La Cour de cassation a mis un terme à des années d’incertitudes judiciaires sur le statut de l’adresse IP. Dans un arrêt rendu le 3 novembre, elle considère qu’il s’agit d’une donnée à caractère personnel dont le traitement automatisé exige un passage préalable devant la CNIL.
Trois sociétés du groupe Logisneuf (Groupe logisneuf, C.Invest et European Soft) avaient mal supporté que des tiers aient accès à leur réseau interne, en faisant usage de codes d’accès réservés aux administrateurs. Elles avaient obtenu du juge des requêtes une ordonnance pour enjoindre les FAI à communiquer l’identité des personnes détentrices des adresses IP relevées sur les serveurs.
Seul hic, un concurrent en gestion du patrimoine, le Cabinet Peterson, a attaqué cette mesure d’instruction. Selon lui, ces enregistrements auraient dû faire l’objet d’une déclaration à la CNIL, cruellement absente.
Le 28 avril 2015, la cour d’appel de Rennes a rejeté leur demande, au motif que l’adresse IP « se rapporte à un ordinateur et non à l’utilisateur ». Elle n’est donc pas une donnée personnelle, même indirectement nominative. Et du coup, la conservation des adresses des ordinateurs utilisés pour se connecter, sans autorisation « ne constitue pas un traitement » qui aurait exigé un passage antérieur devant l’autorité indépendante.
La Cour de cassation vient de dynamiter cette analyse, posant dans son arrêt du 3 novembre un principe clair, net, sans appel : « Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »
C’est une très grande victoire pour les tenants de cette interprétation, débattue de longue date en France. Revenons un instant sur ces hésitations.
Une question qui a divisé la jurisprudence depuis des années
Le 6 septembre 2007, le tribunal de grande instance de Saint-Brieuc avait par exemple jugé l'adresse IP comme une donnée personnelle. Mais le 15 mai de la même année, la cour d’appel de Paris posait au contraire que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon ».
En 2008, la cour d’appel de Rennes a pris le versant opposé : « si elle ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI ».
La Cour de cassation, le 13 janvier 2009, avait cassé cet arrêt ayant trait à des relevés visuels effectués par un agent assermenté de la SACEM. Elle ne tranchait pas de la question fondamentale de ce statut, indiquant simplement que faute d’automatisme, ces opérations n’exigeaient pas d'autorisation préalable de la CNIL.
Dans son avis du 20 juin 2007, le G29, le groupe des « CNIL » européennes, expliquait que l'adresse IP attribuée à un internaute lors de ses communications était bien une donnée à caractère personnel. Très récemment, la CJUE s’est raliée à cette thèse s’agissant d’une adresse IP dynamique, dans le cadre d'un litige né l’Allemagne.
On ne peut donc que saluer la fin d’une incertitude sur le statut de l’adresse IP, qui avait d’ailleurs été débattu également au sein de la Hadopi.
L’adresse IP et la Hadopi
Comme le rapportait Numerama en février 2011, la Rue du Texel avait refusé de communiquer une copie du procès-verbal de constation des faits reprochés à un abonné. Elle motivait ce feu rouge par le fait que ce document, qui recèle pourtant une adresse IP, « ne contient pas de donnée à caractère personnel vous concernant ».
La position de la Cour de cassation remet donc théoriquement en cause ce refus, permettant à ceux qui le veulent de contester possiblement la procédure de réponse graduée avec tous les éléments en poche…
Cependant, interrogée, la Hadopi nous indique qu'elle refuse encore et toujours cette communication en répondant à ceux qui en font la demande ce passage :
« Vous avez souhaité recevoir la copie du procès-verbal de constatation des faits qui vous sont reprochés. En application de l’arrêt du Conseil d’Etat du 19 octobre 2011 n°342405 et de l’avis de la Commission d’accès aux documents administratifs du 19 décembre 2013, les procès-verbaux dressés par les agents assermentés des ayants droit dans le cadre d’une procédure de réponse graduée ne peuvent être communiqués car ils sont indissociables d’une éventuelle procédure pénale ultérieure. Ils sont donc exclus, à ce titre, du champ d’application de la loi du 17 juillet 1978, leur régime de communication relevant, le cas échéant, des dispositions du code de procédure pénale. Au surplus, le procès-verbal est un document numérique crypté, qui contient notamment l’extrait de l’œuvre concernée, élément de preuve matérielle qui ne peut être transmis sans risque d’atteinte à son intégrité ».
On se souviendra en effet que la CADA avait considéré en 2013 que les pièces d’une procédure de riposte graduée ne sont pas communicables, du moins au titre du droit d’accès aux documents administratifs : « ces documents sont indissociables d’une éventuelle procédure pénale ultérieure ». Pour l'autre autorité indépendante, ils « doivent être regardés comme ayant le caractère, non de documents administratifs mais de documents produits dans le cadre et pour les besoins d’une procédure judiciaire, exclus, à ce titre, du champ d’application de la loi du 17 juillet 1978 ».
