Quel statut accorder aux données personnelles et à l’adresse IP ?

Quel statut accorder aux données personnelles et à l’adresse IP ?

L'IP ration

Avatar de l'auteur
Marc Rees

Publié dans

Droit

20/03/2013 4 minutes
21

Quel statut accorder aux données personnelles et à l’adresse IP ?

Le débat actuel au parlement européen sur la réforme de l’encadrement des données personnelles suscite des interrogations auprès des parlementaires français.

 

Le sénateur Gérard Cornu (UMP) vient ainsi de questionner Fleur Pellerin pour lui demander « quelle sera la définition des données personnelles, plus ou moins large, que défendra la France » dans le cadre des négociations européennes.

 

« S'il appartient à l'internaute d'apprendre à définir des espaces d'intimité pour protéger les données qu'il ne souhaite pas dévoiler en ligne, il faut lui permettre d'assurer la maîtrise de ses données grâce à des outils simples d'utilisation. Dans le même temps, il convient de laisser se développer les nouveaux modèles économiques basés sur cette utilisation des données personnelles ». Qui favoriser dans un tel cadre européen ? La personne ou l’innovation sans contrainte ? Inversement, qui sacrifier ?

 

Du côté de l’Assemblée nationale, Édouard Courtial a interrogé cette fois Arnaud Montebourg sur le statut de l’adresse IP, un moyen permettant potentiellement d’identifier une personne. « Bien que la Cour de justice de l'Union européenne a jugé, dans une décision en date du 24 novembre 2011, que les adresses IP sont des données protégées à caractère personnel, la jurisprudence nationale semble ne pas être complètement établie en la matière. »

 

Le député se souvient de la proposition de loi votée au Sénat en mars 2010 sur la vie privée à l'heure du numérique. La proposition incluait dans la notion de données à caractère personnel une définition de l'adresse IP. Le député UMP veut donc savoir « si le Gouvernement entend clarifier le statut de l'adresse IP et faire bénéficier de manière indiscutable à ces données de connexion de la protection de la loi du 6 janvier 1978. »

Une jurisprudence hésitante sur le statut de l'adresse IP

L’une et l’autre de ces questions viennent d’être posées. Nous mettons à jour cette actualité une fois les réponses obtenues. En attendant, en France, la justice a considéré dans un arrêt du 15 mai 2007, que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».

 

La Cour d’appel de Paris estimait encore dans une décision du 27 avril 2007 que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ». Refuser le statut de donnée personnelle à l'adresse IP a pourtant des effets radicaux :  « considérer que l'adresse IP ne constitue pas une donnée personnelle aboutirait à exclure du champ d'application de la loi informatique et libertés du 6 janvier 1978 modifiée et du contrôle de la CNIL l'ensemble des traitements réalisés à partir de la collecte d'adresses IP » remarquaient les sénateurs Yves Détraigne et Mme Anne-Marie Escoffier dans un rapport sénatorial sur « La vie privée à l’heure des mémoires numériques. »

 

Dans un avis du 20 juin 2007, le G29 (l’ensemble des « CNIL » européennes) affirme pour sa part que l'adresse IP attribuée à un internaute lors de ses communications est une donnée à caractère personnel. Conclusion à peu près similaire dans l’arrêt Promusicae du 29 janvier 2008 de la Cour de Justice des Communautés Européennes ou dans la directive 2006/24/CE63 modifiée pour qui les données à caractère personnel sont aussi les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur.

21

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une jurisprudence hésitante sur le statut de l'adresse IP

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (21)


C’est marrant, je crois me souvenir que quand l’UMP était au pouvoir, elle avait une idée bien arrêtée sur le statut de l’adresse IP… <img data-src=" />


Admettons que je veuille bannir un troll de mon site web, j’ai différents moyens pour l’identifier, notamment son adresse IP, l’empreinte de son navigateur, etc… Ca marche pas à 100% (surtout si on a en face de soi un bon technicien en info), mais c’est généralement un excellent moyen de calmer quelques ardeurs, surtout auprès du grand public pas forcément rompu aux moyens de se ‘planquer’.



