L'identification d'une personne à partir d’une adresse IP

Données personnelles 5613 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

Les informations personnelles des internautes font l’objet d’une protection particulière, la loi obligeant même les sites web collectant des données personnelles, à prévoir des mentions légales, des liens de confidentialité, bref tout un ensemble de données techniques afin de respecter la loi informatique et libertés du 6 janvier 1978 et, depuis le 25 mai 2018, le Règlement Général sur la Protection des Données(RGPD).

Les données personnelles des internautes, dont l’adresse IP, peuvent être collectées pour différentes raisons et notamment pour une exploitation commerciale. Mais la collecte d’une adresse IP peut aussi servir à l’intérêt général. En effet, Internet a généré des comportements marginaux et la cybercriminalité est une réalité. La collecte de données personnelles peut ainsi se révéler utile pour prévenir et sanctionner des infractions.

L’adresse IP, une donnée personnelle

Les données personnelles des internautes sont convoitées par les sites commerciaux car elles les renseignent sur leurs habitudes de consommer, leur permettant ainsi de proposer une offre adaptée à leurs attentes. La loi de 1978 distingue les données directement personnelles ou nominatives (par exemple le nom, statut marital, date de naissance) des données indirectement personnelles comme par exemple un numéro de téléphone ou une adresse IP.

La CNIL définit les données à caractère personnelle comme :

Toute information se rapportant à une personne physique identifiée ou identifiable.

Une personne physique peut être identifiée :

  • directement (exemple : nom et prĂ©nom) ;
  • indirectement (exemple : par un numĂ©ro de tĂ©lĂ©phone ou de plaque d’immatriculation, un identifiant tel que le numĂ©ro de sĂ©curitĂ© sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • Ă  partir d’une seule donnĂ©e (exemple : nom) ;
  • Ă  partir du croisement d’un ensemble de donnĂ©es (exemple : une femme vivant Ă  telle adresse, nĂ©e tel jour et membre dans telle association) :

Dans les deux cas, ces informations ne sont pas librement disponibles et les sites qui envisagent de collecter et d’exploiter des données devaient en faire la déclaration préalable à la CNIL et en informer les internautes concernés. La CNIL considère que l’adresse IP des internautes appartient au domaine de protection prévu par la loi Informatique et libertés de 1978. De son côté, dans un rapport intitulé « la vie privée à l’heure des mémoires numériques » du 27 mai 2009 le Sénat a affirmé clairement que « l'adresse IP constitue une donnée à caractère personnel ». Le doute ne subsiste plus depuis l'entrée en vigueur du RGPD, l'adresse IP est une donnée personnelle pouvant conduire à l'identification d'une personne physique.

Dans la pratique l’adresse IP des internautes, série de chiffres permettant aux ordinateurs connectés à internet d’avoir le même langage informatique (protocole), n’a pas la même utilité pour un commerçant que les données purement nominatives et personnelles. Néanmoins, il peut être intéressant pour un site commercial de localiser le lieu de résidence d’un internaute (un prospect ou client potentiel) qui a visité le site sans réaliser d’achat, afin d’orienter ses démarches publicitaires vers ce lieu géographique. C’est pour cette raison que des sites Internet privés proposent de localiser géographiquement le titulaire d’une adresse IP (grâce à des statistiques) et de révéler le fournisseur d’accès à Internet, sans jamais fournir le nom de l’internaute.

La communication de l'adresse IP aux autorités

L’identification par adresse IP de certains internautes concourt à la poursuite et à la sanction de certaines infractions (apologie des crimes contre l’humanité, pornographie enfantine). Aux termes de l’article 6-II de la loi du 21 juin 2004 :

L’autorité judiciaire peut requérir communication, auprès des fournisseurs d’accès et d’hébergement, des données de nature à permettre l’identification de quiconque a contribué à la création d’un contenu répréhensible sur internet.

Les fournisseurs d’accès sont donc contraints par la loi de fournir à la demande du juge les informations nominatives qu’elles détiennent du fait de l’abonnement de l’internaute. De plus, le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d’un contenu mis en ligne autorise désormais les services de police et de la gendarmerie chargés de la prévention des actes de terrorisme, à se faire communiquer auprès des fournisseurs d'accès internet (FAI) les données personnelles tels que les adresses IP, l’identifiant de la connexion, ou encore l’identifiant du terminal utilisé pour la connexion et les caractéristiques de la ligne de l’abonné.

