SOURCE : Cour de cassation, 1ère chambre civile, 3 novembre 2016, n°15-22.595
Plusieurs société du groupe Logisneuf ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site Internet logisneuf.com.
Ces sociétés ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.
Une société concurrente au groupe Logisneuf a saisi le Président du Tribunal de commerce en rétractation de son ordonnance, aux motifs que la conservation sous forme de fichier de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL pour que la mesure d’instruction prononcée soit considérée comme licite.
La question se posait donc de savoir si une adresse IP devait être considérée comme une donnée à caractère personnel au sens de l’article 2 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Cet article dispose en son second alinéa que :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Par ailleurs, selon ce même article, constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Pour rejeter la qualification de donnée à caractère personnel, la Cour d’appel avait considéré que l’adresse IP, constituée d’une série de chiffres, se rapportait à un ordinateur et non à l’utilisateur, et ne constituait pas, de ce fait, une donnée même indirectement nominative.
La Cour de cassation n’est pas de cet avis, puisqu’elle considère, au contraire, que les adresses IP, dès lors qu’elles permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel.
Il s’ensuit que, conformément aux dispositions de l’article 22 de la loi 78-17, la collecte d’adresses IP doit faire l’objet d’une déclaration préalable auprès de la CNIL.
Cette décision s’inscrit dans la lignée de l’arrêt rendu le 19 octobre 2016 par la Cour de justice de l’Union européenne (aff. 582/14), laquelle a considéré que l’adresse IP dynamique enregistrée par l’exploitant d’un site Internet à l’occasion de la consultation de ce site constitue, à l’égard de cet exploitant, une donnée à caractère personnel, lorsque celui-ci dispose de moyens légaux lui permettant de faire identifier la personne qui a consulté le site grâce aux informations supplémentaires dont dispose son fournisseur d’accès internet.
Virginie PERDRIEUX
Vivaldi-Avocats