Si j’utilise ces moyens, je tombe dans l’illégalité, alors même que je ne fais pas la moindre tentative de mise en relation de cette adresse IP avec son utilisation sur un autre service et/ou de son identité personnelle ?



Même question à propos des logs de connexion que me génère un service tel qu’Apache : il me semble qu’on est d’ailleurs légalement dans l’obligation de conserver les logs des connexions … donc de faire de la collecte d’IP…



C’est pour le moins obscur cette histoire. Il serait temps que les choses soient clarifiées sur ce qu’on a le droit et le devoir de faire en tant que fournisseur de service sur le net.





c’est tellement facile de modifié son ip….

comme si chaque matin je pouvais refaire ma carte d’identité








Inny a écrit :



C’est marrant, je crois me souvenir que quand l’UMP était au pouvoir, elle avait une idée bien arrêtée sur le statut de l’adresse IP… <img data-src=" />





Quand elle était au pouvoir elle pratiquait la discipline de parti à l’assemblée nationale, là déjà c’est un sénateur (donc ça réfléchit et ça vole plus haut que le parlement) et ensuite c’est pas l’UMP dans son ensemble qui doit globalement ne même pas savoir ce qu’est internet ou une IP vu l’âge moyen des troupes, juste lui.



Surtout que si l’IP est une donnée personnelle ça veut dire qu’il faut un agrément de la CNIL pour pouvoir la stocker non ?








q3adr a écrit :



Surtout que si l’IP est une donnée personnelle ça veut dire qu’il faut un agrément de la CNIL pour pouvoir la stocker non ?





Apparemment, il y a une forme de dispense pour les sites faits à titre personnel.



Vu ici:



La CNIL a décidé, le 22 novembre 2002, de dispenser de déclaration ces sites. Ainsi leur situation juridique est clarifiée : l’auteur du site ne peut désormais voir sa responsabilité engagée sur la seule base de la non-déclaration à la CNIL.



Cette règle s’applique aux particuliers tenant un blog à titre privé, mais ne permet la diffusion des données des internautes recueillies sur ce blog à des fins professionnelles, politiques, ou associatives (Délibération n°2005-284 du 22/11/2005).



Il en sera autrement d’un blog ou d’un site à caractère commercial.



Après, reste à définir le caractère ‘commercial’. Genre s’il suffit d’ajouter une pub pour que ça le devienne ou si d’autres critères sont retenus.



nan en fait la gestion de l’adresse ip est simple:



quand il s’agit, via une entreprise privée opaque, de t’accuser de tous les maux de la terre afin de te sanctionner, l’ip est une donnée personnelle, unique et infalsifiable



quand il s’agit de te tracer, de t’installer des cookies, des mouchards, de capter tes autres données privées et de t’enfiler à sec, là c’est pas une donnée personnel protégable



c’etait pourtant facile à comprendre


Je ne pige pas toutes ces questions….



Une IP c’est, du moins pour moi, strictement la même chose qu’un numéro de téléphone… je pense que le cas du numéro de tel a été réglé il y a longtemps, non ?








Djaron a écrit :



….c’etait pourtant facile à comprendre







Et puis si ce n’est pas clair, zou, aux porcs :)



Voilà, par ta faute il faut que je me mette Snatch, je vais avoir des petits yeux demain…



Ouep, j’aimerai bien savoir ce qu’il en est de cette adresse IP. Moi j’avais signé un papier à la CNIL comme quoi on ne devait pas garder une adresse IP plus de 15 jours, pourtant, il nous arrive d’avoir des requêtes de la gendarmerie ou d’huissiers pour nous réclamer certains IP, et limite si on nous menace pas en nous disant qu’on est tenu de les avoir… donc faudrait savoir ! <img data-src=" />








Fuinril a écrit :



Je ne pige pas toutes ces questions….



