En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 24/01/2017
    Forum International de la Cybersécurité (FIC)

    Organisé conjointement par la Gendarmerie nationale, CEIS et EuraTechnologies, et co-financé par la région Hauts-de-France,…

    en détail En détail...
  • 24/02/2017
    Salon Virtuality Paris

    Le premier Salon Virtuality Paris présente le meilleur de la réalité virtuelle pour tous les secteurs et…

    en détail En détail...
Appels d'offres en cours
  • Refonte de site Internet vitrine ( SPA) Bien être
    600 €
    > En savoir plus
  • Logiciel de gestion commerciale (carrosserie)
    600 €
    > En savoir plus
  • Refonte de site Internet ( fabrication et commercialisation de colliers de serrage)
    < 10 000 €
    > En savoir plus
BAN_PHONEFLEET_2017_728X90

Les adresses IP « dynamiques » constituent des données à caractère personnel

Comexposium_roomn_pave

Par une décision du 19 octobre 2016, la Cour de justice de l´Union européenne a déclaré que les adresses IP « dynamiques » constituent, sous conditions, des données à caractère personnel. Maître Muriel Assuline, Avocat du cabinet Assuline & Partners, explique que selon la Cour, un fournisseur de services de média en ligne est autorisé à conserver les adresses IP des visiteurs de son site quand il existe un intérêt légitime et notamment pour la préservation de la capacité générale de fonctionnement du site ainsi que pour la protection contre des éventuelles attaques cybernétiques.

Le litige en cause (aff. C‑582/14, Patrick Brayer c/ Bundesrepublik Deutschland) concernait M. Patrick Breyer qui s´opposait à ce que les sites Internet des services fédéraux allemands qu´il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP »). Afin de se protéger contre des éventuelles attaques informatiques et de rendre possibles les poursuites pénales, les services fédéraux allemands enregistrent et conservent les données suivantes: le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l´heure de la consultation, le volume des données transférées, la constatation du succès de la consultation, ainsi que les adresses IP des visiteurs.

Dans ce contexte, la Cour fédérale de justice allemande a saisi la Cour de justice d´une question préjudicielle afin de savoir si les adresses IP « dynamiques » constituent une donnée à caractère personnel et bénéficient, à ce titre, d´une protection correspondante en vertu de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. A la différence des adresses IP « statiques », les adresses IP « dynamiques » changent à l´occasion de chaque nouvelle connexion à Internet. De même, les adresses IP « dynamiques » ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d´accès à Internet. En l´espèce donc, seul le fournisseur d´accès à Internet de M. Breyer disposait des informations supplémentaires nécessaires pour l´identifier.

Par ailleurs, la juridiction de renvoi cherchait à savoir si l´exploitant d´un site Internet doit, en principe, avoir la possibilité de collecter et d´utiliser ultérieurement les données à caractère personnel des visiteurs afin de garantir la capacité générale de fonctionnement de son site. En ce sens, la juridiction de renvoi a constaté que la majorité de la doctrine allemande interprète la réglementation allemande en la matière en ce sens que ces données doivent être effacées à la fin de la session de consultation à moins qu´elles ne soient requises à des fins de facturation.

Une adresse IP « dynamique » : donnée à caractère personnel (sous conditions)

La Cour de justice de l´Union européenne a répondu à la première question préjudicielle par l´affirmative, en considérant qu´au regard de l´article 2, sous a) de la Directive 95/46/CE, une adresse IP dynamique enregistrée par un « fournisseur de services de média en ligne » lors de la consultation de son site Internet accessible au public constitue une donnée à caractère personnel. Néanmoins, cette qualification est conditionnelle : il faut que le fournisseur de services de média en ligne « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Or, à cet égard, il existe en Allemagne des voies légales permettant au fournisseur de services de média en ligne de s´adresser, en cas d´attaques cybernétiques, à l´autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d´accès à Internet et déclencher par la suite des poursuites pénales.

L´intérêt légitime de la conservation des adresses IP

Conformément à l’article 7, sous f), de la Directive 95/46/CE, le traitement de données à caractère personnel est licite « s´il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 » de cette directive.

