L'ADRESSE IP EST-ELLE UNE DONNÉE PERSONNELLE?

(2) Cour d'appel de Rennes, 22 mai 2008, 3e chambre des appels correctionnels, X c/ Sacemet SDRM, sur appel du 14 mai 2007 du prévenu et du Ministère public du jugement du tribunalcorrectionnel de Rennes du 7 mai 2007.

(3) Cour d'appel de Rennes, 23 juin 2008, 3e chambre des appels correctionnels, X c/ SCPP,sur appel du 15 mars 2007 du prévenu et du Ministère public du jugement du tribunal correctionnelde Nantes du 8 mars 2007.

(4) Adresse IP: suite de quatre numéros compris entre 0 et 255, séparés par des points, constituantl'identifiant unique d'un ordinateur connecté à l'internet. « IP » signifie Internet Protocol.

(5) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiéepar la loi 2004-801 du 6 août 2004 et décret d'application 2005-1309 du 20 octobre 2005modifié par le décret 2007-451 du 25 mars 2007.

(6) Cnil : Commission nationale de l'informatique et des libertés - www.cnil.fr.

(7) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiquesà l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

(8) Avis 4/2007 du « Groupe de l'article 29 » institué par l'article 29 de la directive 95/46 précitéeet regroupant les « Cnil » des États membres de l'Union européenne.

(9) Ainsi, par exemple, une empreinte digitale et une empreinte génétique constituent des donnéesà caractère personnel, même lorsque leur « titulaire » n'a pas encore été identifié.

(10) Article 2 de la loi Cnil : « Pour déterminer si une personne est identifiable, il convient deconsidérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquelspeut avoir accès le responsable du traitement ou toute autre personne ».

(11) RNIPP : Répertoire national d'identification des personnes physiques.

(12) Cass. crim. 14 mars 2006, n° 05-83.

(13) Avis 4/2007 du « Groupe de l'article 29 ».

(14) Fort heureusement, on parvient chaque jour à conduire devant les tribunaux des personnesidentifiées et confondues à partir de l'adresse IP de l'ordinateur qu'elles avaient utilisépour commettre une infraction.

(15) Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communicationsélectroniques, JORF n° 73, 26 mars 2006, page 4609.

(16) Directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitéesdans le cadre de la fourniture de services de communications électroniques accessiblesau public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, JOCEn° L 105 du 13/04/2006 p. 0054 - 0063.

(17) Précision apportée par le commissaire du gouvernement Vérot dans ses conclusions dansle cadre de l'arrêt rendu par le Conseil d'État le 23 mai 2007, commenté ci-après.

(18) E. Drouard, « Peer-to-Peer, sociétés d'auteurs et Cnil », Lamy Droit de l'immatériel, n° 29.

(19) « Considérant, enfin, que (…) la Commission nationale de l'informatique et des libertés arelevé à bon droit que les traitements envisagés ayant pour finalité l'envoi de messages pédagogiquesétaient contraires aux dispositions précitées de l'article L. 34-I du Code des posteset communications électroniques, telles qu'interprétées par la décision 2004-499 DC du 29 juillet2004 du Conseil constitutionnel, en raison de ce qu'ils permettaient le traitement de donnéesnominatives (…) »

(20) Selon le Conseil d'État, ces données seraient de nature « infractionnelle » par la seuleintention de celui qui cherche à les collecter.

(21) CA Paris, 15 mai 2007: « Considérant que le relevé de l'adresse IP de l'ordinateur ayantservi à l'infraction entre dans le constat de sa matérialité et pas dans l'identification de sonauteur; que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominativerelative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon. » CA Paris 27 avril 2007 :« L'adresse IP ne permet pas d'identifier le ou les personnes, qui ont utilisé cet ordinateur puisqueseule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir dufournisseur l'accès d'identité de l'utilisateur. »

(22) L'article 2 de la loi Cnil précise que le terme « identifiable » devait être compris en cequ'une donnée est personnelle si elle peut permettre l'identification d'une personne par le responsablede traitement ou toute autre personne.

(23) Laurent Szuskin, « Les titulaires de droit d'auteurs, laissé pour compte dans la lutte contrela piraterie sur Internet? », Lamy Droit de l'immatériel, n° 29, 2007.

