La notion de donnée à caractère personnel

L’article 2, al. 2 de la loi informatique et libertés prévoit que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Il ressort de cette disposition que la notion de données à caractère personnel est définie de manière relativement large.

À titre de remarquer liminaire, il convient d’observer que la notion de « données à caractère personnel » a été substituée à celle « d’informations nominatives » par la loi du 6 août 2004.

Initialement, la loi du 6 janvier 1978 prévoyait, en son article 4 (ancien), que « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »

Désormais, on ne parle plus d’informations nominatives, mais de données à caractère personnel.

Ce glissement sémantique résulte de la prise en compte des progrès des techniques d’identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion « d’information nominative » suggérait qu’elle ne recouvrait que les éléments d’identification entretenant une proximité avec le nom de la personne visée.

Or son périmètre était, en réalité, bien plus large, notamment en raison du développement des mesures d’identification indirect.

La notion de « donnée à caractère personnel » est donc apparue plus pertinente, en ce qu’elle permet de couvrir des informations permettant tant l’identification, tant directe, qu’indirecte de la personne.

En pratique d’ailleurs, la CNIL avait adopté une conception large des informations nominatives, en incluant, par exemple, les numéros de téléphone, les plaques d’immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d’identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, permet ainsi d’éviter l’obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d’État entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public, qui a pour effet de restreindre la liberté d’accès aux documents administratifs.

En toute hypothèse, il apparaît que la définition retenue par le législateur comporte plusieurs éléments :

I) Toute information

L’expression « toute information » que l’on retrouve dans la définition, tant de la loi informatique et libertés, que dans le RGPD manifeste clairement la volonté du législateur d’élaborer un concept large des données à caractère personnel.

==> Sur la nature des informations

Le concept de données à caractère personnel englobe toutes sortes de renseignements à propos d’une personne. Il peut s’agir d’informations «objectives» telles qu’une particularité sanguine de la personne concernée, comme il peut aussi s’agir d’informations «subjectives» sous forme d’avis ou d’appréciations.

Ce dernier type de renseignements représente une grande partie du traitement des données à caractère personnel dans des secteurs tels que celui des banques, pour l’évaluation de la fiabilité des emprunteurs («X est un emprunteur fiable»), des assurances («X ne devrait pas mourir dans un proche avenir») ou de l’emploi («X est un bon travailleur et mérite d’être promu»).

Pour être considérées comme des « données à caractère personnel », il n’est pas nécessaire que ces informations soient vraies ou prouvées.

En réalité, les règles de protection des données envisagent déjà que des informations puissent être incorrectes et prévoient pour la personne concernée le droit d’accéder à ces informations et de les contester par des voies de recours adéquates.

==> Sur le contenu des informations

On entend par «données à caractère personnel» toutes sortes d’informations.

Cela couvre évidemment les informations à caractère personnel considérées comme «données sensibles», au sens de la loi informatique et libertés, en raison du fort potentiel de risque qu’elles présentent, mais également des informations plus générales.

L’expression «données à caractère personnel» englobe les informations touchant à la vie privée et familiale d’une personne physique, stricto sensu, mais également les informations relatives à ses activités, quelles qu’elles soient, tout comme celles concernant ses relations de travail ainsi que son comportement économique ou social.

Il s’agit donc d’informations concernant des personnes physiques, indépendamment de leur situation ou de leur qualité (en tant que consommateurs, patients, employés, clients, etc.).

==> Sur le format des informations ou du support utilisé

Le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques.

Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo.

C’est une conséquence logique de l’intégration du traitement automatisé des données à caractère personnel dans son champ d’application. Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique.

Par ailleurs, il n’est pas nécessaire, pour que ces informations soient considérées comme données à caractère personnel, qu’elles soient contenues dans une base de données ou un fichier structuré. Les informations contenues sous forme de texte libre dans un document électronique peuvent également être reconnues comme des données à caractère personnel, pour autant que les autres critères énoncés dans la définition des données à caractère personnel soient remplis.

Les courriers électroniques contiennent par exemple des « données à caractère personnel ».

II) Des données portant sur une personne physique

Une donnée ne peut être regardée comme revêtant un caractère personnel, qu’à la condition qu’elle porte sur une personne physique.

Le concept de «personne physique» est évoqué à l’article 6 de la Déclaration universelle des droits de l’homme qui se lit comme suit: « chacun a le droit à la reconnaissance en tous lieux de sa personnalité juridique. »

La personnalité juridique n’est autre que la capacité à être sujet de droit, de la naissance de l’individu jusqu’à son décès.

