Général

Accueil
Revue de presse
Contactez-nous
Participez

Les menaces

Les honeypots
L'e-commerce
Internet et la vie privé
Les virus, Vers et Hoax
Les Spams et Antispam
TrendMicro

Divers

Les attaques

DOS
Listes des dictionnaires
Les Scan UDP et TCP
Brute force DNS
Sniffers et Antisniffers
Attaque de Switch
Attaque d'HSRP

Les VPN

SSL et TLS

Les Infrastructures

Ethernet

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

Une adresse IP constitue-t-elle une donnée personnelle ?

1 - Introduction
2 - Vision de la CNIL
3 - Cour d'appel de Paris
4 - Analyse
5 - Conclusion
6 - Discussion autour de la documentation
7 - Suivi du document

1 - Introduction

Selon l'article 2 alinéa 2 de la loi "informatique et libertés" modifiée une donnée à caractère personnelle recouvre toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou non, par référence à un numéro d'identification ou d'autres éléments qui lui sont propres. A l'heure de la traque des internautes qui téléchargent illégalement des oeuvres protégées par le droit d'auteur, l'assimilation de l'adresse IP à une donnée à caractère personnelle revêt une importance capitale.

A l'origine la loi du 6 janvier 1978 "informatique et libertés" visait les informations nominatives. Le terme avait pour avantage d'être assez clair sur ce qui ne devait pas entrer dans le champ d'application de la loi. La loi du 6 août 2004 a procédé à une extension du champ d'application de la loi "informatique et libertés". En effet elle remplace le terme "information nominative" par celui de "donnée à caractère personnelle". Or cette notion est plus vaste. La question s'est donc posée de savoir si l'adresse IP devait être considérée comme une information permettant d'identifier une personne indirectement, donc comme étant une donnée à caractère personnelle.

L'adresse IP est le numéro qui permet d'identifier chaque ordinateur sur le réseau Internet. Elle se décompose dans version 4 en une série de 4 nombres allant de 0 à 255. C'est là que réside tout le noeud du problème. En effet l'adresse IP ne renvoie pas à une personne directement mais à une machine, or cette dernière peut être utilisée par une pluralité de personnes.

2 - Vision de la CNIL

Dès l'origine la CNIL a considéré que l'adresse IP devait être considérée comme une donnée à caractère personnelle. Cela correspond à la volonté affichée de la CNIL d'élargir au maximum le champ d'application de la loi "informatique et libertés".

Le foyer du contentieux est lié à la traque des internautes téléchargeant via les réseaux Peer To Peer des oeuvres protégées par le droit d'auteur. En effet l'article 9, 4° de la loi "informatique et libertés" permet désormais aux agents assermentés des sociétés de perception des droits d'auteur d'effectuer des traitements de données à caractère personnelle relatifs aux infractions. Il faut cependant obtenir l'autorisation de la CNIL. Ces agents ont alors opéré des traitements visant à collecter les adresses IP des internautes présents sur ces réseaux et se livrant à des téléchargements illicites d'oeuvres protégées. Pour la CNIL ces traitements nécessitaient une autorisation de sa part, l'adresse IP étant une donnée à caractère personnelle.

Cette affirmation de la CNIL a été désavouée pat deux arrêts de la cour d'appel de Paris.

3 - Cour d'appel de Paris

Dans un arrêt rendu le 15 mai 2007 les juges énoncent en effet, à propos de l'adresse IP : "Que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon". Les juges affirment ici clairement que l'adresse IP ne se rapportant qu'à une machine elle ne peut pas être considérée comme une donnée nominative, même indirecte. Cette affirmation doit être mise en relation avec le premier arrêt rendu par cette même cour afin de comprendre pourquoi elle ne considère pas qu'il s'agit d'une donnée à caractère personnelle indirecte.

Dans son arrêt du 27 avril 2007, dans une affaire similaire, les juges énoncent que : "L'adresse IP ne permet pas d'identifier le ou les personnes, qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur l'accès d'identité de l'utilisateur.". Ici les juges considèrent que l'adresse IP n'est pas une donnée à caractère personnelle car elle n'identifie pas une personne mais un ordinateur, et que ce n'est que l'intervention de l'autorité légitime, c'est-à-dire lors d'une procédure judiciaire, qui permet l'identification de la personne ayant utilisé la machine à des fins illicites.

Dans ces deux arrêts la cour d'appel de Paris affirme que l'adresse IP ne doit pas être considérée comme une donnée à caractère personnelle, même indirecte, car elle n'aboutit à l'identification d'une personne que par l'intervention de la police ou de la gendarmerie dans le cadre d'une procédure judiciaire. Cela a pour conséquence de permettre aux agents assermentés des sociétés de perception des droits d'auteur de mettre en place des traitements informatiques visant à collecter les adresses IP sans avoir à demander l'autorisation de la CNIL.

4 - Analyse

Cette position de la cour d'appel de Paris doit être critiquée sur plusieurs points.

En premier lieu cette jurisprudence semble aller contre la volonté du législateur. En effet dans l'article 9 de la loi "informatique et libertés" (cité plus haut) le législateur a souhaité permettre aux agents assermentés des sociétés de perception d'effectuer des traitements relatifs aux infractions sous réserve qu'ils obtiennent l'autorisation de la CNIL. Or il est clair que pour que ce traitement ait une finalité utile, la poursuite judiciaire de l'auteur du téléchargement illicite, il est nécessaire de l'identifier sur le réseau, ce qui ne peut se faire qu'en commençant par collecter son adresse IP, puis par son identification en tant que personne. En considérant que l'adresse IP n'est pas une donnée personnelle la cour d'appel permet aux agents assermentés de contourner les obligations imposées par la loi. Cette solution est en fait une décision d'opportunité prise par la cour car dans les deux arrêts elle utilise cet argument afin d'écarter l'exception de nullité avancée par l'auteur du téléchargement illicite.

