En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 11/10/2017
    Les Assises de la sécurité et des systèmes d’information 2017

    La 17ème édition des Assises de l'événement incontournable en matière de cybersécurité aura lieu du 11…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-commerce pour des artisants chocolatiers - pâtissiers
    < 20 000 €
    > En savoir plus
  • Création d'un site e-commerce pour une boutique physique
    A déterminer €
    > En savoir plus
  • Styliste/Modéliste pour la création de croquis de style pour une ligne de vêtements pour femmes
    <300 €
    > En savoir plus
kaspersky_attaques ciblees_leaderboard

Les adresses IP « dynamiques » constituent des données à caractère personnel

elo_processus pointe_pave

Par une décision du 19 octobre 2016, la Cour de justice de l´Union européenne a déclaré que les adresses IP « dynamiques » constituent, sous conditions, des données à caractère personnel. Maître Muriel Assuline, Avocat du cabinet Assuline & Partners, explique que selon la Cour, un fournisseur de services de média en ligne est autorisé à conserver les adresses IP des visiteurs de son site quand il existe un intérêt légitime et notamment pour la préservation de la capacité générale de fonctionnement du site ainsi que pour la protection contre des éventuelles attaques cybernétiques.

Le litige en cause (aff. C‑582/14, Patrick Brayer c/ Bundesrepublik Deutschland) concernait M. Patrick Breyer qui s´opposait à ce que les sites Internet des services fédéraux allemands qu´il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP »). Afin de se protéger contre des éventuelles attaques informatiques et de rendre possibles les poursuites pénales, les services fédéraux allemands enregistrent et conservent les données suivantes: le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l´heure de la consultation, le volume des données transférées, la constatation du succès de la consultation, ainsi que les adresses IP des visiteurs.

Dans ce contexte, la Cour fédérale de justice allemande a saisi la Cour de justice d´une question préjudicielle afin de savoir si les adresses IP « dynamiques » constituent une donnée à caractère personnel et bénéficient, à ce titre, d´une protection correspondante en vertu de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. A la différence des adresses IP « statiques », les adresses IP « dynamiques » changent à l´occasion de chaque nouvelle connexion à Internet. De même, les adresses IP « dynamiques » ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d´accès à Internet. En l´espèce donc, seul le fournisseur d´accès à Internet de M. Breyer disposait des informations supplémentaires nécessaires pour l´identifier.

Par ailleurs, la juridiction de renvoi cherchait à savoir si l´exploitant d´un site Internet doit, en principe, avoir la possibilité de collecter et d´utiliser ultérieurement les données à caractère personnel des visiteurs afin de garantir la capacité générale de fonctionnement de son site. En ce sens, la juridiction de renvoi a constaté que la majorité de la doctrine allemande interprète la réglementation allemande en la matière en ce sens que ces données doivent être effacées à la fin de la session de consultation à moins qu´elles ne soient requises à des fins de facturation.

Une adresse IP « dynamique » : donnée à caractère personnel (sous conditions)

La Cour de justice de l´Union européenne a répondu à la première question préjudicielle par l´affirmative, en considérant qu´au regard de l´article 2, sous a) de la Directive 95/46/CE, une adresse IP dynamique enregistrée par un « fournisseur de services de média en ligne » lors de la consultation de son site Internet accessible au public constitue une donnée à caractère personnel. Néanmoins, cette qualification est conditionnelle : il faut que le fournisseur de services de média en ligne « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Or, à cet égard, il existe en Allemagne des voies légales permettant au fournisseur de services de média en ligne de s´adresser, en cas d´attaques cybernétiques, à l´autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d´accès à Internet et déclencher par la suite des poursuites pénales.

L´intérêt légitime de la conservation des adresses IP

Conformément à l’article 7, sous f), de la Directive 95/46/CE, le traitement de données à caractère personnel est licite « s´il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 » de cette directive.

Or, en l´espèce, la réglementation nationale prévoit qu´en l’absence du consentement du visiteur, un fournisseur de services de média en ligne ne peut collecter et utiliser les données à caractère personnel du visiteur que dans la mesure où cette collecte et cette utilisation sont nécessaires facturer l’utilisation concrète des services par ce visiteur, sans que l’objectif visant à garantir la capacité générale de fonctionnement de ces services puisse justifier l’utilisation des données après une session de consultation de ceux-ci. En effet, cette législation a une portée plus restrictive que celle du principe prévu à l´article 7, sous f), de la Directive 95/46/CE, car elle exclut que l’objectif de garantir la capacité générale de fonctionnement du média en ligne puisse faire l’objet d’une pondération avec l’intérêt ou les droits et libertés fondamentaux des visiteurs. Ainsi, selon la Cour, les services fédéraux allemands pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites. Dans ce contexte, la Cour de justice de l´Union européenne sanctionne la réglementation allemande comme étant contraire à l´article 7, sous f), de la Directive 95/46/CE.

C´est ainsi qu´un fournisseur de services de média en ligne peut avoir l´intérêt légitime à conserver les adresses IP des visiteurs de son site, notamment afin de se prémunir contre les attaques cybernétiques.

Solution reprise par la Cour de cassation

Dans une affaire récente, la Cour de cassation française a suivi la décision de la Cour de justice du 19 octobre dernier, en qualifiant l´adresse IP de donnée à caractère personnel au sens de l´article 2 de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée en 2004 (Cass., Civ.1ère, 3 novembre 2016, N. 15-22.595). Au sens de la décision de la Cour de cassation, les adresses IP- en tant que données à caractère personnel au titre de l´article 2 de la loi « Informatique et Libertés » de 1978- doivent être conservées en conformité avec l´article 22 de la loi de 1978. En effet, la conservation des adresses IP doit faire l´objet d´une déclaration auprès de la CNIL.

Quid du Règlement 2016/679?

Enfin, il n´est pas sans intérêt de noter que la décision de la Cour de justice du 19 octobre 2016 a été rendue au visa des dispositions de la Directive 95/46/CE et non pas du Règlement 2016/679 relatif à la protection des données personnelles du 27 avril 2016. En ce sens, l´article 4 du Règlement 2016/679 prévoit expressément que peut constituer une donnée à caractère personnel une information relative à une personne identifiable directement ou indirectement par référence à des données de localisation ou à des identifiants en ligne. Cette définition ne sera applicable qu´à partir du mai 2018- date de l´entrée en vigueur du Règlement.

Les adresses IP « dynamiques » constituent des données à caractère personnel
5 (100%) 1 vote

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Le hacker de Deutsche Telekom condamné à 20 mois de prison avec sursis

    Un hacker britannique a été condamné vendredi à 20 mois de prison avec sursis par…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Interview - "Penser et agir comme de vrais hackers pour protéger les infrastructures", Shay Nahari CyberArk

    Les récentes attaques prouvent que les pirates aiguisent sans cesse leurs techniques et compétences. Après…

    > En savoir plus...
Etudes/Enquêtes
  • Etude - La qualité des startups françaises en cybersécurité méconnue

    La France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
kaspersky_attaques ciblees_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc : votre entreprise pourrait-elle surmonter une attaque de cryptovirus ?

    > Voir le livre
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
Salon Solutions_Septembre17_skycraper