Les adresses IP dynamiques peuvent être des données à caractère personnel

1.    Que sont les adresses IP dynamiques ?

Contrairement aux adresses IP statiques, les adresses IP dynamiques ne permettent pas, en principe, d’établir un rapport, à partir de fichiers qui sont accessibles au public, entre un certain ordinateur et le raccordement physique au réseau. Une adresse IP dynamique change en effet à chaque nouvelle connexion à l’internet.

Une adresse IP dynamique change à chaque nouvelle connexion à l’internet

Cependant, il n’est pas impossible, dans certaines conditions et à l’aide d’informations supplémentaires, de découvrir, à partir d’une adresse IP dynamique, l’identité du propriétaire de l’ordinateur auquel est connectée l’adresse IP.

La question se posait dès lors de savoir si une adresse IP dynamique ne doit pas être considérée comme une donnée à caractère personnel dans le sens de la Directive sur la protection de  la vie privée. 

2.    La procédure devant la Bundesgerichtshof

La Bundesgerichtshof allemande avait présenté cette question, par la voie de questions préjudicielles, à la Cour.

La cause en était une procédure introduite par un citoyen allemand contre la République Fédérale d’Allemagne à l’occasion de sa consultation de sites web d’une institution fédérale allemande.

Le citoyen allemand demandait qu’il serait interdit aux autorités allemands de stocker les adresses IP du système hôte accédant. La Bundesgerichtshof allemande avait présenté cette question, par la voie de questions préjudicielles, à la Cour.

Pour se protéger contre des cyberattaques et des poursuites pénales d’attaquants éventuels, toutes les visites sont enregistrées dans la plupart de ces sites web, dans des fichiers log. Ces fichiers log contiennent, à l’issue de la visite, l’adresse IP de l’ordinateur à partir duquel le site web a été visité.

Vu que le citoyen allemand ne pouvait pas accepter le comportement des autorités allemands, il a interjeté un appel contre cette sauvegarde. L’appel visait à imposer à la République Fédérale d’Allemagne l’interdiction de sauvegarder ou faire sauvegarder par des tiers l’adresse IP du système d’hébergement à partir duquel l’utilisateur internet a eu accès aux sites web publiquement accessibles pour les médias en ligne d’institutions fédérales allemandes, pour autant que la sauvegarde de cette adresse IP ne soit pas nécessaire pour restaurer la disponibilité de ces médias en cas de perturbation.

En premier ressort, l’appel a été rejeté. Le juge en degré d’appel par contre a partiellement accueilli l’appel.

Le juge a obligé la République Fédérale d’Allemagne à s’abstenir de sauvegarder ou faire sauvegarder des adresses IP à l’issue de la session si cette adresse est sauvegardée avec l’époque de la visite qui a eu lieu via cette adresse et si l’utilisateur a divulgué son identité lors de sa visite.

Le juge en degré d’appel a estimé en d’autres mots qu’une adresse IP dynamique peut être considérée comme une donnée à caractère personnel si elle est sauvegardée via cette adresse avec l’époque de la visite et si l’utilisateur a divulgué son identité lors de sa visite.

Il s’en suit justement que l’exploitant d’un site web peut identifier le visiteur en liant le nom du visiteur à son adresse IP.

3.    Questions préjudicielles de la Bundesgerichtshof

Il a été aussi formé appel contre cette décision. Le citoyen allemand trouvait que la décision du juge d’appel n’allait pas suffisamment loin et la République Fédérale d’Allemagne était d’avis que cette décision allait beaucoup trop loin.

La Bundesgerichtshof a expliqué que les adresses IP dynamiques de l’ordinateur d’un utilisateur, qui sont sauvegardées par le fournisseur de services médias en ligne constituent, avec d’autres fichiers log sauvegardés, des données spécifiques sur les conditions d’activité d’un visiteur.

Ces données fournissent en effet des informations sur le fait que le visiteur a consulté, via l’internet, à certains moments, certains sites web ou a demandé certains fichiers.

Ces données ne permettent toutefois pas, en principe, d’identifier directement une personne.

L’identification du visiteur en question ne réussit que lorsque le fournisseur du site web ou du service média en ligne reçoit des informations du fournisseur internet concernant l’identité de l’utilisateur.

La Bundesgerichtshof a par la suite posé une question préjudicielle à la Cour de Justice Européenne concernant l’interprétation des dispositions de la Directive sur la protection de la vie privée. 

L’article 2, a) de la Directive définit les données à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

La cour devait répondre à la question de savoir si, suite à cet article 2, a), une adresse IP dynamique qui est enregistrée par un fournisseur d’un service média en ligne constitue, à chaque fois qu’une personne visite un site web, une donnée à caractère personnel, lorsque seul un tiers, comme un fournisseur internet, dispose des informations supplémentaires qui sont nécessaires pour identifier cette personne.

4.  Comment la Cour de Justice juge-t-elle ?

La Cour a relevé qu’une adresse IP dynamique ne constitue, en tant que telle, pas une donnée à caractère personnel, étant donné qu’une telle adresse ne révèle pas directement l’identité de la personne qui est propriétaire de l’ordinateur à partir duquel le site web a été visité.

Cependant, la Cour devait également vérifier si une adresse IP dynamique peut être considérée comme une donnée à caractère personnel lorsqu’elle a trait à des personnes identifiables et que les informations supplémentaires qui sont nécessaires pour l’identification de cette personne reposent chez un tiers.

La notion « identifiable » ne suppose pas seulement l’identification directe mais aussi l’identification indirecte

La notion « identifiable » ne suppose en effet pas seulement l’identification directe mais aussi l’identification indirecte. La Cour déduit du fait que la définition de « données à caractère personnel »utilise le terme « indirectement », qu’il n’est pas nécessaire, pour la qualification d’une donnée comme donnée à caractère personnel, que cette donnée permette en tant que telle d’identifier une personne.

Pour déterminer si une personne est identifiable, il faut vérifier tous les moyens dont on peut admettre qu’ils peuvent être utilisés raisonnablement pour faire identifier l’intéressé par celui qui est responsable du traitement ou par toute autre personne.

La Cour a considéré à cet égard qu’il n’est pas requis que toutes les informations à l’aide desquelles l’intéressé peut être identifié soient conservées chez une seule et même personne.

Cela signifie que le fait que les informations supplémentaires qui sont nécessaires pour identifier l’utilisateur d’un site web ne reposent pas chez le fournisseur du site web même, n’empêche pas que les adresses IP dynamiques enregistrées par le fournisseur soient considérées comme des données à caractère personnel.

Il semble être établi pour la Cour que la possibilité de combiner une adresse IP dynamique avec des informations supplémentaires dont le fournisseur d’internet ne dispose pas, constitue un moyen dont on peut admettre qu’il peut être utilisé, raisonnablement, pour identifier la personne concernée.

Une adresse IP dynamique constitue dès lors, dans ces conditions, une donnée à caractère personnel.

5.    Conclusion

Sur la base de cet arrêt, il n’y a plus de doute sur la qualification d’adresses IP dynamiques. La Cour a estimé explicitement que les adresses IP dynamiques sont qualifiées comme des données à caractère personnel, même si les informations supplémentaires qui sont nécessaires pour procéder à l’identification de l’intéressé reposent chez un tiers.

Par conséquent, les fournisseurs de sites web qui sauvegardent dans leurs fichiers log les adresses IP dynamiques, doivent respecter les dispositions de la Directive sur la protection de la vie privée et, bientôt, du GDPR.