Sénat : l'adresse IP doit être qualifiée de donnée personnelle

Tschuss 216
Camera surveillance piratageDans un rapport sénatorial sur « La vie privée à l’heure des mémoires numériques » publié aujourd’hui, Yves Détraigne et Mme Anne-Marie Escoffier demandent à ce que l’adresse IP soit une bonne fois pour toutes déclarée comme une donnée personnelle. Cette affirmation, l’une des quinze exprimées dans ce rapport, veut clarifier un statut juridique qui se cherche, après plusieurs décisions contradictoires.

Des décisions contradictoires

Dans un arrêt du 15 mai 2007, la cour d’appel de Paris a estimé que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».

Dans une décision du 27 avril 2007, elle estimait encore que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ». Des décisions aux effets acidulés : « considérer que l'adresse IP ne constitue pas une donnée personnelle aboutirait à exclure du champ d'application de la loi informatique et libertés du 6 janvier 1978 modifiée et du contrôle de la CNIL l'ensemble des traitements réalisés à partir de la collecte d'adresses IP » remarquent les auteurs de ce rapport.

Depuis, les choses se sont clarifiées, du moins à l’échelon européen : dans un avis du 20 juin 2007, le G29, qui regroupe l’ensemble des « CNIL » européennes, expliquait au contraire que l'adresse IP attribuée à un internaute lors de ses communications devait être regardée comme une donnée à caractère personnel. Position confortée par la Cour de Justice des Communautés Européennes dans l’arrêt Promusicae du 29 janvier 2008 et par la directive 2006/24/CE63 modifiée où l’on apprend que les données à caractère personnel sont aussi les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur, ce qui inclut donc l'adresse IP.

En France, les juges ont fait preuve d’extrême prudence et la Cour de cassation le 13 janvier 2009 a considéré que, lorsque la collecte des adresses IP était manuelle, l'autorisation de la CNIL n'est pas requise. Elle refusait ainsi de trancher ce débat préférant s’en tenir à la question de l’automatisme.

Christine Albanel : l'adresse IP n'est pas une donnée personnelle

Le 17 février 2009, Christine Albanel ajoutait sa petite touche toute particulière. La ministre de la Culture affirmait ceci, devant la Commission des lois où elle présentait le projet Hadopi : « Que se passera-t-il pour l’internaute qui aura piraté une œuvre ? La première phase, celle de la constatation des faits, ne connaîtra guère de changement par rapport à la situation actuelle. Aujourd’hui, il appartient aux ayants droit de repérer les actes de contrefaçon sur Internet, par l’intermédiaire des agents assermentés (…). Ces structures utilisent des traitements automatisés collectant les références des ordinateurs pirates, en général leurs adresses IP. Ces traitements automatisés sont autorisés par la CNIL, la Commission nationale de l’informatique et des libertés, alors même que les adresses collectées ne sont pas des données personnelles ».

L'adresse IP, un moyen d'identification comme une adresse postale

Dans le rapport sur la vie privée remis aujourd’hui, les sénateurs ont eux au contraire « la conviction que l'adresse IP constituait un moyen d'identifier un internaute, au même titre qu'une adresse postale ou un numéro de téléphone par exemple : l'adresse IP répond de ce point de vue aux critères fixés par la directive 95/46/CE, repris à l'article 2 de la loi du 6 janvier 1978 modifiée et selon lesquels une donnée à caractère personnel est une information « relative à une personne identifiée ou identifiable ».

De fait, « compte tenu du rôle essentiel qu'Internet est appelé à jouer dans la vie d'une partie sans cesse croissante de nos concitoyens, il leur semble indispensable que les garanties concernant la collecte de données à caractère personnel s'appliquent également sans ambiguïté aux données de connexion des internautes. Une rapide clarification en ce sens de l'article 2 de la loi du 6 janvier 1978 leur paraîtrait de ce point de vue tout à fait opportune ».

Sécurité > Liberté

Afin de prendre de la hauteur sur ces questions dans leur présentation du rapport, Yves Détraigne et Mme Anne-Marie Escoffier rappellent non sans mal que « depuis une décennie, la demande de sécurité dans la société a relevé le seuil de tolérance vis-à-vis des systèmes de surveillance et de contrôle, ce qui s’est traduit par des arbitrages en défaveur du droit à la vie privée. Les nouvelles technologies sont perçues comme de nouvelles possibilités de lutte contre l’insécurité et de nombreuses personnes ne voient pas d’inconvénient majeur à être tracées ou surveillées dès lors qu’ « elles n’ont rien à se reprocher, ni à cacher ». Ce déplacement du point d’équilibre entre sécurité et liberté explique certains glissements sémantiques : ainsi, par exemple, le terme de « vidéosurveillance » tend à être remplacé par celui de « vidéoprotection» ».

Dernier détail, si l’un et l’autre avaient d’abord voté contre le projet Hadopi lors du scrutin du 30 avril, Yves Détraigne a finalement voté pour quand Anne-Marie Escoffier n’a pas participé au vote, lors de l’ultime scrutin du 13 mai.