Quant à l'arrêt du CE, il avait estimé que les recommandations adressées par la commission de protection des droits sont « indissociables d’une éventuelle procédure pénale conduite ultérieurement devant le juge judiciaire ». De fait, les PV doivent être ici vus comme des éléments liés à une enquête préliminaire qui ne sont donc pas susceptibles de communication, au-delà de la question du droit d'accès et de rectification.
Commentaires (78)
#1
>le procès-verbal est un document numérique crypté … chiffré 
" />
#2
« Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »
C’est bon à savoir, surtout pour faire chier au cas où.
#3
“Seul hic, un concurrent en gestion du patrimoine, le Cabinet Peterson, a attaqué cette mesure d’instruction. Selon lui, ces enregistrements auraient dû faire l’objet d’une déclaration à la CNIL, cruellement absente.”
Je comprend pas trop la situation, une entreprise récupère des IPs qui se connectent frauduleusement à leurs serveurs, jusque là tout va bien. Cette entreprise attaque en justice pour obtenir l’identité des personnes cachées sous ces IPs.
Que vient faire une entreprise concurrente dans l’histoire ? c’est elle qui se cache derrière ces IPs ?
#4
Bah va le dire à la Hadopi.
#5
Excellente nouvelle
#6
Je me suis fait tatouer la mienne sur la fesse gauche
" />
Par contre ça brûle un peu à chaque fois que je redémarre la box…
#7
#8
Estime-toi déjà heureux qu’ils n’aient pas dit : « un document digital crypté. »
" />
" />.
Mais sinon, très bonne nouvelle
#9
#10
#11
#12
Excellente nouvelle qui va remettre en cause pas mal de choses !
" />
Comme par exemple… pas mal de choses !
#13
#14
il ne précise pas s’ils les écrit sur la longueur ou sur la largeur.
#15
#16
On peut envisager une rétroaction?
Pourrait-on être obligé de revenir sur certaines Lois ou décisions de justice?
#17
#18
pas en ipv6
" />
#19
#20
Comme l’état d’urgence par exemple
#21
Hmmm j’ai du mal à comprendre ce qu’aurais du faire l’entreprise attaquée.
Une déclaration à la CNIL pour dire “attention, ces IPs nous ont attaqués, on les collecte pour porter plainte” ?
#22
#23
#24
Je ne comprends pas ton commentaire. À quelle partie réponds-tu et à quoi fais-tu allusion en parlant de l’état d’urgence ?
#25
#26
#27
C’est quand tu écris “sauf dans les cas où la loi dispense de ces préalables.”
" />
Je m’auto-cite depuis une autre news:
https://www.nextinpact.com/news/102007-wi-fi-daesh-21-jeune-condamne-pour-apolog…
nick_t a écrit :Mais attends, c’est pas une donnée privée le ssid ? Bientôt en France si tu n’es pas avec le gvt, alors tu es contre le gvt => dissident
Si l’ip est privée, je regrette mais le SSID l’est aussi !
Je demande la relaxe pour ce jeune homme… ah merde c’est l’état d’urgence…
C’est urgent de changer d’état plutôt…
#28
En hexa ? Moi j’ai préféré l’écrire en binaire.
" />
#29
Ça se trouve ce sont eux qui ont piraté.
Dommage qu’il n’y ait pas d’explications sur leur implication.
#30
#31
#32
T’en est sûr ? Sûr a 100% ?
…
…
Et l’IPV6 ?
#33
#34
#35
Ok, ça n’a pas grand chose à voir avec le sujet de cet article.
Je pensais à la loi du 6 janvier 1978 qui dispensait de l’accord ou de prévenir dans certains cas, surtout liés à des traitements pour l’État.
Ici, on parle du l’adresse IP, pas du SSID pour lequel la cour de cassation ne s’est pas encore prononcée. Un SSID représente un point d’accès Wi-Fi, pas une personne, il y a peu de chance que cela soit retenu comme une donnée privée d’autant plus que cette information peut être non diffusée (en fait cachée d’une simple observation des voisins).
Et l’état d’urgence n’a rien à voir avec cette condamnation qui a eu lieu en vertu du Code pénal - Article 421-2-5, créé par la Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme.
#36
Si tu branche ton PC directement à ta connexion ADSL, ce qui est possible, il aura une IP publique.
#37
Trop gros, passera pas !
#38
What on doit déclarer la récolte d’adresses IP à la CNIL maintenant ?
" />
" />
Entre les journaux de serveurs web, les firewall…. je suis un hors-la-loi ?
#39
#40
oui, mais chaque matériel a son ip publique, y’a pas de NAT.
#41
#42
#43
double post dsl
#44
#45
Clairement l’histoire est pas clair. Le concurrent qui dénonce l’autre entreprise de collecte d’IP.
Ça sent l’ancien collègue bien renseigner qui (veut ?) a nui ou un collaborateur passé dans le camps adverse…
Bref déjà, les entreprises ne pourront plus collecter et identifier une IP sans déclaration préalable de la CNIL.
Le problème est que Hadopi reste et passe au dessus de ce principe.
