La CJUE classe les IP dynamiques dans la catégorie données personnelles
La CJUE estime qu’une adresse IP, fixe ou dynamique, peut constituer une donnée à caractère personnel. Sous quelles conditions ?
Qu’elle soit fixe ou dynamique, une adresse IP peut constituer une donnée à caractère personnel dès lors qu’elle est enregistrée par des éditeurs de sites Internet qui disposent des moyens légaux pour identifier les utilisateurs concernés par le biais de leur fournisseur d’accès.
C’est, en substance, l’avis que la Cour de justice de l’Union européenne rend dans un arrêt du 19 octobre 2016 consécutif à une saisine de la Cour fédérale de justice allemande.
Cette dernière avait sollicité, en date du 28 octobre 2014, une décision sur l’interprétation des articles 2 et 7 de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La demande s’inscrit dans le cadre d’un litige opposant le dénommé Patrick Breyer – que nous appellerons P.B. – à la République fédérale d’Allemagne, qui avait enregistré et conservé l’adresse IP de l’intéressé lorsqu’il avait consulté plusieurs sites Internet des services fédéraux allemands.
Sacré caractère
Quelles dispositions établissent les deux articles mis en question ?
L’article 2 apporte une définition des « données à caractère personnel », considérées en l’occurrence comme toute information concernant une personne physique identifiée ou « identifiable », que ce soit par un numéro ou par plusieurs éléments spécifiques propres à son identité physique, physiologique, économique, culturelle ou sociale.
L’article 7 présente une liste des conditions dans lesquelles un traitement de données à caractère personnel peut être effectué. Notamment s’il est nécessaire à l’exécution d’un contrat, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public… ou encore tout simplement si la personne concernée a « indubitablement donné son consentement ».
Le texte a été transposé, en Allemagne, dans la loi fédérale sur la protection des données du 20 décembre 1990, qui définit les données à caractère personnel comme « des données particulières sur des situations personnelles ou matérielles d’une personne physique identifiée ou identifiable ».
Il y a aussi cette loi sur les médias en ligne du 26 février 2007, dont l’article 12 définit le périmètre légal des collectes de données par les « fournisseurs de services de médias en ligne ».
La CJUE s’est surtout intéressée à l’article 15, qui établit que lesdits fournisseurs ne peuvent collecter, utiliser, regrouper et conserver de données à caractère personnel que si c’est nécessaire pour permettre et facturer l’utilisation des médias en ligne.
Du rôle des FAI
La plupart des sites fédéraux consultés par P.B. ont, pour se prémunir contre les attaques et rendre possibles les poursuites pénales, mis en place un système d’enregistrement de toutes les consultations dans des fichiers journaux : nom du site ou du fichier consulté, termes recherchés, date et heure de la consultation, volume de données transféré… et adresse IP.
Estimant que les services fédéraux ne pouvaient conserver – ou faire conserver par des tiers – son adresse IP, P.B. avait introduit un recours, rejeté en première instance.
La juridiction d’appel avait partiellement rejeté ce jugement, condamnant la République fédérale d’Allemagne à « s’abstenir » d’une conservation de l’IP en combinaison avec la date et l’heure de la session de consultation, dès lors que P.B. a révélé son identité pendant cette session, y compris via une adresse électronique.
Le juge a en fait considéré que dans ce scénario, une IP dynamique, constituée une donnée à caractère personnel, car l’opérateur du site Internet peut identifier l’utilisateur en croisant son nom avec l’adresse IP. Il a toutefois estimé qu’entre les mains de la République fédérale, l’IP ne pourrait constituer une donnée personnelle, car l’utilisateur ne serait pas identifiable par l’État membre.
Les deux parties ont chacune saisi la Cour fédérale de justice allemande. Laquelle a assimilé l’adresse IP dynamique du poste de B.P. à une « donnée particulière sur une situation matérielle ». Et confirmé qu’ainsi conservée, elle ne permettait pas d’établir directement l’identité de l’intéressé : l’intervention d’un FAI est nécessaire.
Des données en question(s)
Il faut donc se demander si P.B. est « identifiable ».
