Ce questionnaire fait suite à une note de la Commission juridique du Chapitre français de l’Isoc traitant des adresses IP comme données personnelles. Cette note est disponible ici.

1- Pourriez-vous vous présenter rapidement (qui vous êtes, ce que vous faîtes, vos centres d’intérêt...) ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été instituée par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés qui la qualifie d’autorité administrative indépendante. Elle est constituée d’un collège pluraliste de 17 commissaires et ne reçoit d’instruction d’aucune autorité.

La CNIL a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques. Elle est chargée de veiller au respect de la loi « Informatique et Libertés » qui lui confie six missions principales :

 Informer et conseiller – Elle informe et conseille les personnes de leurs droits et obligations. Elle adopte des avis et des recommandations et peut proposer au Gouvernement les mesures législatives ou réglementaires pour concilier protection des données et évolution des techniques ;

 Garantir le droit d’accès – Elle exerce, pour le compte des citoyens qui le souhaitent, l’accès aux fichiers intéressant la sûreté de l’État, la défense et la sécurité publique ;

 Recenser les fichiers - Les traitements de données à « risques » sont soumis à autorisation de la CNIL. Elle reçoit les déclarations des autres traitements. Elle tient à la disposition du public la liste des traitements déclarés ;

 Contrôler – Elle vérifie que la loi est respectée en contrôlant sur place les applications informatiques. Elle use notamment de son pouvoir d’investigation pour instruire les plaintes ;

 Sanctionner - La CNIL peut prononcer diverses sanctions graduées (avertissement, mise en demeure, sanctions pécuniaires pouvant atteindre 300 000 € …) ;

 Réglementer - La CNIL établit des normes simplifiées, afin que les traitements les plus courants et les moins dangereux fassent l’objet de formalités allégées.

2- Quels buts pourraient poursuivre le traitement automatique d’adresses IP ?

Outre les traitements réalisés au titre de sa fonction première, permettre l’adressage des paquets de données sur le réseau internet, l’adresse IP est utilisée pour répondre à de multiples finalités telles que la prévention de la fraude, la sécurisation des systèmes d’informations ou encore l’amélioration de services etc. Toutefois, même si la CNIL s’intéresse à chacun de ces traitements, elle porte une attention particulière à ceux ayant pour objet :

 La recherche, la constatation et la poursuite des infractions pénales :

L’adresse IP fait partie des données de trafic que les opérateurs de communications électroniques doivent conserver pendant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (article L. 34-1 du Code des postes et des communications électroniques). C’est également pour cette finalité que les fournisseurs d’hébergement et d’accès à internet doivent la conserver (article 6 de la loi pour la confiance dans l’économie numérique).

En effet, l’adresse IP est l’élément qui permet aux services de police et de gendarmerie d’identifier le titulaire de l’abonnement à internet à partir duquel a été réalisée une intrusion dans un système d’information, une fraude à la carte bancaire ou encore qu’un contenu a été mis en ligne (incitation à la haine raciale, vente d’un objet contrefaisant…). De même, les sociétés de perception et de répartition des droits d’auteur (SPRD), telles que la SACEM ou la SCPP, collectent les adresses IP des internautes mettant à disposition des fichiers sur les réseaux « peer to peer » afin d’initier des poursuites civiles ou pénales à leur encontre. Les adresses IP sont transmises au juge qui demande ensuite au FAI de communiquer l’identité des abonnés internet concernés.

 La réalisation d’études marketing :

Cette finalité répond plus précisément à deux types d’objectifs : la réalisation de statistiques et le ciblage marketing. C’est sur la base de l’adresse IP, le plus souvent associée à un « cookie », que les exploitants de sites internet vont effectuer des statistiques de fréquentation et procéder à des analyses des comportements d’achats et des habitudes de surf. De même, l’adresse IP, recoupée avec d’autres informations, pourra être utilisée pour réaliser un profil de l’internaute et mettre en place un ciblage marketing.

Par exemple, les moteurs de recherche tels que Google ou Yahoo utilisent l’adresse IP pour afficher des publicités ciblées. En effet, l’adresse IP est notamment révélatrice de la zone géographique à partir de laquelle l’internaute est connecté avec un niveau de précision pouvant aller jusqu’à la ville, voir le quartier, cet élément influencera la nature des publicités qui seront affichées sur la page.

3- Est-ce que les règles européennes et nationales actuelles en matière de données personnelles empêchent les personnes qui souhaitent traiter automatiquement des adresses IP d’atteindre leurs buts ?

Non, dans la très grande majorité des cas. A partir du moment où les personnes concernées par le traitement sont informées et que, le cas échéant, les formalités préalables auprès de l’autorité de protection des données (en France la CNIL) sont correctement effectuées, il est possible de procéder au traitement automatique des adresses IP. Seuls certains traitements « à risques » font l’objet d’un encadrement particulier et sont susceptibles d’être interdits.

C’est par exemple le cas des traitements relatifs à la lutte contre la contrefaçon sur internet. Ils sont soumis, en France, à l’autorisation préalable de la CNIL et ne peuvent être mis en œuvre que par les SPRD [NDLR : Société de perception et de répartition des droits comme le Sacem] et les organismes de défense professionnelle des droits d’auteur.

4- A votre avis, pourquoi est-il important (ou non) de savoir si une adresse IP est ou non une donnée personnelle ?

Déterminer la nature juridique de l’adresse IP est essentiel car la réponse à cette question décide en grande partie de l’existence ou non d’une protection de la vie privée sur internet. Le fait de considérer que l’adresse IP n’est pas une donnée à caractère personnel permettrait de collecter, d’utiliser et de conserver sans aucune limite et pour n’importe quelle finalité l’ensemble des traces relatives à l’usage d’internet (surf, voix sur IP, télévision sur IP, chat …).

