Parce que la Cour de Justice de l’Union Européenne vient de se pencher sur la question de la légalité de la collecte de l’adresse IP, voici quelques explications techniques et juridiques sur la notion d’IP fixe et dynamique et sur l’obligation de collecte préalable du consentement.
Qu'est-ce que l'adresse IP ?
L'adresse IP est l’identifiant unique de chaque terminal qui se connecte à l’Internet en utilisant le protocole TCP/IP. C’est donc un numéro de machine et non un numéro identifiant une personne physique directement. A titre d’exemple, on pourrait le comparer aux plaques d’immatriculation d’une voiture qui ne permettent pas d’identifier son conducteur. Premier niveau de complexité : savoir si un prestataire de services web peut collecter librement l’adresse IP de ses clients. Si cette information n’est pas une donnée à caractère personnel, ce serait alors une métadonnée, libre à la collecte et à l’utilisation.
Une donnée personnelle
Mais la directive 95/46 du 6 octobre 1995 qui réglemente (jusqu’au 25 mai 2018) la collecte et le traitement des données personnelles au sein de l’Union Européenne pose une définition assez large des données personnelles, en ce sens que peuvent être des données personnelles, les données qui permettent d’identifier indirectement des personnes physiques. Fort de cette définition extensive, le G29 (groupe des CNIL de l’UE) a fort logiquement tranché dès 2007 que l’adresse IP est bien une donnée personnelle, ainsi que la CJUE dans un arrêt « Scarlet Extended » du 24 novembre 2011. Et les juridictions françaises ont suivi cette interprétation (voir récemment référé TGI Meaux 10 août 2016 France Sécurité / NC Numéricable).
IP fixe vs. IP dynamique
Second niveau de complexité, l’adresse IP n’est pas une notion unitaire : Il faut distinguer l'adresse IP fixe (ou permanente) et l'adresse IP dynamique (ou provisoire). Il faut comprendre que, techniquement, aux débuts de l’Internet, il n’y avait que des adresses IP fixes. C’était pratique : 1 adresse IP = 1 machine. Mais avec le développement des réseaux de télécommunication, le nombre d’adresses IP a explosé et le monde bascule progressivement du système IPv4 à celui de l’IPv6 qui permet de démultiplier le nombre d’adresses disponibles au niveau mondial.
Aujourd’hui, grâce au protocole DHCP (Dynamic Host Configuration Protocole), un prestataire de services qui dispose de nombreux abonnés (un Fournisseur d’accès à Internet (FAI) ou une grande entreprise, par exemple) attribue à chaque connexion de ses « utilisateurs » une adresse IP provisoire. Cette adresse IP dynamique change donc à chaque connexion des utilisateurs permettant de déterminer la machine qui se connecte effectivement à un site web. Or, cette adresse n’est connue que du seul prestataire de services qui gère les adresses IP temporaires.
Une collecte avec consentement préalable des internautes…
C’est tout l’intérêt de l’arrêt « Breyer » du 19 octobre 2016 de la CJUE : cette adresse IP dynamique est également une donnée indirectement personnelle pour l’éditeur d’un site web, qu’il la collecte directement ou qu’il puisse y avoir accès auprès du fournisseur de services qui la met en œuvre. La conséquence de cette décision est très importante, dans la mesure où le principe de consentement préalable des internautes s’applique à toute donnée reconnue comme « à caractère personnel ». De ce fait, un prestataire qui accède aux adresses IP dynamiques d’un tiers prestataire (comme le FAI dans l’arrêt « Breyer ») ne peut se passer de cette collecte préalable du consentement des internautes concernés.
…sauf exception légale
Sur ce point, il faut le reconnaître, la lecture de l’arrêt « Breyer » du 19 octobre 2016 n’est pas aisée. Revenons pour cela aux principes de la directive 95/46 : une demande préalable de consentement des internautes est obligatoire en cas de collecte de données personnelles. Sauf dérogations légales précisées dans la directive 95/46. Ainsi, la directive 95/46 permet aux prestataires web de ne pas collecter le consentement préalable de ses internautes pour les besoins de la facturation de leurs services. Qu’il s’agisse de l’adresse IP fixe ou dynamique.
Et il n’est pas permis aux Etats membres de l’UE de déroger dans leur loi nationale au nombre limitativement défini des exceptions à la collecte obligatoire et préalable du consentement. C’est la raison pour laquelle la Cour de justice de l'Union européenne a annulé la loi de la RFA attaquée par Monsieur Breyer. Et le Règlement 2016/679 ? Que les prestataires n’attendent pas trop de liberté de collecte avec l’entrée en vigueur le 25 mai 2018 du Règlement 2016/679 dit « GRDP ». La définition des données personnelles est on-ne-peut-plus claire. La règle aujourd’hui posée par l’arrêt « Breyer » sera reconduite à l’identique.