Vos conditions générales de vente sont elles conformes ?
Vos mentions légales le sont elles vraiment ?
Avez vous déclaré votre fichier client à la CNIL ?
Quel est le risque en cas de litige ?

CGV Expert s'occupe de vos CGV/CGU et contrats






Europe
CGV-expert.fr est cofinancé par l'Union européene. L'europe s'engage en basse normandie avec le fonds européen de développement régional.





L'identification d'une personne à partir d’une adresse IP

Publié le 22/08/2012 par , vu 33010 fois, catégorie : Sites Ecommerce

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie de ces problématiques relatives aux droits de la personnalité confrontés à l’internet, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel. Les informations personnelles des internautes font l’objet d’une protection particulière, la loi obligeant même les sites web collectant des données personnelles, à prévoir des mentions légales, des liens de confidentialité, bref tout un ensemble de données techniques afin de respecter la loi informatique et libertés du 6 janvier 1978.

Les données personnelles des internautes, dont l’adresse IP, peuvent être collectées pour différentes raisons et notamment pour une exploitation commerciale. Mais la collecte d’une adresse IP peut aussi servir à l’intérêt général. En effet, Internet a généré des comportements marginaux et la cybercriminalité est une réalité. La collecte de données personnelles peut ainsi se révéler utile pour prévenir et sanctionner des infractions.

L’adresse IP est une donnée personnelle relevant de la loi de 1978

Les données personnelles des internautes sont convoitées par les sites commerciaux car elles les renseignent sur leurs habitudes de consommer, leur permettant ainsi de proposer une offre adaptée à leurs attentes. La loi de 1978 distingue les données directement personnelles ou nominatives (par exemple le nom, statut marital, date de naissance) des données indirectement personnelles comme par exemple un numéro de téléphone ou une adresse IP.

Dans les deux cas, ces informations ne sont pas librement disponibles et les sites qui envisagent de collecter et d’exploiter des données doivent en faire la déclaration préalable à la CNIL et en informer les internautes concernés. La CNIL considère que l’adresse IP des internautes appartient au domaine de protection prévu par la loi Informatique et libertés de 1978. De son côté, dans un rapport intitulé «la vie privée à l’heure des mémoires numériques» du 27 mai 2009 le Sénat a affirmé clairement que «l'adresse IP constitue une donnée à caractère personnel».

Dans la pratique l’adresse IP des internautes, série de chiffres permettant aux ordinateurs connectés à Internet d’avoir le même langage informatique (protocole), n’a pas la même utilité pour un commerçant que les données purement nominatives et personnelles. Néanmoins, il peut être intéressant pour un site commercial de localiser le lieu de résidence d’un internaute (un prospect ou client potentiel) qui a visité le site sans réaliser d’achat, afin d’orienter ses démarches publicitaires vers ce lieu géographique. C’est pour cette raison que des sites Internet privés proposent de localiser géographiquement le titulaire d’une adresse IP (grâce à des statistiques) et de révéler le fournisseur d’accès à Internet, sans jamais fournir le nom de l’internaute.

L’adresse IP, communicable à certaines autorités pour lutter contre les infractions

L’identification par adresse IP de certains internautes concourt à la poursuite et à la sanction de certaines infractions (apologie des crimes contre l’humanité, pornographie enfantine). Aux termes de l’article 6-II de la loi du 21 juin 2004, «l’autorité judiciaire peut requérir communication, auprès des fournisseurs d’accès et d’hébergement, des données de nature à permettre l’identification de quiconque a contribué à la création d’un contenu répréhensible sur internet». Les fournisseurs d’accès sont donc contraints par la loi de fournir à la demande du juge les informations nominatives qu’elles détiennent du fait de l’abonnement de l’internaute. De plus, le décret du 25 février 2011 relatif à la «conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d’un contenu mis en ligne » autorise désormais les services de police et de la gendarmerie chargés de la prévention des actes de terrorisme, à se faire communiquer auprès des FAI les données personnelles tels que les adresses IP, l’identifiant de la connexion, ou encore l’identifiant du terminal utilisé pour la connexion et les caractéristiques de la ligne de l’abonné.

