L’adresse IP (Internet Protocol) est un numéro d’identification attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique, qui identifie indirectement mais précisément l’utilisateur de l’appareil connecté.

On distingue au moins trois grandes catégories d’adresses IP :
 les adresses Unicast : à destination d’un seul hôte.
 Les adresses Broadcast (IPv4) : à destination de tous les hôtes du réseau.
 Les adresses Multicast (IPv4 et IPv6) : à destination de certains hôtes du réseau.

Cependant, l’adresse IP peut-elle être considérée comme une donnée à caractère personnel ?

La question de la qualification en donnée personnelle de l’adresse IP s’est posée à la Cour de cassation française. En l’espèce, trois sociétés appartenant au même groupe avaient constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site Internet dudit groupe. Elles avaient obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.
Une société concurrente au groupe et exerçant une activité de conseil en investissement et en gestion de patrimoine avait alors saisi le président du tribunal de commerce en rétractation de son ordonnance, invoquant l’illicéité de la mesure d’instruction sollicitée, sous prétexte que la conservation, sous forme de fichiers, de ces adresses IP, aurait dû faire l’objet d’une déclaration auprès de la CNIL.

La cour d’appel de Rennes, par une décision en date du 28 avril 2015, rejeta sa demande et retint que l’adresse IP, dès lors qu’elle est constituée d’une série de chiffres, se rapporte seulement à un ordinateur et non à son utilisateur, et ne constitue pas, par conséquent, une donnée personnelle, même indirectement nominative. Elle en déduisit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.

La Cour de cassation casse cet arrêt au visa des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, au motif que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel devant faire l’objet d’une déclaration préalable auprès de la CNIL.

Au vu de l’état actuel de la technique, les adresses IP fournies étant essentiellement statiques, c’est-à-dire identiques à chaque connexion pour un même accès à Internet, cette solution s’imposait.

Les adresses IP sont aujourd’hui aussi identifiantes que les numéros de téléphone, déclarés données à caractère personnel.

Cette analyse peut être étendue à d’autres numéros identifiants uniques de machines comme par exemple les adresses MAC (identifiant unique d’une carte réseau) ou l’Unique Device IDentifier (UDID) des iPhones/iPads

Que prévoit la loi n°2013-450 du 19 juin 2013 sur la qualification en donnée personnelle des adresses IP ?

Au sens de la loi n°2013-450 du 19 juin 2013 portant protection de données à caractère personnel en Côte d’Ivoire, les données à caractère personnel désignent toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.
Cette définition est suffisamment large pour englober toute donnée susceptible d’identifier directement ou indirectement une personne physique. Bien que l’adresse IP ne soit à proprement parlé que l’identifiant d’une machine et non celui d’une personne, un numéro IP correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès d’un fournisseur d’accès, l’adresse de la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaitre, même indirectement, le nom de l’utilisateur.

Ainsi, l’adresse IP est, quoique ne se rapportant pas à une personne physique identifiée, une donnée personnelle dès lors qu’elle permet de rendre la personne physique à qui elle est associée simplement « identifiable » ce qui implique, de manière générale, de « considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

En tant que donnée à caractère personnel, son traitement est soumis à une déclaration préalable auprès de l’autorité de protection des données à caractère personnel (ARTCI).