(24) « Considérant que les opérations de traitement de données, visant à “la mise en placed'une surveillance automatisée des réseaux Peer to Peer”, auxquelles la Cnil a refusé l'autorisationà la SCPP par décision du 18 octobre 2005, sont très différentes du simple procès-verbald'un agent assermenté, manuel, transmis aux autorités de police ou judiciaires, aux finsd'individualisation et de poursuite. »

(25) Article 2 de la loi Cnil : « Constitue un traitement de données à caractère personnel touteopération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédéutilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptationou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission,diffusion ou toute autre forme de mise à disposition, le rapprochement oul'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. »

(26) Décision DC 2004-499 du Conseil Constitutionnel du 29 juillet 2004.

(27) La qualité du constat d'infraction a été contestée dans l'arrêt du 22 mai 2008, la courconstatant que 2890 téléchargements illicites - et non 24649, comme le prétendaient lesconstats - pouvaient être imputés au prévenu.

(28) « Les traitements de données à caractère personnel relatives aux infractions […] ne peuventêtre mis en oeuvre que par […] (4°) les personnes morales mentionnées aux articlesL. 321-1 et L. 331-1 du Code de la propriété intellectuelle, agissant au titre des droits dontelles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus auxlivres Ier, II et III du même code aux fins d'assurer la défense de ces droits. »

(29) Conseil constitutionnel, DC 2004-499 du 29 juillet 2004 : « les données ainsi recueilliesne pourront, en vertu de l'article L. 34-1 du [CPCE], acquérir un caractère nominatif que dansle cadre d'une procédure judiciaire et par rapprochement avec des informations dont la duréede conservation est limitée à un an ; que la création des traitements en cause est subordonnéeà l'autorisation de la Commission nationale de l'informatique et des libertés en applicationdu 3° du I de l'article 25 nouveau de la loi du 6 janvier 1978; que, compte tenu de l'ensemblede ces garanties et eu égard à l'objectif poursuivi, la disposition contestée est de nature àassurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation quin'est pas manifestement déséquilibrée. »

(30) TGI Saint-Brieuc, 6 septembre 2007: « l'adresse IP, est, au sens strict, un identifiant d'unemachine lorsque celle-ci se connecte sur l'internet et non d'une personne. Mais au même titrequ'un numéro de téléphone n'est, au sens strict, que celui d'une ligne déterminée mais pourlaquelle un abonnement a été souscrit par une personne déterminée, un numéro IP associé àun fournisseur d'accès correspond nécessairement à la connexion d'un ordinateur pour lequelune personne déterminée a souscrit un abonnement auprès de ce fournisseur d'accès. L'adresseIP de la connexion associée au fournisseur d'accès constituent un ensemble de moyens permettantde connaître le nom de l'utilisateur », ajoutant que « les officiers de police judiciairequi n'ont eu qu'à contacter le fournisseur d'accès Wanadoo pour avoir son identité. »

(31) TGI Bobigny, 15e ch., 14 déc. 2006 : « l'adresse IP constitue une donnée à caractère personnelen ce qu'elle permet d'identifier une personne en indiquant sans doute possible un ordinateurprécis. Le numéro IP établit la correspondance entre l'identifiant attribué lors de laconnexion à l'internaute et l'identité de l'abonné. »

(32) À noter toutefois qu'elle a, dans un arrêt de la chambre criminelle du 4 avril 2007, constatél'autorisation de la Cnil pour la mise en place d'un fichier par le Syndicat des éditeurs de logicielset de loisirs relatif aux personnes téléchargeant et ce, selon la Cour « en considérant queles garanties qui accompagnaient sa mise en oeuvre étaient de nature à préserver l'équilibreentre la protection des droits reconnus aux personnes dont les données sont traitées et la protectiondes droits dont bénéficient les auteurs et les ayants droit. » C. crim, 4 avril 2007, Jean-Michel X c/Sell, pourvoi 07-80267.

(33) CJCE, 29 janvier 2008, C-275/06 Productores de Musica de España c/ Telefonica deEspaña Sau, RLDI 2008/35, n° 1168, obs. Auroux J.-B.

(34) Exposé des motifs du projet de loi « Création et internet ».