L’identification de l’adresse IP pour réprimer la diffamation ou le dénigrement

A côté des infractions de droit commun qui se commettent sur la toile, d’autres infractions comme la diffamation, dites infractions de presse, sont récurrentes sur les forums de discussion. La responsabilité relève soit du directeur de publication, soit de l’auteur du message litigieux. La solution consisterait pour la victime des messages à saisir le juge des référés, voie judiciaire d’urgence, pour obtenir la suppression du message illicite. Mais des difficultés d’identification de l’auteur se posent néanmoins. Il est certes techniquement possible pour une société ou un éditeur de collecter une adresse IP d’un internaute afin de pouvoir l’identifier. La question se posera de la légalité de cette collecte au regard de l’article 32 de la loi du 6 janvier 1978.

En effet, l’article 32-6 de cette loi prévoit certes que les dispositions ne s’appliquent pas pour le traitement de données ayant pour objet la constatation et la poursuite des infractions, et, la diffamation est bien une infraction pénale prévue par l’article 29 de la loi de 1881, de sorte qu’il est possible de collecter une adresse IP pour constater l’existence d’une diffamation. Mais, ce droit d’information est réglementé. L’article 6-II de la loi du 21 juin 2004 et l’article 226-13 du Code pénal relatif au secret professionnel s’opposent à ce qu’une société privée puisse collecter une adresse IP d’un internaute. Seule l’autorité judiciaire bénéficie du droit d’être informée sur les données personnelles d’un internaute. La législation française est ainsi conforme à la jurisprudence de la CJUE qui dans un arrêt récent a décidé que « la collecte et l'identification des adresses IP des utilisateurs qui sont à l'origine de l'envoi des contenus illicites sur le réseau, ces adresses étant des « données protégées à caractère personnel, car elles permettent l'identification précise desdits utilisateurs » (CJUE, 24 nov. 2011, no C-70/10).

Concrètement, une société, même au travers de son avocat, ne peut par elle-même collecter une adresse IP aux fins d’identification d’un internaute, auteur d’un contenu illicite sur Internet. Elle doit s’adresser par requête à une juridiction afin d’obtenir auprès du FAI la levée de l’anonymat.

Ainsi, dans une affaire jugée par la Cour d’appel de Versailles le 22 janvier 2009 opposant la société Priceminister à la société Brandalley, la collecte de l’adresse IP de l’internaute présumé coupable de diffamation avait été demandée par requête à un tribunal, lequel avait alors désigné un huissier pour opérer la collecte. Orange, fournisseur d’accès de l’internaute, a pu ensuite légalement communiquer à l’huissier les prénoms, nom et adresse de cet internaute.

L’identification de l’adresse IP pour lutter contre les actes de contrefaçon

L’identification d’une personne sur un site Internet à partir de son adresse IP peut permettre de révéler l’identité des internautes se livrant à la contrefaçon : téléchargement illicite d’œuvre en violation des droits d’auteur.

La possibilité d’identification d’un internaute grâce à son adresse IP a été réclamée par les organismes professionnels d’auteurs, dont la SACEM, en cas de téléchargement de fichiers numériques en violation des droits d’auteur, notamment à l’aide du « Peer to peer ». La loi du 6 août 2004 vient autoriser des agents assermentés représentant les sociétés de gestion collective (de protections des droits des auteurs) pour réaliser des constations de téléchargements illicites (article L.331-2 du Code de la propriété intellectuelle). Afin de localiser les contrefacteurs, ils sont amenés à collecter des adresses IP, communiquées ensuite à la police judiciaire, sous le contrôle d’un juge, pour que celle-ci obtienne des fournisseurs d’accès à Internet la levée de l’anonymat.

Cette prérogative de collecte d’adresses IP des agents assermentés est critiquée par la CNIL qui considère qu’il s’agit d’une collecte et d’un traitement de données personnelles relevant de la loi du 6 janvier 1978 (exigence d’une déclaration préalable). Le Conseil constitutionnel a considéré dans sa décision du 29 juillet 2004 que la collecte et le traitement d’adresses IP à l’occasion d’infractions aux droits d’auteurs ne pouvaient s’effectuer que sous le contrôle de l’autorité judiciaire. Analyse qu’il réitère dans sa décision du 10 juin 2009 (N°2009-58).

