Le débat actuel au parlement européen sur la réforme de l’encadrement des données personnelles suscite des interrogations auprès des parlementaires français.
Le sénateur Gérard Cornu (UMP) vient ainsi de questionner Fleur Pellerin pour lui demander « quelle sera la définition des données personnelles, plus ou moins large, que défendra la France » dans le cadre des négociations européennes.
« S'il appartient à l'internaute d'apprendre à définir des espaces d'intimité pour protéger les données qu'il ne souhaite pas dévoiler en ligne, il faut lui permettre d'assurer la maîtrise de ses données grâce à des outils simples d'utilisation. Dans le même temps, il convient de laisser se développer les nouveaux modèles économiques basés sur cette utilisation des données personnelles ». Qui favoriser dans un tel cadre européen ? La personne ou l’innovation sans contrainte ? Inversement, qui sacrifier ?
Du côté de l’Assemblée nationale, Édouard Courtial a interrogé cette fois Arnaud Montebourg sur le statut de l’adresse IP, un moyen permettant potentiellement d’identifier une personne. « Bien que la Cour de justice de l'Union européenne a jugé, dans une décision en date du 24 novembre 2011, que les adresses IP sont des données protégées à caractère personnel, la jurisprudence nationale semble ne pas être complètement établie en la matière. »
Le député se souvient de la proposition de loi votée au Sénat en mars 2010 sur la vie privée à l'heure du numérique. La proposition incluait dans la notion de données à caractère personnel une définition de l'adresse IP. Le député UMP veut donc savoir « si le Gouvernement entend clarifier le statut de l'adresse IP et faire bénéficier de manière indiscutable à ces données de connexion de la protection de la loi du 6 janvier 1978. »
Une jurisprudence hésitante sur le statut de l'adresse IP
L’une et l’autre de ces questions viennent d’être posées. Nous mettons à jour cette actualité une fois les réponses obtenues. En attendant, en France, la justice a considéré dans un arrêt du 15 mai 2007, que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».
La Cour d’appel de Paris estimait encore dans une décision du 27 avril 2007 que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ». Refuser le statut de donnée personnelle à l'adresse IP a pourtant des effets radicaux : « considérer que l'adresse IP ne constitue pas une donnée personnelle aboutirait à exclure du champ d'application de la loi informatique et libertés du 6 janvier 1978 modifiée et du contrôle de la CNIL l'ensemble des traitements réalisés à partir de la collecte d'adresses IP » remarquaient les sénateurs Yves Détraigne et Mme Anne-Marie Escoffier dans un rapport sénatorial sur « La vie privée à l’heure des mémoires numériques. »
Dans un avis du 20 juin 2007, le G29 (l’ensemble des « CNIL » européennes) affirme pour sa part que l'adresse IP attribuée à un internaute lors de ses communications est une donnée à caractère personnel. Conclusion à peu près similaire dans l’arrêt Promusicae du 29 janvier 2008 de la Cour de Justice des Communautés Européennes ou dans la directive 2006/24/CE63 modifiée pour qui les données à caractère personnel sont aussi les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur.
Commentaires (21)
#1
C’est marrant, je crois me souvenir que quand l’UMP était au pouvoir, elle avait une idée bien arrêtée sur le statut de l’adresse IP… " />
#2
Admettons que je veuille bannir un troll de mon site web, j’ai différents moyens pour l’identifier, notamment son adresse IP, l’empreinte de son navigateur, etc… Ca marche pas à 100% (surtout si on a en face de soi un bon technicien en info), mais c’est généralement un excellent moyen de calmer quelques ardeurs, surtout auprès du grand public pas forcément rompu aux moyens de se ‘planquer’.
Si j’utilise ces moyens, je tombe dans l’illégalité, alors même que je ne fais pas la moindre tentative de mise en relation de cette adresse IP avec son utilisation sur un autre service et/ou de son identité personnelle ?
Même question à propos des logs de connexion que me génère un service tel qu’Apache : il me semble qu’on est d’ailleurs légalement dans l’obligation de conserver les logs des connexions … donc de faire de la collecte d’IP…
C’est pour le moins obscur cette histoire. Il serait temps que les choses soient clarifiées sur ce qu’on a le droit et le devoir de faire en tant que fournisseur de service sur le net.
#3
c’est tellement facile de modifié son ip….
comme si chaque matin je pouvais refaire ma carte d’identité
#4
#5
Surtout que si l’IP est une donnée personnelle ça veut dire qu’il faut un agrément de la CNIL pour pouvoir la stocker non ?
#6
#7
nan en fait la gestion de l’adresse ip est simple:
quand il s’agit, via une entreprise privée opaque, de t’accuser de tous les maux de la terre afin de te sanctionner, l’ip est une donnée personnelle, unique et infalsifiable
quand il s’agit de te tracer, de t’installer des cookies, des mouchards, de capter tes autres données privées et de t’enfiler à sec, là c’est pas une donnée personnel protégable
c’etait pourtant facile à comprendre
#8
Je ne pige pas toutes ces questions….
Une IP c’est, du moins pour moi, strictement la même chose qu’un numéro de téléphone… je pense que le cas du numéro de tel a été réglé il y a longtemps, non ?
#9
#10
Ouep, j’aimerai bien savoir ce qu’il en est de cette adresse IP. Moi j’avais signé un papier à la CNIL comme quoi on ne devait pas garder une adresse IP plus de 15 jours, pourtant, il nous arrive d’avoir des requêtes de la gendarmerie ou d’huissiers pour nous réclamer certains IP, et limite si on nous menace pas en nous disant qu’on est tenu de les avoir… donc faudrait savoir ! " />
#11
#12
Les données personnelles ? Facile !
Ça entraînera la faillite de centaines de milliers de PME dans le monde ? Rendra impossible la gratuité de nombreux services ? Rien à battre ! C’est ça ou un futur qui fera passer Orwell pour un doux idéaliste. Le choix est vite fait.
#13
#14
#15
Depuis Hadopi, ils s’en lavent les mains. Etant donné qu’ils vont vérifier qui fait quoi sur des trackers P2P, juste pour quelques copains des maisons d’édition.
#16
#17
#18
#19
#20
#21
Dans le cadre de cette discussion européenne il y a aussi des questions sur l usage des données en santé qui bloquerait là recherche… comme quoi là donnée personnelle est une question complexe !