Une IP c’est, du moins pour moi, strictement la même chose qu’un numéro de téléphone… je pense que le cas du numéro de tel a été réglé il y a longtemps, non ?





Tu changes de numéro de tel aussi souvent que d’IP ?



Les données personnelles ? Facile !




  1. Interdiction de les vendre

  2. Définition la plus large possible.



    Ça entraînera la faillite de centaines de milliers de PME dans le monde ? Rendra impossible la gratuité de nombreux services ? Rien à battre ! C’est ça ou un futur qui fera passer Orwell pour un doux idéaliste. Le choix est vite fait.








Winderly a écrit :



Tu changes de numéro de tel aussi souvent que d’IP ?







Plus souvent même, les joies de l’ip fixe !









Fuinril a écrit :



Plus souvent même, les joies de l’ip fixe !





Ah, comme quoi, les idées reçues…



Depuis Hadopi, ils s’en lavent les mains. Etant donné qu’ils vont vérifier qui fait quoi sur des trackers P2P, juste pour quelques copains des maisons d’édition.









Fuinril a écrit :



Je ne pige pas toutes ces questions….

Une IP c’est, du moins pour moi, strictement la même chose qu’un numéro de téléphone… je pense que le cas du numéro de tel a été réglé il y a longtemps, non ?





T’as connexion internet peu-être utilisée par quelqu’un qui t’as pris ta clé wifi.

Ton pc peu être infecté, et faire des requêtes à ton insu.

Effectivement quelqu’un peut surement se brancher sur ta ligne téléphonique et appeler à ta place, mais çà doit être plus rare :)









Blood_Man a écrit :



T’as connexion internet peu-être utilisée par quelqu’un qui t’as pris ta clé wifi.

Ton pc peu être infecté, et faire des requêtes à ton insu.

Effectivement quelqu’un peut surement se brancher sur ta ligne téléphonique et appeler à ta place, mais çà doit être plus rare :)







tousse



Ton téléphone (fixe) est filiaire ? Sinon quelqu’un a fort bien pu synchroniser son téléphone avec ta base.



T’as jamais entendu parler d’applis tierces qui envoient des sms surtaxés ? <img data-src=" />



Le piratage de numéro de tel c’est moins répandu mais ce n’est pas beaucoup plus compliqué à mettre en oeuvre… et changer de numéro de tel c’est super facile(cf méchants dans séries américaine… ou plus simplement appel d’une cabine).



Et techniquement c’est exactement la même chose : un numéro servant à identifier un appareil vers lequel faire transiter des données à partir d’un autre appareil. Ce numéro est associé à une localisation géographique à un instant T - pour être plus précis à une ligne physique - sur laquelle peut être branché un nombre X de terminaux utilisé par Y personnes différentes… mais le numéro n’est au nom que d’une seule personne (physique ou morale).









Fuinril a écrit :



Ton téléphone (fixe) est filiaire ? Sinon quelqu’un a fort bien pu synchroniser son téléphone avec ta base.





Il faut appuyer sur un bouton sur la base.









Fuinril a écrit :



Le piratage de numéro de tel c’est moins répandu mais ce n’est pas beaucoup plus compliqué à mettre en oeuvre… et changer de numéro de tel c’est super facile(cf méchants dans séries américaine… ou plus simplement appel d’une cabine).





C’est moins répandu et c’est ce qui fait la différence (les plaques d’immatriculations, tu peux tricher avec, mais on s’en sert quand même pour identifier les gens, car le plus souvent la donnée est fiable).

Pour la cabine téléphonique, justement elle n’identifie en rien la personne qui est au bout.