Or, en l´espèce, la réglementation nationale prévoit qu´en l’absence du consentement du visiteur, un fournisseur de services de média en ligne ne peut collecter et utiliser les données à caractère personnel du visiteur que dans la mesure où cette collecte et cette utilisation sont nécessaires facturer l’utilisation concrète des services par ce visiteur, sans que l’objectif visant à garantir la capacité générale de fonctionnement de ces services puisse justifier l’utilisation des données après une session de consultation de ceux-ci. En effet, cette législation a une portée plus restrictive que celle du principe prévu à l´article 7, sous f), de la Directive 95/46/CE, car elle exclut que l’objectif de garantir la capacité générale de fonctionnement du média en ligne puisse faire l’objet d’une pondération avec l’intérêt ou les droits et libertés fondamentaux des visiteurs. Ainsi, selon la Cour, les services fédéraux allemands pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites. Dans ce contexte, la Cour de justice de l´Union européenne sanctionne la réglementation allemande comme étant contraire à l´article 7, sous f), de la Directive 95/46/CE.

C´est ainsi qu´un fournisseur de services de média en ligne peut avoir l´intérêt légitime à conserver les adresses IP des visiteurs de son site, notamment afin de se prémunir contre les attaques cybernétiques.

Solution reprise par la Cour de cassation

Dans une affaire récente, la Cour de cassation française a suivi la décision de la Cour de justice du 19 octobre dernier, en qualifiant l´adresse IP de donnée à caractère personnel au sens de l´article 2 de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée en 2004 (Cass., Civ.1ère, 3 novembre 2016, N. 15-22.595). Au sens de la décision de la Cour de cassation, les adresses IP- en tant que données à caractère personnel au titre de l´article 2 de la loi « Informatique et Libertés » de 1978- doivent être conservées en conformité avec l´article 22 de la loi de 1978. En effet, la conservation des adresses IP doit faire l´objet d´une déclaration auprès de la CNIL.

Quid du Règlement 2016/679?

Enfin, il n´est pas sans intérêt de noter que la décision de la Cour de justice du 19 octobre 2016 a été rendue au visa des dispositions de la Directive 95/46/CE et non pas du Règlement 2016/679 relatif à la protection des données personnelles du 27 avril 2016. En ce sens, l´article 4 du Règlement 2016/679 prévoit expressément que peut constituer une donnée à caractère personnel une information relative à une personne identifiable directement ou indirectement par référence à des données de localisation ou à des identifiants en ligne. Cette définition ne sera applicable qu´à partir du mai 2018- date de l´entrée en vigueur du Règlement.

Les adresses IP « dynamiques » constituent des données à caractère personnel
5 (100%) 1 vote

Laisser un commentaire

Révolution numérique dans l’industrie : colloque 24 janvier, Paris

Panorama énergétique mondial 2016 - Débats avec des experts du digital dans l’industrie : quels impacts dans les secteurs de l'énergie et des transports ? Espace Saint-Martin, de 14 h à 17 h 30

Info & inscription

Sondage

Vos résolutions pour 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • NIS : adoption de la directive européenne sur la cybersécurité, harmonisation en vue ?

    Pourquoi une directive sur la cybersécurité ? Quelles sont les nouvelles obligations ? Et que peut-on reprocher…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • 2017 : année de l’adoption massive du SD-WAN

    David Hughes, fondateur et PDG de Silver Peak s’est penché sur les perspectives 2017 en matière…

    > En savoir plus...
Etudes/Enquêtes
  • Security Operation Centers (SOC) : 82 % d’entre eux laisseraient les entreprises vulnérables

    Personnels, processus, technologie... : la très grande majorité des solutions SOC ne seraient pas suffisamment matures…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
BAN_PHONEFLEET_2017_160x600
Agenda
livres blancs
Les Livres
Blancs
  • En route vers l'archivage électronique : et vous, vous faites quoi pour vos documents numériques…

    > Voir le livre
  • Guide pratique Advanced Thread Protection (ATP)

    > Voir le livre
elo_processus pointe_skyscraper