Le débat actuel au parlement européen sur la réforme de l’encadrement des données personnelles suscite des interrogations auprès des parlementaires français.
Le sénateur Gérard Cornu (UMP) vient ainsi de questionner Fleur Pellerin pour lui demander « quelle sera la définition des données personnelles, plus ou moins large, que défendra la France » dans le cadre des négociations européennes.
« S'il appartient à l'internaute d'apprendre à définir des espaces d'intimité pour protéger les données qu'il ne souhaite pas dévoiler en ligne, il faut lui permettre d'assurer la maîtrise de ses données grâce à des outils simples d'utilisation. Dans le même temps, il convient de laisser se développer les nouveaux modèles économiques basés sur cette utilisation des données personnelles ». Qui favoriser dans un tel cadre européen ? La personne ou l’innovation sans contrainte ? Inversement, qui sacrifier ?
Du côté de l’Assemblée nationale, Édouard Courtial a interrogé cette fois Arnaud Montebourg sur le statut de l’adresse IP, un moyen permettant potentiellement d’identifier une personne. « Bien que la Cour de justice de l'Union européenne a jugé, dans une décision en date du 24 novembre 2011, que les adresses IP sont des données protégées à caractère personnel, la jurisprudence nationale semble ne pas être complètement établie en la matière. »
Le député se souvient de la proposition de loi votée au Sénat en mars 2010 sur la vie privée à l'heure du numérique. La proposition incluait dans la notion de données à caractère personnel une définition de l'adresse IP. Le député UMP veut donc savoir « si le Gouvernement entend clarifier le statut de l'adresse IP et faire bénéficier de manière indiscutable à ces données de connexion de la protection de la loi du 6 janvier 1978. »
Une jurisprudence hésitante sur le statut de l'adresse IP
L’une et l’autre de ces questions viennent d’être posées. Nous mettons à jour cette actualité une fois les réponses obtenues. En attendant, en France, la justice a considéré dans un arrêt du 15 mai 2007, que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».
La Cour d’appel de Paris estimait encore dans une décision du 27 avril 2007 que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ». Refuser le statut de donnée personnelle à l'adresse IP a pourtant des effets radicaux : « considérer que l'adresse IP ne constitue pas une donnée personnelle aboutirait à exclure du champ d'application de la loi informatique et libertés du 6 janvier 1978 modifiée et du contrôle de la CNIL l'ensemble des traitements réalisés à partir de la collecte d'adresses IP » remarquaient les sénateurs Yves Détraigne et Mme Anne-Marie Escoffier dans un rapport sénatorial sur « La vie privée à l’heure des mémoires numériques. »
Dans un avis du 20 juin 2007, le G29 (l’ensemble des « CNIL » européennes) affirme pour sa part que l'adresse IP attribuée à un internaute lors de ses communications est une donnée à caractère personnel. Conclusion à peu près similaire dans l’arrêt Promusicae du 29 janvier 2008 de la Cour de Justice des Communautés Européennes ou dans la directive 2006/24/CE63 modifiée pour qui les données à caractère personnel sont aussi les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur.