La traque des internautes sur les réseaux « peer to peer » serait par exemple ouverte à tous. De même, les sites internet pourraient décider, sans aucun contrôle sur les critères d’un tel choix, de mettre en liste noire les adresses IP de certains internautes et ainsi de les empêcher d’accéder au contenu du site ou de participer à un forum de discussion.

5- Est-ce qu’une adresse IP peut être une donnée personnelle ?

L’adresse IP est une donnée à caractère personnel, tant au regard de la législation européenne que nationale.

 Au plan européen :

L’article 2 de la directive du 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel dispose que constitue une donnée à caractère personnel « toute information concernant une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Le considérant 26 de cette même directive précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par un tiers, pour identifier ladite personne ».

C’est sur la base de cette définition, voulue la plus large possible par la Commission européenne, que les autorités de protection des données des Etats membres de l’Union européenne, dans le cadre des activités de leur groupe de travail dit « groupe de l’article 29 », ont considéré à de multiples reprises que l’adresse IP constituait une donnée à caractère personnel.

Ainsi, dans un document de travail du 21 novembre 2000 relatif au respect de la vie privée sur internet, les « CNILs » européennes soulignent que : « les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet. Il en va de même des fournisseurs de services Internet qui conservent un fichier-registre sur le serveur http ». L’avis précise également qu’il est possible « […] de relier l’adresse IP de l’utilisateur à d’autres données (publiques ou pas) qui permettent de l’identifier, et spécialement si l’on fait usage de moyens invisibles de récolte de données sur l’utilisateur (par exemple : utiliser des cookies contenant un identificateur unique) ou des systèmes modernes d’extraction de données reliés à des bases de données de grande taille contenant des données sur les utilisateurs Internet permettant leur identification. »

Cette position a encore récemment été rappelée par le G29 dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel.

 Au plan national :

A l’occasion de la transposition en 2004 de la directive 95/46/CE précitée, le législateur français a retenu quasi in extenso la définition de données à caractère personnel prévue à l’article 2 de cette directive reprenant ainsi à son compte la conception large de cette notion.

L’article 2 de la loi « informatique et libertés » modifiée dispose ainsi que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Il apparaît à la lecture de cet article que l’adresse IP présente toutes les caractéristiques d’une donnée à caractère personnel en ce qu’elle constitue un numéro d’identification permettant d’identifier indirectement, via le fournisseur d’accès à internet, une personne physique ayant souscrit un abonnement à internet dans le cadre duquel il utilise un ordinateur auquel ladite adresse IP est rattachée.

Il pourrait être objecté que lorsque le titulaire de l’abonnement est une personne morale l’adresse IP ne constituerait pas dans ce cas de figure une donnée à caractère personnel. Néanmoins, cette analyse s’avère en pratique inexacte dans la mesure où les entreprises, dans le cadre de la gestion de leur réseau informatique, tiennent à jour une liste associant l’identité des employés à la machine qu’ils utilisent sur le réseau.

A cet égard, l’adresse IP est similaire au numéro de téléphone ou d’immatriculation d’un véhicule dont il est établi depuis longtemps qu’ils constituent des données à caractère personnel. Un numéro de téléphone n’est ni plus ni moins qu’un identifiant attaché à un terminal connecté à un réseau et qui est associé à d’autres éléments d’identification de l’abonné, personne physique ou morale, conservés dans le fichier client de l’opérateur de téléphonie. On relèvera en outre que lorsque l’abonné est inscrit en liste rouge, seul l’opérateur de téléphonie est en mesure de faire le lien entre le numéro de téléphone et l’abonné auquel il a été attribué. Il en est de même du numéro d’immatriculation d’un véhicule qui est associé au sein du Fichier National des Immatriculations (FNI) au propriétaire, personne physique ou morale, du véhicule. Ce fichier, constitué sur la base des éléments recueillis en préfecture n’est accessible qu’à un nombre limité de personnes dont la liste est fixée par arrêté.

Il résulte de ce qui précède que quand bien même un numéro d’identification est associé à un objet (ordinateur, téléphone ou véhicule), il constitue une donnée à caractère personnel dès lors qu’il permet d’identifier indirectement une personne physique, propriétaire de l’objet ou titulaire de l’abonnement au service dans le cadre duquel cet objet est utilisé.

6- Si une adresse IP peut être une donnée personnelle, est-ce que toutes les adresses IP devraient être traitées comme telles ou devrait-on établir des distinctions et sur quelles bases ?

Seules les adresses IP qui ne seraient pas liées à des abonnées personnes physiques ou pour lesquelles il ne serait pas possible d’associer un employé au sein d’un organisme pourraient ne pas être considérées comme des données à caractère personnel. Il s’agit par exemple d’adresses IP renvoyant à des serveurs exclusivement dévolus à un rôle technique ou à des matériels connectés au réseau tels que des « webcams ». Toutefois, il n’existe pas de liste ou d’annuaire permettant de déterminer à quel cas de figure correspond une adresse IP collectée sur internet. Par conséquent, toute adresse IP doit a priori être considérée comme une donnée à caractère personnel.

7- Pour vos réponses aux questions ci-dessus, avez-vous fait une distinction entre adresses IPv4 et IPv6 ? Si oui, pourquoi faire une distinction ?

Il n’a été effectué aucune distinction entre des adresses IPv4 et IPv6 dans la mesure où, d’une part, IPv6 est encore très peu répandu en Europe, et, d’autre part, le passage à IPv6 ne fera que renforcer la position de la CNIL et le caractère personnel de l’adresse IP. IPv6 et l’usage d’adresses IP fixes qu’il implique renforcera considérablement les capacités d’analyse des données de connexion et d’une manière générale l’exploitation des traces laissées par les internautes.

courrier Cnil