Les données personnelles sont dès lors, par principe, des données qui concernent des personnes vivantes identifiées ou identifiables.

Il s’ensuit plusieurs conséquences :

==> Exclusion des données portant sur une personne décédée

Les informations relatives à des personnes décédées ne sauraient, en principe, être considérées comme des données à caractère personnel soumises aux règles du RGPD, dans la mesure où, conformément au droit des personnes, elles ne sont plus des personnes physiques.

Telle est la solution retenue par le RGPD. Dans son considérant 27, il prévoit en ce sens qu’il n’a pas vocation à s’appliquer aux données à caractère personnel des personnes décédées.

Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

À cet égard, l’article 57 de loi informatique et libertés dispose que « les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit ».

==> Exclusion des données portant une personne morale

Des informations qui seraient collectées sur une personne morale ne relèveraient pas du champ d’application de la loi informatique et libertés.

 Dans son considérant n°14, le RGPD prévoit, à cet égard, que la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Aussi, ce texte n’a pas vocation à couvrir le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Toutefois, comme l’a précisé la Cour de justice des Communautés européennes, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle[1].

Ainsi, certains États membres, tels que l’Italie, l’Autriche et le Luxembourg, ont étendu l’application de certaines dispositions de leur législation nationale transposant la directive (comme celles sur les mesures de sécurité) au traitement de données concernant des personnes morales.

Comme dans le cas des informations relatives aux personnes décédées, il peut arriver, en outre, qu’en vertu des modalités pratiques mises en place par le responsable du traitement des données, des données relatives à des personnes morales soient soumises de facto aux règles sur la protection des données.

Tel sera le cas lorsque des données concernant les dirigeants d’une personne morale seront collectées.

Aussi, dans une délibération n° 85-45, du 15 octobre  1985 la CNIL est venue préciser que « sont indirectement nominatives, quelle que soit la forme de l’entreprise, les informations relatives à la situation et à l’activité de l’entreprise, notamment les informations économiques et financières, dès lors qu’elles permettent l’identification des dirigeants ».

Il en résulte que les informations qui concernent les dirigeants de personnes morales doivent, quant à elles, être considérées comme des données à caractère personnel.

III) Des données permettant d’identifier directement ou indirectement une personne physique

L’article 2 de la loi informatique et libertés prévoit, en substance, qu’une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par référence à un identifiant qui consiste :

  • soit à un numéro d’identification
  • soit à un ou plusieurs éléments qui lui sont propres.

Le RGPD précise que l’identifiant peut prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel, dès lors qu’il permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.

Autant dire que toute information qui porte sur les caractéristiques d’une personne est susceptible d’être qualifiée de donnée à caractère personnel.

À cet égard, l’examen des textes révèle que pour déterminer si une personne est identifiable, deux éléments doivent être pris en compte :

  • L’identifiant attaché à la personne
  • Les moyens d’identification de la personne

Il s’en déduit que les informations anonymes ne peuvent, par nature, pas être qualifiées de données à caractère personnel.

A) Sur l’identifiant attaché à la personne

Pour être qualifiée de donnée à caractère personnel, l’information collectée doit permettre l’identification, directe ou indirecte de la personne visée.

D’une manière générale, on peut considérer une personne physique comme « identifiée » lorsque, au sein d’un groupe de personnes, elle se « distingue » de tous les autres membres de ce groupe.

La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). Cette seconde option constitue donc en pratique la condition de base qui détermine si les informations entrent dans le champ d’application du troisième élément.

L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler «identifiants» et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée.

Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc.

Ainsi peut-on considérer que des informations rendent identifiable une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données « concernant » la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations « concernent » une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes.

Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets

Ainsi, l’identification d’une personne directe peut être directe ou indirecte

1) L’identification directe

S’agissant des personnes «directement» identifiées ou identifiables, le nom de la personne est évidemment l’identifiant le plus courant et, dans la pratique, la notion de «personne identifiée» implique le plus souvent une référence au nom de cette personne.

Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin d’éviter toute confusion entre cette personne et d’éventuels homonymes.

À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent peut être considérée comme concernant une personne identifiée, car elle est liée au nom de cette personne.

Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres personnes avec lesquelles elle établit des relations.

Le nom peut également être le point de départ conduisant à des informations sur le domicile de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales associées à ce nom (scolarité/études, dossier médical, comptes bancaires).