Fuinril a écrit :



Et techniquement c’est exactement la même chose : un numéro servant à identifier un appareil vers lequel faire transiter des données à partir d’un autre appareil. Ce numéro est associé à une localisation géographique à un instant T - pour être plus précis à une ligne physique - sur laquelle peut être branché un nombre X de terminaux utilisé par Y personnes différentes… mais le numéro n’est au nom que d’une seule personne (physique ou morale).





Dans le cas d’une connexion internet, Y plus élevé (pc zombies, clés WIFI WEP)



Pour moi tout est une question de savoir si c’est facile ou pas de fausser une donnée qui peut désigner une personne.









Blood_Man a écrit :



Il faut appuyer sur un bouton sur la base.







Dans le cadre d’une utilisation normale oui. Et dans le cadre d’une utilisation normale il faut que tu donnes ta clé aux gens pour qu’ils se connectent sur ton réseau. Autrement ça s’appelle du piratage… dans les deux cas.







Blood_Man a écrit :



C’est moins répandu et c’est ce qui fait la différence (les plaques d’immatriculations, tu peux tricher avec, mais on s’en sert quand même pour identifier les gens, car le plus souvent la donnée est fiable).







Tout comme l’IP en fait. C’est “relativement” simple d’usurper une adresse IP, pourtant je pense que même sur PCI, site rassemblant pas mal d’informaticiens, peu de gens ne surfent pas avec la leur… Sauf quand ils veulent faire des conneries en fait, comme les plaques de voitures finalement <img data-src=" />







Blood_Man a écrit :



Dans le cas d’une connexion internet, Y plus élevé (pc zombies, clés WIFI WEP)







T’as une source réelle et sérieuse ou c’est juste une idée préconçue ?







Blood_Man a écrit :



Pour moi tout est une question de savoir si c’est facile ou pas de fausser une donnée qui peut désigner une personne.







Ca tombe bien, va dans n’importe quelle carrosserie et tu pourras te faire faire de fausses plaques… au final c’est bien plus simple (et bien plus efficace) que de changer d’IP (nan pacque faut pas croire, changer une IP et continuer à être capable de communiquer avec un serveur distant c’est pas si simple et ça ne se fait pas sans traces… ou sans une importante préparation). Donc une plaque d’immatriculation ne peut servir à désigner une personne ?





Je ne dis pas forcément que tu as tort, considérer l’IP comme une donnée personnelle nominative peut être très gênant dans certains cas très rares (cas du PC qui sert de tunnel vers un site pédo par exemple)… Mais la remettre en question au nom du fait qu’elle ne soit pas sérieuse ? C’est en tout point logique la même chose qu’un numéro de téléphone, d’ailleurs ça a été conçu selon ce modèle. La seule chose que je ne comprends pas c’est qu’elle n’est pas héritée des propriétés du modèle.









Fuinril a écrit :



Tout comme l’IP en fait. C’est “relativement” simple d’usurper une adresse IP, pourtant je pense que même sur PCI, site rassemblant pas mal d’informaticiens, peu de gens ne surfent pas avec la leur… Sauf quand ils veulent faire des conneries en fait, comme les plaques de voitures finalement <img data-src=" />





Oui quand tu veux faire une connerie, tu peux te cacher, ça marche partout. Mais la différence là c’est que si tu te “cache” en voiture (en changeant ta plaque) tu peux te faire avoir lors d’un simple contrôle. Alors que si tu utilise un VPN par exemple, tu n’aura aucun risque (sur une utilisation normale).







Fuinril a écrit :



T’as une source réelle et sérieuse ou c’est juste une idée préconçue ?





Un peu des 2, selon wiki 15 des PC est zombie, je ne pense pas que ce soit le cas avec les téléphones :).



Enfin bref après tout c’est une question de points de vue, ça ne peut pas être ou tout blanc ou tout noir.




Dans le cadre de cette discussion européenne il y a aussi des questions sur l usage des données en santé qui bloquerait là recherche… comme quoi là donnée personnelle est une question complexe !