Dans ce cas, faut-il se fonder sur un critère « objectif » ou « relatif » ? Avec la première option, une IP pourrait être considérée comme revêtant un caractère personnel, même si le FAI est seul à pouvoir déterminer l’identité de la personne concernée.
Avec la deuxième option, l’IP pourrait être assimilée à une donnée personnelle à l’égard d’un organisme comme le FAI, car elle permet une identification précise. Mais pas à l’égard d’autres organismes – dont les éditeurs de sites – qui ne disposeraient pas des informations nécessaires à l’identification « sans effort démesuré ».
Si les IP devaient être qualifiées de données à caractère personnel, leur conservation est-elle autorisée aux termes de l’article 7 de la directive 95/46/CE ?
La Cour fédérale de justice a suggéré que oui, en vertu de l’article 15 de la loi sur les médias, qui pose la pratique pour licite si elle s’inscrit dans le cadre d’une mesure « nécessaire » pour garantir la sécurité et la continuité du bon fonctionnement d’un site, notamment contre les attaques par déni de service.
De cette réflexion ont découlé deux questions.
Sur l’article 2 : doit-on comprendre qu’une IP enregistrée par l’opérateur d’un site Internet est une donnée personnelle, y compris si le recours à un tiers est nécessaire pour identifier la personne concernée.
Sur l’article 7 : le texte s’oppose-t-il aux dispositions du droit allemand selon lesquelles le « fournisseur d’un service de médias en ligne » ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur sans le consentement de celui-ci que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation dudit média ?
Moyens légaux
Sur le premier pointe, la CJUE mentionne un précédent : l’arrêt « Scarlet Extended » du 24 novembre 2011, dans lequel elle avait jugé que les IP revêtaient un caractère personnel du fait qu’elles permettent une identification précise.
Cette approche ne vaut toutefois que dans l’hypothèse où ce sont les FAI qui effectuent la collecte. Elle ne distingue par ailleurs pas la notion d’IP dynamique.
Pour déterminer s’il y a bien lieu de parler de données à caractère personnel, il faut voit si les IP peuvent être considérées comme se rapportant à des « personnes physiques identifiables » lorsque les FAI disposent des informations supplémentaires.
Le CJUE souligne que l’article 2 de la directive 95/46/CE fait mention de personnes identifiées « directement », mais aussi « indirectement ». Ce qui tend à indiquer qu’une donnée peut être considérée à caractère personnel sans qu’elle doive forcément permettre à elle seule une identification.
La plus haute juridiction pour le droit européen estime par ailleurs que toutes les informations permettant d’identifier la personne concernée ne doivent pas forcément se trouver entre les mains d’une seule personne.
À partir de là, il faut déterminer si la possibilité d’associer une IP dynamique avec des informations du FAI constitue, au regard du droit européen, un moyen « susceptible d’être raisonnablement mis en œuvre » pour identifier la personne concernée.
Oui, pour la CJUE, car il existe, en Allemagne, des voies légales permettant aux éditeurs de sites de s’adresser à l’autorité compétente pour qu’elle entreprenne les démarches nécessaires auprès des FAI. Bilan, le caractère personnel de l’adresse IP dynamique en tant que donnée est avéré.
Service client
Sur la deuxième question, la CJUE estime que les services fédéraux agissent en qualité de particuliers et qu’ils entrent donc dans le champ d’application de la directive, dont l’article 3 exclut notamment les activités de l’État relatives à des domaines du droit pénal.
Rappelant avoir jugé que les États membres ne sauraient ajouter des principes de légitimation de traitement des données personnelles à l’article 7, qui en prévoit déjà une « liste exhaustive », elle déclare que l’article 15 de la loi sur les médias a une portée trop restrictive en n’autorisant la collecte de données que pour permettre et facturer l’utilisation d’un service en ligne.
Son argument : les services fédéraux pourraient avoir un intérêt légitime à assurer la continuité de fonctionnement de leurs sites. Cette dimension de « capacité générale de fonctionnement d’un média » n’est pas abordée dans le droit allemand…