Il est même possible de connaître l’apparence d’une personne si sa photographie est associée à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément d’information initial est alors associé à une personne physique que l’on peut distinguer d’autres personnes.

2) L’identification indirecte

S’agissant des personnes « indirectement » identifiées ou identifiables, cette catégorie relève en général du phénomène des « combinaisons uniques », à quelque degré que ce soit.

Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d’autres éléments d’information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres personnes.

C’est pourquoi la directive précise « un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Certaines caractéristiques, de par leur spécificité, permettent d’identifier quelqu’un sans difficulté («actuel premier ministre espagnol»), mais une combinaison de détails à un niveau catégoriel (tranche d’âge, origine régionale, etc.) peut également s’avérer assez concluante dans certaines circonstances, notamment si l’on a accès à des informations supplémentaires.

Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de ne pas commettre de violation de la confidentialité.

À cet égard, il convient de relever que si l’identification par le nom constitue, dans la pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une personne, notamment lorsque d’autres «identifiants» sont utilisés pour distinguer quelqu’un.

En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et, derrière celle-ci, de son utilisateur.

On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme.

En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité. La définition des données à caractère personnel reflète ce constat.

La Cour de justice des Communautés européennes a statué dans ce sens, considérant que la « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel »[2].

==> Cas de l’adresse IP

La question s’est posée de savoir si l’adresse IP d’un utilisateur pouvait être qualifiée de donnée à caractère personnel.

Techniquement, une adresse IP est attachée, non pas à une personne mais à une machine. Reste, que cette machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire.

La jurisprudence

Sur cette question la jurisprudence a été fluctuante.

Dans un arrêt du 14 décembre 2006, le Tribunal correctionnel de Bobigny a jugé que l’adresse IP constituait bien une donnée à caractère personnel (T. corr. Bobigny, 14 déc. 2006).

À l’inverse, d’un arrêt du 24 août 2006, la Cour d’appel de Pau a retenu une solution radicalement opposée (CA Pau, 24 août 2006, n° 06/593).

La Cour d’appel de Paris a statué dans le même sens dans un arrêt du 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP).

  • Les faits
    • Un prévenu était poursuivi du chef de contrefaçon pour des faits de téléchargement illégal et de mise à disposition des internautes de fichiers musicaux.
    • L’infraction avait été constatée par un agent assermenté d’une société de gestion collective de droits qui a procédé au recueil de l’adresse IP de l’ordinateur du prévenu.
    • Ce dernier prétendait alors que cette opération nécessitait l’obtention d’une autorisation de la CNIL et que le mode de preuve est donc illicite.
    • Cet argument a été écarté par les juges du fond
  • Solution
    • La Cour d’appel de Paris considère arguments le simple constat probatoire de l’élément matériel d’une infraction commise sur Internet par un individu utilisant un pseudonyme, dressé par l’agent, conformément à la législation sur la propriété intellectuelle, ne constitue pas un traitement de données personnelles.
    • Pour elle, seule la plainte auprès des autorités judiciaires a conduit à l’identification de la personne, dans le cadre des règles de procédure pénale.
    • Le relevé de l’adresse IP de l’ordinateur servant à commettre les faits entre dans le constat de la matérialité du délit et non dans l’identification de son auteur.
    • En effet, cette série de chiffres ne constitue pas une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à la personne l’utilisant. Les opérations de traitement de données visant à « la mise en place d’une surveillance automatisée des réseaux peer to peer », auxquelles la CNIL a refusé l’autorisation à la société de gestion des droits par une décision de 2005, sont très différentes du simple procès-verbal d’un agent assermenté transmis aux autorités judiciaires aux fins d’identification et de poursuite.
    • Par conséquent, le procédé utilisé ne nécessitait nullement l’agrément de la CNIL.

Finalement, la Cour de cassation est intervenue dans un arrêt du 13 janvier 2009. Elle ne s’est toutefois pas prononcée en faveur de la qualification de l’adresse IP en donnée à caractère personnel (Cass. crim., 13 janv. 2009, n° 08-84.088).

À cet égard, elle a considéré que « les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée »

La chambre criminelle a réitéré cette solution dans un arrêt du 23 mars 2010 (Cass. crim., 23 mars 2010, n° 09-80.787).

Alors que la position de la Cour de cassation était pour le moins critiquée, elle a, dans un arrêt du 3 novembre 2016, opéré un revirement de jurisprudence en considérant, sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (Cass, 1ère civ., 3 novembre 2016, n°15-22595).