Les juridictions judiciaires ont en revanche oscillé entre deux positions. Les unes, pour mieux sanctionner les infractions aux droits d’auteur ont refusé d’assimiler la collecte des adresses IP par les agents assermentés à des traitements relevant de l’application de la loi de 1978. Ainsi, dans sa décision du 15 mai 2007 la Cour d’appel de Paris a considéré que l’adresse IP n’était qu’une simple série de chiffres qui ne saurait être considérée comme une donnée à caractère personnel au sens de la loi de 1978. L’adresse IP permet simplement selon cet arrêt d’identifier une machine, non un individu. Mais il semble que cet arrêt a procédé à la confusion de la distinction qu’il y a lieu de faire entre personne identifiée et personne identifiable à l’aide des données personnelles : la personne est identifiée par son nom, son âge, et, identifiable par un numéro de téléphone ou une adresse IP. D’un côté on a une identification directe, de l’autre une identification indirecte.

En toute hypothèse, selon cet arrêt de 2007, dès lors qu’il ne s’agit pas d’un traitement de données personnelles, les agents assermentés sont aptes à collecter les adresses IP des internautes sans en référer préalablement à la CNIL.

En revanche, le TGI de Saint-Brieuc a retenu l’inverse dans son jugement du 6 décembre 2007 : comme pour un numéro de téléphone qui n’est que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée, de même une adresse IP délivrée par un fournisseur d’accès correspond nécessairement à une personne déterminée ayant souscrit un abonnement Internet. Ce jugement, à l’opposé de l’arrêt de la Cour d’appel, a annulé le procès-verbal de l’agent assermenté qui a aidé à lever l’anonymat de l’internaute présumé d’infraction en collectant son adresse IP.

Devant cette divergence de jurisprudence et l’incertitude quant à la qualification juridique à donner à la collecte d’adresse IP (traitement de données ou pas ?), l’intervention de la Cour de cassation dans un arrêt du 13 janvier 2009 vient mettre un terme à ces hésitations. La Chambre criminelle a décidé que les constations visuelles effectuées sur internet et l’adresse IP relevée par un agent assermenté, en utilisant un simple logiciel Peer to peer pour constater l’infraction ne constituent pas un traitement de données à caractère personnel. La même Chambre criminelle de la Cour de cassation confirmera cette conception dans un arrêt du 23 mars 2010 (n°09-80787).

Désormais, les juridictions devront reconnaître aux agents assermentés des sociétés de gestion collective le pouvoir de collecter les adresses IP d’internautes suspectés de téléchargements illicites d’œuvres numériques. Mais il appartient ensuite aux autorités de police de transmettre ces adresses IP aux fournisseurs d’accès afin de connaître l’identité des internautes. La plainte avec constitution de partie civile de la société de gestion collective engagera les poursuites contre l’internaute devant les juridictions répressives. Toutefois il faut tenir compte de la riposte graduée qui exige d’envoyer un avertissement à l’internaute fautif.

Au sujet de la riposte graduée introduite par les récentes lois Hadopi,  le débat semble d’ailleurs relancé sur l’identification de l’internaute par son adresse IP. En effet, afin d’adresser l’avertissement à l’internaute auteur des téléchargements illicites, il conviendra au préalable de l’identifier, ce qui ne peut se réaliser qu’en collectant sont adresse IP, l’avoir communiquée ensuite au fournisseur d’accès pour la levée de l’anonymat. A ce titre, la jurisprudence qui était récalcitrante à voir dans la collecte d’adresse IP un traitement de données personnelles faisait valoir à juste titre que l’adresse IP est une série de chiffres qui permet de localiser l’ordinateur qui a servi aux infractions, elle ne permet pas de dire avec certitude quelle personne en est l’auteur. On connaît la machine, instrument de l’acte de contrefaçon, mais pas l’internaute (par exemple en cas d’utilisation d’un ordinateur familial). Donc finalement on se retrouve de nouveau devant une incertitude, cette fois concernant l’auteur précis des actes de contrefaçon.


CGV-expert propose la rédaction de vos conditions générales