Cette solution contribue tout de même a donné moins d'obligation aux agents assermentés, ce qui n'était pas le but du législateur même si l'article 9 de la loi vise à améliorer la lutte contre le téléchargement illicite.

La solution mérite d'être critiquée en second lieu car la cour d'appel de Paris ne semble pas tirer les conséquences de ses constatations. En effet, elle énonce que si l'adresse IP ne doit pas être considérée comme une donnée nominative, même indirecte, c'est parce qu'elle ne donne lieu à indentification de la personne ayant utilisée la machine identifiée sur le réseau que grâce à l'intervention de l'autorité légitime. Il faut donc que la police ou la gendarmerie, dans le cadre d'une procédure judiciaire obtienne du fournisseur d'accès Internet qu'il communique l'identité de la personne correspondant à l'adresse IP collectée.

Or il s'agit bien là d'une identification indirecte permise par l'adresse IP, ce qui correspond tout à fait à la lettre de la loi. En effet dans sa définition de la donnée à caractère personnelle, la loi parle bien de toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou indirectement. Ce n'est pas parce que l'autorité légitime doit intervenir dans le cas de l'adresse IP qu'il ne s'agit pas d'une donnée à caractère personnelle. Bien au contraire c'en est une qui permet l'identification indirecte, c'est-à-dire après recoupement avec d'autres informations, d'une personne physique.

Il est vrai que dans la plupart des cas l'adresse IP renvoie à un ordinateur qui sera utilisé par une pluralité de personnes et donc que son caractère de donnée personnelle est de ce point de vue fragilisé. Cependant il ne faut pas exagérer cette fragilité. En effet il faut distinguer deux cas dans lesquels il y aura une pluralité de personnes pouvant utiliser la machine.

Il y a tout d'abord le cas ou l'ordinateur appartient à un particulier et où il sera utilisé par une pluralité des membres du foyer familial. Dans ce cas effectivement l'adresse IP en tant que donnée à caractère personnelle sera fragilisée. Cependant les foyers familiaux ne contiennent généralement qu'un nombre limité d'individus, ce qui permet d'affirmer que l'adresse IP restera, dans ce cas, une donnée personnelle indirecte car après recoupement d'informations il sera souvent possible d'identifier la personne auteur de l'infraction.

Le deuxième cas correspond aux ordinateurs présents sur les lieux de travail. La discussion est permise. On peut avancer que l'adresse IP qui renvoie à un ordinateur appartenant à une personne morale (l'entreprise) n'est pas une donnée personnelle car la loi parle expressément dans son article 9 d'informations relatives à des "personnes physiques identifiée...". Cependant il ne paraît pas souhaitable de faire jouer ici le voile de la personnalité morale car une entreprise est composée, avant tout, de personnes physiques. Dans ce cas l'adresse IP pourra être considérée comme une donnée personnelle indirecte car elle renvoie au lieu de travail d'une personne physique qui pourra être identifiée par recoupement avec d'autres informations (notamment le poste informatique qu'elle occupe habituellement).

5 - Conclusion

Nous voyons donc que pour toutes ces raisons l'adresse IP doit être considérée comme une donnée à caractère personnelle. Les arrêts de la cour d'appel de Paris ne doivent pas être considérés comme la volonté des juges d'aller contre l'avis de la CNIL. Il ne s'agissait que de solutions ayant pour finalité l'écartement de l'exception de nullité lise en avant par le prévenu, dans le but de favoriser la répression des téléchargements illicites.

C'est ce que confirme l'arrêt rendu par la cour d'appel de Paris le 12 décembre 2007 à propos des informations permettant l'identification de l'auteur d'un contenu devant être communiquées par les hébergeurs. A cette occasion les juges considèrent que l'adresse IP n'est pas suffisante mais ils énoncent que l'adresse IP "même s'il elle ne constitue une donnée personnelle, ne permet d'identifier qu'un ordinateur.". La cour d'appel de Paris reconnaît donc que l'adresse IP est une donnée à caractère personnelle indirecte (CQFD).

6 - Discussion autour de la documentation

Vous pouvez poser toutes vos questions, vos remarques et vos expériences à propos de la considération d'une adresse IP. Pour cela, rendez-vous sur le Forum Sécurité.

7 - Suivi du document

Version 1.0, le 02 juillet 2008, création du document.

Recherche


Web AuthSecu

Votre sécurité

38.103.63.60:40107
Décryptez MD5
Décryptez Cisco 7

Les lois et normes

Adresse IP perssonnelle ?
Le code pénal pour le SI
Les condamnations

Interactif

Forums
Elearning
Multimédia

Les Outils exe

ArpFlood
Cisco7
EnableSecret
Session
SynFlood

La newsletter



1 mail / mois



mot clé : constitue légitime téléchargent donnée fournisseur dos identité procédure judiciaire vpn intrusion information gendarmerie illicites personne physique authentification droit d’auteur enquête internautes loi illégalement identifiée Peer To Peer Paris législateur adresse IP informatique contentieux assermentés identification securite utilisateur machine alinéa personnelle article police reseau juges appel CNIL caractère cour libertés attaques numéro autorité

Copyright © 2006-2010 authsecu.com. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web sécurité implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée de Sécurité. IP VPN VoIP SSII Reseaux Sécurité Comparatif ADSL