A l’origine de cette affaire se trouve M. P. Breyer, citoyen allemand de son état, lequel avait intenté un recours administratif aux fins de faire interdire à l’État fédéral la conservation des adresses IP des visiteurs de sites fédéraux. Pourquoi procéder à une telle conservation ? Le plus souvent, cette journalisation automatique des sessions, qui enregistre surtout les adresses IP et l’horodatage de la connexion, a vocation à permettre des poursuites pénales contre les responsables d’attaques informatiques ou de tout autre comportement incriminé. Le propriétaire du site pourra, sur la base de ces informations, demander l’identification de l’auteur auprès du FAI et le poursuivre. Tel était l’objectif du traitement effectué par l’État fédéral allemand sur ces adresses.
Sa demande rejetée, M. Breyer avait fait appel, et obtenu l’infirmation partielle de la décision. La juridiction d’appel avait, à ce stade, condamné l’État à mettre en œuvre cette interdiction, sous deux conditions cumulatives toutefois. En effet, selon les juges d’appel, ce n’est que lorsque l’adresse IP est enregistrée avec l’horodatage de la consultation, et que l’intéressé a révélé son identité pendant la session, que cette adresse peut être qualifiée de donnée à caractère personnel. Cette qualification acquise, le demandeur pouvait faire jouer l’article 7, f) de la directive [1], pour contester la licéité du traitement.
L’appelant et son adversaire aussi insatisfaits l’un que l’autre, pourvoi a été porté devant la Cour fédérale, laquelle a saisi la Cour de justice de l’Union d’une série de questions préjudicielles, principalement :
« L’article 2, sous a), de la directive 95/46 [NDLA : qui donne la définition d’une donnée à caractère personnel] doit-il être interprété en ce sens qu’une adresse IP qui est enregistrée par un fournisseur de services [de médias en ligne] à l’occasion d’un accès à son site Internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée ? »
Que répondre à cette question ?
La Cour conjure d’abord toute invocation de l’arrêt Scarlet Extended du 24 novembre 2011 (C70-10), lequel énonçait certes qu’une adresse IP constituait une donnée à caractère personnel, mais seulement dans la situation où celle-ci est collectée par le FAI. Ce dernier sachant à peu près tout de ses abonnés, cela va de soi. Dans notre espèce, il s’agit d’une collecte opérée par un site quelconque, qui ne dispose pas en temps normal d’un accès aux informations détenues par le FAI. En l’absence de ces informations, qui permettent d’identifier le détenteur d’une adresse IP, cette dernière peut-elle revêtir la qualification de donnée à caractère personnel ?
Parvenir à une réponse suppose de revenir aux fondamentaux : qu’est ce qu’une donnée à caractère personnel ?
Selon la directive, il s’agit de « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
Qu’en est-il pour l’adresse IP dynamique ?
Il est vrai, d’abord, qu’à l’inverse d’une adresse IP statique, les adresses IP dynamiques ne permettent pas d’identifier avec certitude un ordinateur particulier, sans s’adresser au FAI. Renouvelées régulièrement et attribuées de manière aléatoire, elles donnent peu d’informations sur la personne qui se trouve derrière le clavier, tout au plus une géolocalisation très approximative et le nom du FAI. Rien, en somme, qui puisse permettre à un tiers d’identifier l’internaute, sauf à ce que ce dernier fournisse d’autres éléments (une adresse mail par exemple). Dans les termes de la directive, l’adresse IP dynamique ne constitue donc pas une information se rapportant à une « personne identifiée ».
Pour autant, la directive se contente de ce que la personne soit seulement « identifiable », qui plus est « directement ou indirectement ». Or, en Allemagne comme en France [2] existent des voies légales permettant au propriétaire du site d’obtenir du FAI l’identité du titulaire d’une adresse IP, pour engager des poursuites. Dès lors que ces moyens sont accessibles, et ne sont pas, selon les termes de l’avocat général, « interdits par la loi ou irréalisables en pratique » (§68), une adresse IP enregistrée par une entité autre que le FAI reste une donnée à caractère personnel.
Tel est le raisonnement adopté par la Cour, qui fait donc le choix d’un critère objectif pour apprécier le caractère « identifiable » de la personne, à l’opposé du courant doctrinal favorable à une interprétation relative de la notion. Dans cette dernière approche, l’adresse IP ne constitue une donnée à caractère personnel que si elle est collectée par le FAI, qui seul dispose des moyens d’identifier la personne. Dans une interprétation plus extensive de la directive, la Cour considère en revanche que ces moyens n’ont pas à être détenus en propre, l’adresse IP est devenue, de façon générale, une donnée personnelle. Seule une condition reste posée : l’existence de moyens légaux dans l’État-membre d’obtenir du FAI l’identité du titulaire de l’adresse.
Cette solution apporte une clarification bienvenue en France, où les juridictions n’étaient, à la date de l’arrêt, pas parvenues à s’accorder sur la question, en témoigne cette réponse ministérielle, qui fait état de cette confusion entre décisions ayant adopté la position contraire (Paris, 13e ch. A, 15 mai 2007, H. S. c/ SCPP ; Crim. 13 janv. 2009, n° 08-84.088, Crim. 13 janv. 2009, n° 08-84.088 ; TGI Paris 30 janv. 2013 ; D. 2013, p. 637 ; T. com. 1 févr. 2013, n° 2012075972 ; CA Paris, Ch. 5, 12 juin 2013) ou celle choisie par la Cour (TGI Saint-Brieuc 6 sept. 2007, Ministère public, SCPP, SACEM c/ J. -P. ; TGI Paris, 3e Ch. 24 juin 2009, Jean-Yves L. c/ Google ; CA Rennes, 23 juin 2008, n° 07/0121).
Cette confusion appartient désormais au passé : deux semaines plus tard, dans un arrêt du 3 novembre (15-22.595), la première chambre civile de la Cour de cassation abondera dans le sens de la CJUE, en énonçant sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
En toute logique, il incombera aux responsables de sites internet effectuant ce type de collecte de se mettre en conformité avec le droit de la protection des données, à la lumière de cette interprétation nouvelle, et aux CIL/DPO de prendre en compte ce traitement.
