Le 19 octobre 2016, la Cour de justice de l’Union européenne (CJUE) a rendu une importante décision relative à la qualification de données à caractère personnel des adresses de protocole Internet dynamiques (« adresses IP dynamiques »), en détaillant ses conséquences (CJUE, 19 octobre 2016, C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland).

Dans le cadre d’une affaire portée devant les juridictions allemandes concernant un internaute qui refusait que les services fédéraux puissent, lors de ses visites sur leurs sites Internet, enregistrer et conserver, outre ses données de connexion, son adresse IP en vue de prévenir des cyberattaques, la Cour fédérale de justice allemande a interrogé la CJUE par renvoi préjudiciel sur les points suivants :

• les adresses IP, même dynamiques, sont-elles des données à caractère personnel au sens de l’article 2, a) de la directive 95/46 du 24 octobre 1995 ?
• si tel est le cas, l’exploitant d’un site Internet peut-il, en tant que responsable de traitement, avoir un intérêt légitime à les conserver et les traiter en vue de prévenir d’éventuelles cyberattaques ?

La CJUE avait déjà indiqué en 2011 que les « adresses IP statiques » (adresses invariables et permettant d’identifier de manière permanente le dispositif connecté au réseau) sont des données à caractère personnel (CJUE, 24 novembre 2011, C-70/10), mais ne s’était encore jamais prononcée sur le statut des « adresses IP dynamiques » (provisoirement attribuées à chaque connexion au réseau et modifiées lors de connexions ultérieures).

Après avoir rappelé la définition d’une donnée à caractère personnel au sens de l’article 2, a), de la directive 95/46, à savoir « toute information concernant une personne physique identifiée ou identifiable […] directement ou indirectement », la CJUE précise que cette disposition doit se comprendre au regard des termes du considérant 26 du même texte, selon lequel « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable de traitement, soit par une autre personne, pour identifier ladite personne ». Enfin, elle ajoute qu’il n’est pas nécessaire que l’ensemble des informations utiles à l’identification d’une personne se trouvent entre les mains d’une seule et même personne.

La CJUE en conclut qu’une « adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public » constitue une donnée à caractère personnel, sous réserve néanmoins que ce fournisseur dispose de « moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès sur cette personne ».

Selon la CJUE, une adresse IP dynamique ne se rapportant pas à une personne physique « identifiée », mais à une personne « identifiable », une telle adresse ne peut être qualifiée de donnée à caractère personnel qu’à la condition que le responsable de traitement ou une autre personne dispose de moyens légaux et raisonnablement susceptibles d’être mis en œuvre pour obtenir les informations complémentaires permettant d’identifier effectivement la personne.

À noter que la Cour de cassation a également affirmé récemment que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données personnelles » mais sans mentionner de condition relative à la possibilité de mettre en œuvre des moyens légaux pour obtenir les informations complémentaires nécessaires afin d’identifier ladite personne (Cass. 1re civ., 3 novembre 2016, n°15-22.595).

La CJUE se prononce ensuite sur la question de la licéité de la conservation et du traitement des adresses IP pour lutter contre les cyberattaques.

L’article 7, f), de la directive 95/46 prévoit qu’un traitement de données à caractère personnel est licite dès lors qu’il est « nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de traitement » mais sous réserve que ne prévalent pas « l’intérêt ou les droits et libertés fondamentaux de la personne concernée ». Or, dans la mesure où la collecte et le traitement d’adresses IP sont nécessaires pour lutter contre des cyberattaques et garantir la continuité du fonctionnement des sites Internet, ils devraient pouvoir être considérés comme licites.

La CJUE rappelle également que les États membres ne disposent que d’une faible marge de manœuvre dans la transposition de la directive 95/46, du fait qu’ils ne sauraient ni ajouter ni prévoir d’exigences supplémentaires aux principes encadrant le caractère licite d’un traitement de données personnelles, dont l’article 7, f), dresse une liste exhaustive et limitative (CJUE, 24 novembre 2011, C-468/10 et C-469/140).

En l’espèce, la CJUE considère que la loi allemande ne peut s’opposer, de manière généralisée et catégorique, à ce que les données afférentes à des utilisateurs de services de médias en ligne puissent être conservées et traitées par les fournisseurs de ces services, sans que l’objectif de garantir le fonctionnement de leurs sites Internet ne puisse permettre de justifier l’utilisation desdites données après une session de consultation de ces sites.

En effet, les services fédéraux qui fournissent des services de médias en ligne pourraient avoir « un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites » qui justifierait l’utilisation des données afférentes aux utilisateurs des services après une session de consultation de ces services.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Diane De Tarr-Michel, avocat en droit de la propriété intellectuelle