Informatique et libertés : les adresses IP, sont des données à caractère personnel
L’adresse IP (« Internet Protocol ») est un numéro à plusieurs chiffres attribué par le fournisseur d’accès à internet (FAI) à chaque appareil connecté à un réseau informatique. Elle sert à acheminer une information d’un terminal vers un réseau et inversement. L’adresse IP permet donc d’identification d’un équipement informatique donné.
Cette adresse constitue-t-elle une donnée à caractère personnel au sens de la loi du 6 janvier 1978 dite loi informatique et libertés ? Telle est la question dont était, saisie pour la première fois à notre connaissance la Cour de Cassation.
Dans son arrêt du 3 novembre 2016 la Cour de cassation décide que les adresses IP constituent des données à caractère personnel car elles permettent d’identifier indirectement une personne physique. Leur collecte constitue donc un traitement de données devant faire l’objet d’une déclaration préalable à la Cnil en application de l’article 22 de la loi du 6 janvier 1978.
On notera que le règlement européen du 27 avril 2016, applicable à compter du 25 mai 2008, aborde, lui, expressément la question. Il définit ainsi les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, ou un identifiant en ligne.
Cass. 1e civ. 3 novembre 2016 n°15-22595