est une donnée personnelle sous conditions 

Sans revenir sur le cheminement de son analyse, la Cour a jugé aujourd’hui qu’une adresse IP même dynamique enregistrée par l’éditeur est une donnée à caractère personnel. Cependant, ce qualificatif est conditionnel : il suppose que l’éditeur « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Si un État membre offre cette possibilité d’action, alors l’IP est une donnée personnelle.

Cette petite phrase met un point d’arrêt à une jurisprudence hésitante en France. Dans une affaire de contrefaçon en 2007, la cour d’appel de Paris avait posé au contraire que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».  Et celle-ci d’insister : « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ».  

Si l’IP est une donnée personnelle, un éditeur de site peut-il conserver ces informations afin de faire réprimer des actes de piratage informatique ?

La conservation des IP pour assurer la continuité de l’accès aux sites

Un mur risquait de bloquer plus en avant la décision de la Cour. Par principe en effet, le droit européen « ne s’applique pas au traitement de données à caractère personnel ayant pour objet, notamment, les activités de l’État relatives à des domaines du droit pénal ». Cette question relève de la législation de chaque État membre, non de la directive de 95 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Dans le cas présent, le souci a été contourné très rapidement par la CJUE : les services fédéraux allemands ici en cause « agissent, malgré leur statut d’autorités publiques, en qualité de particuliers et hors du cadre des activités de l’État relatives à des domaines du droit pénal ». Du coup, la réponse a pu être apportée. 

Cette conservation est-elle donc dans les clous de la directive 95/46 et spécialement son article 7 ? Celui-ci prévoit une liste limitative et exhaustive de cas où un traitement de données peut être considéré comme licite. Les pays européens ne peuvent ni la limiter ni l'enrichir.

Cet article 7 sous f) indique que « les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si (…) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1 ».

Le cadre du droit allemand est simple : il n’autorise la conservation sans consentement de l’utilisateur que « dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média en ligne par l’utilisateur en question ». Il est donc plus restrictif que le champ de la directive.

Sans surprise, cette restriction est de ce fait tombée ce matin devant la Cour de Luxembourg car, selon elle, « les services fédéraux allemands (…) pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites ». Cette législation nationale n’était donc pas compatible avec la directive, faute d’avoir prévu une telle possibilité. 

Autrement dit, l’exploitant d’un site peut avoir un intérêt légitime à conserver des données personnelles, notamment s’il s’agit de se défendre contre les attaques DDoS, afin d’assurer in fine la continuité de son service.  

12

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’IP dynamique est une donnée personnelle sous conditions 

La conservation des IP pour assurer la continuité de l’accès aux sites

Commentaires (12)


Mais, en France, on est pas sensé conserver les données de connexions (donc l’ip) au moins deux ans ? Ca serait donc contraire aux directives de l’UE ?








CryoGen a écrit :



Mais, en France, on est pas sensé conserver les données de connexions (donc l’ip) au moins deux ans ? Ca serait donc contraire aux directives de l’UE ?





et à @NXI :

il y a quelques années, je me suis fait volé des ordis, dont un qui avait en cache Firefox mon login d’accès sur ce site. J’ai écris pour savoir si on pouvait tracer une connexion de mon compte, au cas où…. On m’a répondu que sur NXI (PCI à l’époque) on ne conservait aucune IP.

Je me demande comment ils font pour les bans sur IP fixes (comme la mienne) <img data-src=" />



une IP … virtuelle.

Adresse postale ?



… pas simple.


Bim les pirates qui ont fait tomber le site du ministère de l’intérieur en début de semaine.


tu crois qu’il font ça de leur maison/appart ? …. quand c’est des blackhat … alors des états style equation … mouarfff

… lol.


La justification paraît étonnante. Du coup, on peut conserver les adresses IP ayant consulté un site web… à vie ?



Dans ce cas, qu’est-ce qui empêche de conserver à vie les vidéos issues de la télésurveillance/télésécurité ? Après tout, elles peuvent aussi servir à empêcher un crime ou un délit. Or, elles conservent sans doute la trace d’éventuels criminels ou délinquants non seulement durant le crime ou délit, mais aussi durant d’éventuels repérages.



La justification paraît donc dangereuse, car elle implique que la résolution d’hypothétiques futurs crimes ou délits autorise la conservation (systématique ?) des informations personnelles (à vie ?)



Non ?


C’est pas que les FAI qui doivent faire ça ?


C’est ce que je comprends aussi, et c’est un peu abusif, je trouve. Surtout que selon la donnée ( ip, vidéo comme tu dit ou n’importe quoi d’autre ), ça taille, ça quantité, etc. Il est plutôt difficile de savoir si elle est vraiment pertinente. On va donc la garder, au cas ou hein… Sans parler du risque permanent d’abus d’utilisation de ces données par celui qui les stocke, ou celui qui y a accès ( surtout ça en fait ).


Vu mon combat régulier (et… vain ?) contre le spam, je ne peux que constater que celui qui acquiert des données personnelles s’en servira toujours, même suite à une requête contraire de l’intéressé.


La question ne se pose pas vraiment en France. Un décret de 2011 encadre déjà ces pratiques :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&…


Pourquoi l’existence d’un décret fait que la question ne se pose pas ?

Qu’en est-il de la hiérarchie des normes ? L’Allemagne aussi avait un texte législatif mais non conforme à la directive européenne.



Pourquoi mettre en lien une version obsolète du texte de ce décret dont une partie a été abrogée depuis ?