Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Consommateurs   Vie privée   Régulation   Contenu illicite   Brevet   Marques   Noms de domaine   Signes distinctifs   Bases de données   Lettre du Cejem   Professions   Contrats   Conférences et colloques   Droit d’auteur   Au jour le jour  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

L’adresse « IP », une donnée à caractère personnel ?

Mots-clefs : Vie privée |

par Kevin kheyari, le mardi 29 janvier 2008

Selon l’article 2, alinéa 2, de la loi « informatique et libertés » modifiée du 6 janvier 1978 « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification [...]. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » et l’alinéa 3 du même article dispose que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion [...] ».

Ces règles relatives aux respects des données personnelles rencontrent actuellement des difficultés d’application en matière de lutte contre la contrefaçon réalisée au moyen d’échanges de fichiers sur l’internet.

Afin de lutter contre ce type d’infraction, l’article L. 331-2 du Code de la propriété intellectuelle permet à un agent assermenté d’une société de gestion collective de constater la matérialité d’actes de contrefaçon et l’article 9-4 de la loi « informatique et libertés » permet également aux sociétés de gestion collective (telles que la SACEM, SCPP, SDRM, SPPF) de recourir à des traitements, automatisés ou non, de données à caractère personnel relatives aux infractions à condition d’obtenir l’autorisation de la CNIL (Commission nationale de l’informatique et des libertés). Techniquement, lorsqu’un ordinateur se connecte à l’internet le fournisseur d’accès lui attribue une adresse « IP » (Internet Protocol). Cette dernière correspond à une succession de chiffres rendant possible l’identification de l’ordinateur connecté à l’internet. Ainsi en pratique, pour détecter un internaute contrefacteur, l’agent assermenté se connecte à l’internet, accède à l’aide de logiciels aux fichiers partagés (mis à la disposition d’autres internautes) et stockés dans l’ordinateur dont il recueille l’adresse « IP ». Puis, conjointement à la constitution d’une plainte, cette adresse « IP » est transmise aux officiers de police judiciaire chargés alors de demander aux fournisseurs d’accès à l’internet l’identité de l’abonné.

Ce procédé soulève l’importante question de savoir si l’adresse « IP » est ou non une donnée à caractère personnel et par conséquent, si la collecte de ces adresses effectuée par un agent assermenté doit ou non être autorisée par la CNIL.

Pour la CNIL, l’adresse « IP » est une donnée à caractère personnel dans la mesure où elle permet, par un numéro d’identification, d’identifier indirectement la personne physique titulaire d’un abonnement à l’internet et elle estime, donc, qu’une telle collecte correspond à un traitement d’une donnée à caractère personnel (notamment CNIL, délibération n° 2006-294, 21 déc. 2006). Si la position de cette autorité de contrôle demeure constante, il est apparu, ces derniers mois, une divergence jurisprudentielle importante.

Certaines juridictions retiennent une solution identique à celle défendue par la CNIL (TGI Bobigny, 14 déc. 2006 ; TGI Saint-Brieuc, 6 sept. 2007 ; TGI Paris, 24 déc. 2007) et imposent aux agents assermentés des sociétés de gestion collective collectant des adresses « IP » l’obtention d’une autorisation de la CNIL (L. 1978, art. 25, I-3). A défaut le traitement de ces données sera illicite et les procès-verbaux constatant la contrefaçon ainsi que la procédure pénale subséquente seront nuls.

Au contraire, la Cour d’appel de Paris a retenu une solution différente dans ses décisions du 15 mai 2007 et du 27 mai 2007. Cette juridiction considère :
- Que lorsque l’agent assermenté procède au relevé de l’adresse « IP » de l’ordinateur conformément à la législation sur la propriété intellectuelle (art. L. 331-2 CPI), d’une part, il ne fait que constater la matérialité de l’infraction réalisée, ce qui ne constitue pas un traitement de données à caractère personnel au sens de la loi « informatique et libertés » et, d’autre part, il ne fait qu’établir un acte de preuve de la matérialité de l’infraction et non un acte d’identification du contrefacteur.
- Que l’agent assermenté ne procède pas lui-même à l’identification du présumé contrefacteur, ce rôle étant réservé aux seules autorités de police judiciaire qui effectuent un rapprochement entre l’adresse « IP » et l’identité de l’abonné détenue et communiquée par les fournisseurs d’accès à l’internet.
- Que l’adresse « IP » correspond à une série de chiffres qui permet l’identification de l’ordinateur utilisé pour réaliser la contrefaçon et non celle de son utilisateur. Ainsi, pour la Cour d’appel de Paris, cet identifiant ne serait pas une donnée à caractère personnel et, par conséquent, son traitement par l’agent assermenté ne nécessite pas l’obtention d’une autorisation de la CNIL. Toutefois, nous pouvons nous demander si l’adresse « IP » de connexion associée au nom du fournisseur d’accès à l’internet ne constituent pas, tout de même, « un ensemble de moyens » qui utilisé par « tout autre personne » (les officiers de police judiciaire) permettraient l’identification de l’utilisateur (L. 1978, art. 2, al. 2).

L’adresse « IP » semble finalement présenter une nature juridique variable. En effet, il est facile d’assimiler cette adresse à une donnée personnelle lorsque l’utilisateur de l’ordinateur est le seul à avoir accès à la machine. En revanche, la situation se complique lorsqu’une même adresse « IP » est attribuée à plusieurs ordinateurs connectés au même réseau local (utilisation d’un routeur, ordinateurs connectés dans des lieux ouverts aux publics : cybercafés, bibliothèques...). Toutefois, si l’actuel système d’adressage « IPv4 » (pour « Internet Protocol version 4 ») connaît à l’évidence une pénurie d’adresse « IP » due à l’augmentation du nombre d’internautes entraînant de ce fait leur mutualisation, nous nous dirigeons rapidement vers un modèle d’adressage unique (« IPv6 ») où chaque appareil connecté au réseau disposera alors de sa propre adresse IP.

Kevin Kheyari