Un internaute avait attaqué l’Allemagne pour l’enregistrement et la conservation par cette dernière de l’adresse IP glanée lors de la consultation sur plusieurs sites des services fédéraux. La CJUE vient de trancher cette question en posant avant tout que l'adresse IP est bien une donnée personnelle. Sous conditions.
Pour justifier de cette conservation, les autorités allemandes avaient mis en avant le besoin de se prémunir contre les attaques informatiques. Conserver des IP rend en effet possibles les poursuites pénales contre « les pirates » informatiques et spécialement les auteurs d’attaques par déni de service. Sont ainsi enregistrés lors de la session de consultation, « le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée ».
L’IP dynamique est une donnée personnelle sous conditions
Sans revenir sur le cheminement de son analyse, la Cour a jugé aujourd’hui qu’une adresse IP même dynamique enregistrée par l’éditeur est une donnée à caractère personnel. Cependant, ce qualificatif est conditionnel : il suppose que l’éditeur « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Si un État membre offre cette possibilité d’action, alors l’IP est une donnée personnelle.
Cette petite phrase met un point d’arrêt à une jurisprudence hésitante en France. Dans une affaire de contrefaçon en 2007, la cour d’appel de Paris avait posé au contraire que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ». Et celle-ci d’insister : « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ».
Si l’IP est une donnée personnelle, un éditeur de site peut-il conserver ces informations afin de faire réprimer des actes de piratage informatique ?
La conservation des IP pour assurer la continuité de l’accès aux sites
Un mur risquait de bloquer plus en avant la décision de la Cour. Par principe en effet, le droit européen « ne s’applique pas au traitement de données à caractère personnel ayant pour objet, notamment, les activités de l’État relatives à des domaines du droit pénal ». Cette question relève de la législation de chaque État membre, non de la directive de 95 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Dans le cas présent, le souci a été contourné très rapidement par la CJUE : les services fédéraux allemands ici en cause « agissent, malgré leur statut d’autorités publiques, en qualité de particuliers et hors du cadre des activités de l’État relatives à des domaines du droit pénal ». Du coup, la réponse a pu être apportée.
Cette conservation est-elle donc dans les clous de la directive 95/46 et spécialement son article 7 ? Celui-ci prévoit une liste limitative et exhaustive de cas où un traitement de données peut être considéré comme licite. Les pays européens ne peuvent ni la limiter ni l'enrichir.
Cet article 7 sous f) indique que « les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si (…) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1 ».
Le cadre du droit allemand est simple : il n’autorise la conservation sans consentement de l’utilisateur que « dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média en ligne par l’utilisateur en question ». Il est donc plus restrictif que le champ de la directive.
Sans surprise, cette restriction est de ce fait tombée ce matin devant la Cour de Luxembourg car, selon elle, « les services fédéraux allemands (…) pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites ». Cette législation nationale n’était donc pas compatible avec la directive, faute d’avoir prévu une telle possibilité.
Autrement dit, l’exploitant d’un site peut avoir un intérêt légitime à conserver des données personnelles, notamment s’il s’agit de se défendre contre les attaques DDoS, afin d’assurer in fine la continuité de son service.
