Dans une décision en date du 19 octobre 2016, la CJUE a tranché la question particulièrement controversée de savoir si une adresse IP constitue ou non une donnée personnelle.

CJUE 19 octobre 2016, affaire C‑582/14

Un internaute a consulté plusieurs sites Internet des services fédéraux allemands. Sur ces sites, accessibles au public, lesdits services fournissent des informations actualisées. Afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les « pirates », la plupart de ces sites enregistrent toutes les consultations dans des fichiers journaux et notamment l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée. Ces données sont conservées pendant 2 semaines.

L’internaute a introduit, devant les juridictions administratives allemandes, un recours visant à ce qu’il soit fait interdiction à la République fédérale d’Allemagne de conserver ou de faire conserver l’adresse IP dans ce contexte.

Selon l’article 2 (a) de la directive 95/46 , les « données à caractère personnelles » sont définies comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Il convient de rappeler que, dans un arrêt du 24 novembre 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), la Cour a considéré, en substance, que les adresses IP des utilisateurs d’Internet étaient des données personnelles, car elles permettent l’identification précise de ces utilisateurs. Cependant, il s’agissait de cas dans lesquels la collecte et l’identification des adresses IP des utilisateurs d’Internet seraient effectuées par les fournisseurs d’accès à Internet.

Or en l’espèce c’est le fournisseur de services de médias en ligne, à savoir la République fédérale d’Allemagne, qui enregistre les adresses IP des utilisateurs d’un site Internet que ce fournisseur de services rend accessible au public, sans disposer des informations supplémentaires nécessaires pour identifier ces utilisateurs.

De plus il s’agit dans le cas d’espèce d’adresses « IP dynamiques », à savoir celles, provisoires, qui sont attribuées à chaque connexion à Internet et remplacées lors de connexions ultérieures, et non pas des adresses IP « statiques », qui sont invariables et permettent l’identification permanente du dispositif connecté au réseau. Par conséquent, les données incluses dans une adresse IP dynamique ne permettent pas au fournisseur de services de médias en ligne d’identifier l’utilisateur.

La cour rappelle que :

- l’utilisation du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée personnelle, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée.

- le considérant 26 de la directive 95/46 énonce que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

La Cour a considéré que des adresses « IP dynamiques » constituent des données personnelles pour un fournisseur de services de médias en ligne (dans le cas présent : la République Fédérale d’Allemagne) qui donne accès à un site Internet.

Cela est suffisant selon la Cour pour être considéré comme des données personnelles, si les données supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont stockées par le fournisseur d’accès Internet de l’utilisateur. Il suffit que l’éditeur du site dispose de moyens légaux lui permettant de faire identifier la personne concernée (grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne).

Il est entendu par là tout moyen légal, par exemple les voies légales permettant au fournisseur de services de médias en ligne de s’adresser, en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet en cas de cyberattaque.

Cette décision va avoir un impact considérable pour tous les éditeurs de site Internet. Ultimement et en application de la même décision, l’éditeur du site Internet est tenu d’obtenir le consentement des utilisateurs afin de stocker les adresses IP dynamiques (pour une utilisation autre que celle visant à permettre et à facturer l’utilisation concrète du média en ligne par l’utilisateur en question).

Cette qualification restera inchangée après l’entrée en vigueur du Règlement sur la Protection des Données 2016/679 en mai 2018, puisque l’article 2 de la directive 95/46 qui est cité dans cette décision est incorporé en des termes quasiment identiques à l’article 4 (1) du RGPD.