#46
en adsl, tu peux mettre n’importe quel modem du moment qu’il est compatible avec la norme de ton FAI.
ensuite, si besoin, tu renseignes, depuis ton ordinateur, les champs requis pour se connecter (login+pass) et hop IP publique sur l’ordinateur.
(comme à l’époque des modem 56k pas routeur)
#47
#48
C’est marrant, il y a 5 minutes je lisais un article sur zdnet.fr sur le problème de non identification sur les fibres FTTH. il ressort des expériences d’un gars qui s’appelle Pierre Kim que sous linux, vous pouvez vous connecter directement sans demande de mot de passe sur les terminaisons fibres de nos fournisseurs .
http://www.zdnet.fr/actualites/d-inquietantes-failles-de-securite-dans-les-acces…
Le problème est peut etre dépassé, je sais pas, mais voilà un dangereux concurrent à la validation par adresse ip…
#49
Tout dépend de la typographie, avec des pipes “|” et des points “.” ça rentre sur n’importe quel engin distributeur de plaisir :
..||.|||||.||…||.||….|||..|….|.|.|.|..||.||||.||||..|..|||||.|.|.|.||.|.|.|.|……|||..|.|….|||.||.|…|.||…|.|||||||
#50
#51
Avant l’arrivée des box ADSL, on avait de simples modems qui ne faisaient pas routeur et l’unique PC relié à cette box (en USB ou Ethernet) recevait l’IP publique du FAI.
#52
Pas obligé d’utiliser la box de ton FAI pour avoir accès à internet.
C’est ce que je fais pour ma part. La Box est dans le placard, mon propre modem-routeur est branché, les accès PPP configurés, je me fais assigner une IP publique par mon FAI.
#53
#54
#55
Tu as raison mais lui aussi. Donc ton “Non” est de trop.
Chaque matériel a généralement une IP V6 privée et une publique
#56
#57
#58
SI tu as activé l’IP V6 sur ta box, que ce soit chez Orange ou chez Free, tu as cette IP publique si ton matériel est configuré correctement.
Chez les autres, je n’ai pas pratiqué.
D’ailleurs, quelqu’un sait si cette IP V6 est fixe ou non chez Orange ? Je n’avais rien trouvé de précis à l’époque où je l’avais activé.
#59
#60
#61
Il y a un truc que je pige pas. Si un site web français conserve les adresses IP de ses visiteurs français, il faut faire une demande à la CNIL ? Ça sent la mesure à la con qui rend illégale la moindre installation de serveur web (sans déclaration).
#62
Chez Orange, le bloc est régénéré si on active/désactive l’IPv6 il me semble. Je sais pas si derrière le routeur fixe les adresse des équipements connectés.
#63
sauf que si tu es connecté en ipv6 sur internet ton équipement à forcément une ipv6 publique.
après il a surement d’autres adresse ipv6 si ça lui chante.
rajouter du NAT sur de l’ipv6 est un non-sens total.
#64
#65
#66
Si ça se trouve, c’est juste pour faire chier un concurrent…
#67
Il attribue une IP à ta ligne peu importe ce que tu branche dessus.
Quand à l’époque il n’y avait pas de routeur dans les foyers, ça se passait comme ça.
#68
Donc le moindre fichier LOG APACHE est illégal sans déclaration CNIL ?
WTF ?
#69
Les logs, traces, journaux, archives et autres relevés d’informations purement “techniques” ne nécessitent pas une autorisation de la CNIL.
Il est tout de même possible qu’il y ai des rétentions maximum préconisées pour ces fichiers…
Ce sont les traitements des informations personnelles qui doivent être déclarée à la CNIL, souvent il suffit de stocker des logs dans une base de données qui permette une relation entre les champs pour rentrer dans cette définition…
#70
au repos ou au garde à vous ?
" />
#71
et le proxy ? et le vpn ?
#72
#73
#74
Mais pour le commun des mortels, ce n’est pas le cas.
Regardons les choses en face : les internautes ce sont les citoyens. Et ce sont eux, principalement, qui sont concernés par la décision de la cour de cassation dont parle l’article. Et les internautes lambda, comme la majeure partie d’entre nous, utilisent une box du FAI pour se connecter à Internet. Et cette box fait systématiquement office de routeur par défaut.
#75
Le fameux cabinet concurrent est celui dont proviennent les IP.
Plusieurs personnes le composant ont été envoyées et condamnées en correctionnelle pour intrusion illicite dans un système informatisé. Le jugement est actuellement en appel. Tous les moyens sont utilisés dans cette affaire pour faire annuler les preuves et empêcher la justice de passer.
#76
#77
#78
Ça implique de bien configurer le réseau de ton PC pour qu’il serve de
relai… ce qui dépasse les compétences de la majorité des gens.
A noter que cliquer “partager sa connexion” (clic unique dans Preferences système > partage> partage web) sur un mac est possible depuis genre 10 ans et qu’il se pourrait bien que ce ne soit pas aussi compliqué qu’on veuille bien le croire.
Je le dis parce que je viens de me demander un truc très similaire concernant mes parents il y a quelques jours, donc c’est de l’actu pour moi.