La question de savoir si l’adresse IP est une donnée personnelle recouvre des situations d’une extrême diversité, qui sont, chacune, susceptibles d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte. Prenons donc deux cas différents pour illustrer… deux réponses complètement différentes…
Cas 1 : les logs d’un serveur web (Apache)
2. – Première hypothèse : j’ai un site web qui fonctionne sous Apache et qui collecte des logs d’accès pour réaliser des statistiques. Juridiquement va donc se poser la question de savoir si nous sommes en présence d’un traitement de données personnelles et si je suis tenu de me mettre en conformité par rapport à la loi.
3. – Première étape de notre analyse, faisons la liste des données collectées :
- L’adresse IP de l’ordinateur ayant effectué la requête,
- la date et l’heure,
- le type d’opération (POST/GET/PUT…),
- le document demandé,
- le statut de l’opération,
- la taille du document envoyé,
- le type de navigateur,
- le « referer » (l’url précédemment demandée par l’utilisateur).
Dans notre exemple on voit que les IP collectées sont essentiellement celles de robots (Googlebot, Bing, Baidu, YandexBot…) qui accèdent à notre site pour le référencer, ainsi que deux tentatives d’accès frauduleux ( GET //admin/…), ce qui est malheureusement assez fréquent – probablement réalisées par des « bots ».
3. – Seconde étape pour déterminer si l’adresse IP est une donnée personnelle. Nous avons réuni l’ensemble des faits : on connaît la finalité du traitement, et nous avons une bonne visibilité sur les données traitées. Il est donc temps de procéder à leur analyse juridique pour résoudre la question posée. Dans ce traitement la seule donnée véritablement susceptible de permettre l’identification d’une personne est l’adresse IP (on pourrait discuter éventuellement le cas du referer, mais cela relèverait vraiment du cas d’école). D’où la question de savoir si les adresses IP collectées sont bien des données personnelles.
Raisonnement.
4. – Nous avons deux difficultés à résoudre pour déterminer si cette collecte est un traitement de données personnelles. Une première tient à ce que l’adresse IP identifie un système, un ordinateur, et non une personne. Il n’est donc pas certain, quand bien même on pourrait procéder à l’identification du titulaire de l’abonnement ADSL, que celui-ci soit vraiment la personne qui l’ait utilisé à ce moment-là. Par exemple, je peux parfaitement être le titulaire de l’abonnement ADSL, et héberger un tiers qui se servira temporairement de ma connexion Internet. Ou les utilisateurs sont peut-être des personnes connectées au sein d’un cybercafé, localisées dans un pays n’exigeant pas leur identification. On dira donc que l’identification est possible, mais pas systématique.
5. – Une seconde difficulté tient à ce je n’ai pas directement, immédiatement, la possibilité de procéder à l’identification des personnes. Pour cela il m’est nécessaire de faire appel à l’opérateur de télécommunications qui pourra m’indiquer, par voie judiciaire généralement, a qui était allouée l’adresse IP à la date donnée. L’adresse IP est donc une donnée indirectement personnelle.
Reprenons l’article 2 de la loi :
Art. 2 : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
6. – Le texte régit donc parfaitement notre hypothèse : les personnes physiques peuvent être identifiées indirectement par référence à un numéro d’identification, ce qui est le cas de l’adresse IP. Toutefois, la loi indique une nuance importante : pour déterminer si la personne est identifiable, on doit considérer l’ensemble des moyens existant en vue de permettre son identification.
7. – Maintenant, observons précisément les logs de connexion ci-dessus :
Commençons par le premier : « 65.52.xx.xx – – [11/Jul/2011:09:00:36 +0000] « GET /robots.txt HTTP/1.1 » 200 24 « – » « Mozilla/5.0 (compatible; bingbot/2.0; +https://www.bing.com/bingbot.htm) » ».
L’adresse IP 65.52.xx.xx est-elle une donnée personnelle ? Vraisemblablement non, car il s’agit du robot de Bing (moteur de recherche de Microsoft) qui archive les pages Internet.
Par contre, c’est le cas de celle-ci : « 94.23.xx.xx – – [10/Jul/2011:19:37:28 +0000] « GET //admn/scripts/setup.php HTTP/1.1 » 301 – « – » « – » ». Un traceroute nous indique en effet que cette adresse IP semble effectivement être allouée par Ovh à une personne que nous sommes potentiellement susceptibles de pouvoir identifier :
Une conclusion logique s’impose donc : parmi les milliers d’adresses IP que nous allons collecter, certaines permettront d’identifier indirectement des personnes physiques et d’autres non.
Dès lors, et parce que nous collectons des adresses permettant d’identifier indirectement certains des utilisateurs de notre site, nous réalisons un traitement de données personnelles.
Cas 2 : L’adresse IP d’une passerelle d’entreprise
8. – A contrario, prenons le cas d’une connexion Internet partagée sur un réseau Internet d’entreprise. Supposons que l’adressage interne ne soit ni tracé, ni conservé. Dans un tel cas, la collecte de l’adresse IP de la passerelle externe ne permettra pas de révéler de quel utilisateur celle-ci relayait les paquets.
On l’a vu, la loi est très claire à ce sujet :
« Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Or, dans notre hypothèse, l’identification de l’utilisateur derrière la passerelle – pour le propriétaire du site Internet en question – est impossible à réaliser uniquement au moyen de son adresse IP.
Dans un tel cas, la collecte de cette adresse IP ne relèvera donc pas d’un traitement de données personnelles.
Conclusion
La CNIL a donné de très intéressantes illustrations de son appréciation de la faculté d’identifier des personnes physiques de manière indirecte.
A votre avis, la collecte des données suivantes doit-elle être considérée comme un traitement de données personnelles ?
Année de naissance |
1978 |
1976 |
1975 |
1974 |
Réponse de la CNIL : effectivement, il s’agit bien d’un traitement de données indirectement nominatives (la question était posée avant 2004). Pourquoi ? Simplement en raison du risque d’atteinte à la vie privée qui résulterait de l’identification des personnes. Risque suffisant pour dicter à l’autorité administrative la plus grande prudence dans sa décision.