La haute juridiction s’est ainsi ralliée à la position de la CNIL et de la CJUE.

Cass. 1ère civ. 3 nov. 2016
Attendu, selon l’arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet logisneuf.com ; qu’elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ;

 

La position de la CNIL

Dans un avis du 2 août 2007, la CNIL avait fait part de son inquiétude s’agissant de l’absence de reconnaissance, par la jurisprudence, de la qualification de données à caractère personnel de l’adresse IP.

Pour la gardienne de la loi informatique et libertés, cette position remet profondément en cause la notion de donnée à caractère personnel qui est très large.

En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

L’ensemble des autorités de protection des données des États membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.

Surtout, la CNIL s’inquiète des répercussions qu’une telle jurisprudence pourrait avoir sur la protection de la vie privée et des libertés individuelles sur internet, de plus en plus largement utilisé par tous, dans notre société

La position du G29

Le groupe de travail de l’article 29 a considéré les adresses IP comme des données concernant une personne identifiable.

Le G29 justifie sa position en relevant que les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet.

Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a), de la directive».

Il apparaît notamment que lorsque le traitement d’adresses IP a été effectué pour identifier les utilisateurs de l’ordinateur (par exemple, par des titulaires de droits d’auteur afin de poursuivre ces utilisateurs d’ordinateurs pour violation de droits de la propriété intellectuelle), le responsable du traitement part du principe que les « moyens susceptibles d’être raisonnablement mis en œuvre » pour identifier les personnes seront disponibles, par exemple par l’intermédiaire des tribunaux saisis (sinon la collecte d’informations serait inutile), de sorte qu’il convient de considérer ces informations comme des données à caractère personnel.

La position de la CJUE

Dans un arrêt du 24 novembre 2011, la CJUE s’est prononcée pour la première fois sur la question de savoir si l’adresse IP pouvait être qualifiée de donnée à caractère personnel (CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended).

Elle a considéré que les adresses IP étaient bien des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs.

Dans un autre arrêt du 19 octobre 2016 elle a confirmé sa jurisprudence en considérant que « une adresse IP (protocole Internet) dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur » (CJUE, 19 oct. 2016, aff. C-582/14).

Ce qui importe, c’est donc que l’information collectée rende la personne identifiable. Or pour qu’une personne soit considérée comme identifiable, il n’est pas nécessaire que tous les moyens d’identification de cette personne se trouvent entre les mains d’une seule entité.

Ainsi, une adresse IP peut constituer une donnée à caractère personnel si un tiers (par exemple, le fournisseur d’accès à Internet) dispose des moyens nécessaires à l’identification du titulaire de cette adresse sans déployer d’efforts démesurés.

Le RGPD

Le considérant 30 du RGPD prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Il se déduit ainsi de ce texte que l’adresse IP constitue bien une donnée à caractère personnel. Le débat semble désormais clos.

Au total, il importe peu qu’une personne puisse être directement ou indirectement identifiée, toute la difficulté étant, au fond, de déterminer, si l’information collectée se rapporte à une personne physique identifiable.

Pour ce faire, il convient de se tourner, soit vers les textes, soit vers la jurisprudence lesquels fournissent plusieurs critères d’appréciations.

B) Sur les moyens d’identification de la personne

L’article 2 de la loi informatique et libertés dispose que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Cela signifie que la simple possibilité hypothétique de distinguer une personne n’est pas suffisante pour considérer cette personne comme «identifiable».

Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas ou qu’elle est négligeable, la personne ne saurait être considérée comme «identifiable» et les informations ne seraient pas des «données à caractère personnel».

Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit notamment prendre en compte tous les facteurs en jeu.

Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.

Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut raisonnablement recourir.

Si les données doivent être conservées pendant une durée d’un mois, il est probable que l’identification ne pourra intervenir pendant la «durée de vie» des informations, et elles ne sauraient dès lors être considérées comme des données à caractère personnel.

Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer alors les mesures techniques et organisationnelles appropriées en temps utile.

En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité visée par le responsable du traitement dans le cadre du traitement des données.

Lorsque la finalité du traitement implique l’identification de personnes physiques, il est permis de penser que le responsable du traitement ou toute autre personne concernée dispose ou disposera de moyen «susceptibles d’être raisonnablement mis en œuvre» pour identifier la personne concernée.

En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.

[1] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 98

[2] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 27.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.