L’identification de l’adresse IP pour réprimer la diffamation ou le dénigrement

A côté des infractions de droit commun qui se commettent sur la toile, d’autres infractions comme la diffamation, dites infractions de presse, sont récurrentes sur les forums de discussion. La responsabilité relève soit du directeur de publication, soit de l’auteur du message litigieux. La solution consisterait pour la victime des messages à saisir le juge des référés, voie judiciaire d’urgence, pour obtenir la suppression du message illicite. Mais des difficultés d’identification de l’auteur se posent néanmoins. Il est certes techniquement possible pour une société ou un éditeur de collecter une adresse IP d’un internaute afin de pouvoir l’identifier. La question se posera de la légalité de cette collecte au regard de l’article 32 de la loi du 6 janvier 1978.

En effet, l’article 32-6 de cette loi prévoit certes que les dispositions ne s’appliquent pas pour le traitement de données ayant pour objet la constatation et la poursuite des infractions, et, la diffamation est bien une infraction pénale prévue par l’article 29 de la loi de 1881, de sorte qu’il est possible de collecter une adresse IP pour constater l’existence d’une diffamation. Mais, ce droit d’information est réglementé. L’article 6-II de la loi du 21 juin 2004 et l’article 226-13 du Code pénal relatif au secret professionnel s’opposent à ce qu’une société privée puisse collecter une adresse IP d’un internaute. Seule l’autorité judiciaire bénéficie du droit d’être informée sur les données personnelles d’un internaute. La législation française est ainsi conforme à la jurisprudence de la CJUE qui dans son arrêt refuse l'injonction faite à un FAI de mettre en place un système de filtrage, au motif que :

Cette injonction impliquerait une analyse systématique de tous les contenus ainsi que la collecte et l'identification des adresses IP des utilisateurs qui sont à l'origine de l'envoi des contenus illicites sur le réseau, ces adresses étant des données protégées à caractère personnel, car elles permettent l'identification précise desdits utilisateurs.
CJUE, 24 nov. 2011, n°C-70/10

Concrètement, une société, même au travers de son avocat, ne peut par elle-même collecter une adresse IP aux fins d’identification d’un internaute, auteur d’un contenu illicite sur Internet. Elle doit s’adresser par requête à une juridiction afin d’obtenir auprès du FAI la levée de l’anonymat.

Ainsi, dans une affaire jugée par la Cour d’appel de Versailles le 22 janvier 2009 opposant la société Priceminister à la société Brandalley, la collecte de l’adresse IP de l’internaute présumé coupable de diffamation avait été demandée par requête à un tribunal, lequel avait alors désigné un huissier pour opérer la collecte. Orange, fournisseur d’accès de l’internaute, a pu ensuite légalement communiquer à l’huissier les prénoms, nom et adresse de cet internaute.

L’identification de l’adresse IP pour lutter contre les actes de contrefaçon

Que dit la loi ?

L’identification d’une personne sur un site Internet à partir de son adresse IP peut permettre de révéler l’identité des internautes se livrant à la contrefaçon : téléchargement illicite d’œuvre en violation des droits d’auteur.

La possibilité d’identification d’un internaute grâce à son adresse IP a été réclamée par les organismes professionnels d’auteurs, dont la SACEM, en cas de téléchargement de fichiers numériques en violation des droits d’auteur, notamment à l’aide du « Peer to peer ». La loi du 6 août 2004 vient autoriser des agents assermentés représentant les sociétés de gestion collective (de protections des droits des auteurs) pour réaliser des constations de téléchargements illicites (article L331-2 du Code de la propriété intellectuelle). Afin de localiser les contrefacteurs, ils sont amenés à collecter des adresses IP, communiquées ensuite à la police judiciaire, sous le contrôle d’un juge, pour que celle-ci obtienne des fournisseurs d’accès à Internet la levée de l’anonymat.

Cette prérogative de collecte d’adresses IP des agents assermentés est critiquée par la CNIL qui considère qu’il s’agit d’une collecte et d’un traitement de données personnelles relevant de la loi du 6 janvier 1978 (exigence d’une déclaration préalable). Le Conseil constitutionnel a considéré dans sa décision du 29 juillet 2004 que la collecte et le traitement d’adresses IP à l’occasion d’infractions aux droits d’auteurs ne pouvaient s’effectuer que sous le contrôle de l’autorité judiciaire. Analyse qu’il réitère dans sa décision du 10 juin 2009 (N°2009-58).

