La Cour de cassation a mis un terme à des années d’incertitudes judiciaires sur le statut de l’adresse IP. Dans un arrêt rendu le 3 novembre, elle considère qu’il s’agit d’une donnée à caractère personnel dont le traitement automatisé exige un passage préalable devant la CNIL.
Trois sociétés du groupe Logisneuf (Groupe logisneuf, C.Invest et European Soft) avaient mal supporté que des tiers aient accès à leur réseau interne, en faisant usage de codes d’accès réservés aux administrateurs. Elles avaient obtenu du juge des requêtes une ordonnance pour enjoindre les FAI à communiquer l’identité des personnes détentrices des adresses IP relevées sur les serveurs.
Seul hic, un concurrent en gestion du patrimoine, le Cabinet Peterson, a attaqué cette mesure d’instruction. Selon lui, ces enregistrements auraient dû faire l’objet d’une déclaration à la CNIL, cruellement absente.
Le 28 avril 2015, la cour d’appel de Rennes a rejeté leur demande, au motif que l’adresse IP « se rapporte à un ordinateur et non à l’utilisateur ». Elle n’est donc pas une donnée personnelle, même indirectement nominative. Et du coup, la conservation des adresses des ordinateurs utilisés pour se connecter, sans autorisation « ne constitue pas un traitement » qui aurait exigé un passage antérieur devant l’autorité indépendante.
La Cour de cassation vient de dynamiter cette analyse, posant dans son arrêt du 3 novembre un principe clair, net, sans appel : « Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »
C’est une très grande victoire pour les tenants de cette interprétation, débattue de longue date en France. Revenons un instant sur ces hésitations.
Une question qui a divisé la jurisprudence depuis des années
Le 6 septembre 2007, le tribunal de grande instance de Saint-Brieuc avait par exemple jugé l'adresse IP comme une donnée personnelle. Mais le 15 mai de la même année, la cour d’appel de Paris posait au contraire que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».
En 2008, la cour d’appel de Rennes a pris le versant opposé : « si elle ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI ».
La Cour de cassation, le 13 janvier 2009, avait cassé cet arrêt ayant trait à des relevés visuels effectués par un agent assermenté de la SACEM. Elle ne tranchait pas de la question fondamentale de ce statut, indiquant simplement que faute d’automatisme, ces opérations n’exigeaient pas d'autorisation préalable de la CNIL.
Dans son avis du 20 juin 2007, le G29, le groupe des « CNIL » européennes, expliquait que l'adresse IP attribuée à un internaute lors de ses communications était bien une donnée à caractère personnel. Très récemment, la CJUE s’est raliée à cette thèse s’agissant d’une adresse IP dynamique, dans le cadre d'un litige né l’Allemagne.
On ne peut donc que saluer la fin d’une incertitude sur le statut de l’adresse IP, qui avait d’ailleurs été débattu également au sein de la Hadopi.
L’adresse IP et la Hadopi
Comme le rapportait Numerama en février 2011, la Rue du Texel avait refusé de communiquer une copie du procès-verbal de constation des faits reprochés à un abonné. Elle motivait ce feu rouge par le fait que ce document, qui recèle pourtant une adresse IP, « ne contient pas de donnée à caractère personnel vous concernant ».
La position de la Cour de cassation remet donc théoriquement en cause ce refus, permettant à ceux qui le veulent de contester possiblement la procédure de réponse graduée avec tous les éléments en poche…
Cependant, interrogée, la Hadopi nous indique qu'elle refuse encore et toujours cette communication en répondant à ceux qui en font la demande ce passage :
« Vous avez souhaité recevoir la copie du procès-verbal de constatation des faits qui vous sont reprochés. En application de l’arrêt du Conseil d’Etat du 19 octobre 2011 n°342405 et de l’avis de la Commission d’accès aux documents administratifs du 19 décembre 2013, les procès-verbaux dressés par les agents assermentés des ayants droit dans le cadre d’une procédure de réponse graduée ne peuvent être communiqués car ils sont indissociables d’une éventuelle procédure pénale ultérieure. Ils sont donc exclus, à ce titre, du champ d’application de la loi du 17 juillet 1978, leur régime de communication relevant, le cas échéant, des dispositions du code de procédure pénale. Au surplus, le procès-verbal est un document numérique crypté, qui contient notamment l’extrait de l’œuvre concernée, élément de preuve matérielle qui ne peut être transmis sans risque d’atteinte à son intégrité ».
On se souviendra en effet que la CADA avait considéré en 2013 que les pièces d’une procédure de riposte graduée ne sont pas communicables, du moins au titre du droit d’accès aux documents administratifs : « ces documents sont indissociables d’une éventuelle procédure pénale ultérieure ». Pour l'autre autorité indépendante, ils « doivent être regardés comme ayant le caractère, non de documents administratifs mais de documents produits dans le cadre et pour les besoins d’une procédure judiciaire, exclus, à ce titre, du champ d’application de la loi du 17 juillet 1978 ».
Quant à l'arrêt du CE, il avait estimé que les recommandations adressées par la commission de protection des droits sont « indissociables d’une éventuelle procédure pénale conduite ultérieurement devant le juge judiciaire ». De fait, les PV doivent être ici vus comme des éléments liés à une enquête préliminaire qui ne sont donc pas susceptibles de communication, au-delà de la question du droit d'accès et de rectification.