La jurisprudence

Les juridictions judiciaires ont en revanche oscillé entre deux positions. Les unes, pour mieux sanctionner les infractions aux droits d’auteur ont refusé d’assimiler la collecte des adresses IP par les agents assermentés à des traitements relevant de l’application de la loi de 1978. Ainsi, dans sa décision du 15 mai 2007 la Cour d’appel de Paris a considéré que l’adresse IP n’était qu’une simple série de chiffres qui ne saurait être considérée comme une donnée à caractère personnel au sens de la loi de 1978. L’adresse IP permet simplement selon cet arrêt d’identifier une machine, non un individu. Mais il semble que cet arrêt a procédé à la confusion de la distinction qu’il y a lieu de faire entre personne identifiée et personne identifiable à l’aide des données personnelles : la personne est identifiée par son nom, son âge, et, identifiable par un numéro de téléphone ou une adresse IP. D’un côté on a une identification directe, de l’autre une identification indirecte.

En toute hypothèse, selon cet arrêt de 2007, dès lors qu’il ne s’agit pas d’un traitement de données personnelles, les agents assermentés sont aptes à collecter les adresses IP des internautes sans en référer préalablement à la CNIL.

En revanche, le TGI de Saint-Brieuc a retenu l’inverse dans son jugement du 6 décembre 2007 : comme pour un numéro de téléphone qui n’est que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée, de même une adresse IP délivrée par un fournisseur d’accès correspond nécessairement à une personne déterminée ayant souscrit un abonnement Internet. Ce jugement, à l’opposé de l’arrêt de la Cour d’appel, a annulé le procès-verbal de l’agent assermenté qui a aidé à lever l’anonymat de l’internaute présumé d’infraction en collectant son adresse IP.

Devant cette divergence de jurisprudence et l’incertitude quant à la qualification juridique à donner à la collecte d’adresse IP (traitement de données ou pas ?), l’intervention de la Cour de cassation dans un arrêt du 13 janvier 2009 vient mettre un terme à ces hésitations. La Chambre criminelle a décidé que les constations visuelles effectuées sur internet et l’adresse IP relevée par un agent assermenté, en utilisant un simple logiciel Peer to peer pour constater l’infraction ne constituent pas un traitement de données à caractère personnel. La même Chambre criminelle de la Cour de cassation confirmera cette conception dans un arrêt du 23 mars 2010 (n°09-80787).

Désormais, les juridictions devront reconnaître aux agents assermentés des sociétés de gestion collective le pouvoir de collecter les adresses IP d’internautes suspectés de téléchargements illicites d’œuvres numériques. Mais il appartient ensuite aux autorités de police de transmettre ces adresses IP aux fournisseurs d’accès afin de connaître l’identité des internautes. La plainte avec constitution de partie civile de la société de gestion collective engagera les poursuites contre l’internaute devant les juridictions répressives. Toutefois il faut tenir compte de la riposte graduée qui exige d’envoyer un avertissement à l’internaute fautif.

Au sujet de la riposte graduée introduite par les lois Hadopi,  le débat semble relancé sur l’identification de l’internaute par son adresse IP. En effet, afin d’adresser l’avertissement à l’internaute auteur des téléchargements illicites, il conviendra au préalable de l’identifier, ce qui ne peut se réaliser qu’en collectant sont adresse IP, l’avoir communiquée ensuite au fournisseur d’accès pour la levée de l’anonymat. A ce titre, la jurisprudence qui était récalcitrante à voir dans la collecte d’adresse IP un traitement de données personnelles faisait valoir à juste titre que l’adresse IP est une série de chiffres qui permet de localiser l’ordinateur qui a servi aux infractions, elle ne permet pas de dire avec certitude quelle personne en est l’auteur. On connaît la machine, instrument de l’acte de contrefaçon, mais pas l’internaute (par exemple en cas d’utilisation d’un ordinateur familial). Donc finalement on se retrouve de nouveau devant une incertitude, cette fois concernant l’auteur précis des actes de contrefaçon.

 
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Type de règlement :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 2111 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 409 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 558 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 1386 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 683 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 1276 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 779 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne consultant des statistiques
Donnees personnelles 853 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 1570 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.