Le 3 novembre 2016, la Première chambre civile de la Cour de cassation a rendu une décision dans laquelle elle affirme que les adresses IP sont des données à caractère personnelles. Le contexte dans lequel elle a pris cette décision peut avoir des répercussions importantes.

Cass. Civ. 1, 3 novembre 2016, n°15-22.595

Trois sociétés d’un même groupe ont constaté la connexion sur leur réseau informatique interne d’ordinateurs extérieurs au groupe. Cette connexion était effectuée au moyen de codes d’accès réservé aux administrateurs d’un site internet du groupe.

Souhaitant identifier les personnes s’étant connectées à leur réseau, les trois sociétés ont obtenu une ordonnance en référé enjoignant aux fournisseurs d’accès internet de révéler l’identité des titulaires des adresses IP utilisées.

Une société concurrente du groupe a été identifiée comme l’auteur de ces connexions. Celle-ci, après s’être vu déboutée en appel, s’est pourvue en cassation invoquant l’illicéité de la mesure d’instruction prévue par l’ordonnance. Elle soutenait que la conservation, sous forme de fichiers, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL.

La Cour de cassation juge que :

- « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel,

- de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ».

Cette décision s’inscrit dans la jurisprudence de la CJUE du 19 octobre 2016 (affaire C‑582/14) [1] dans laquelle la Cour considère que des adresses IP dynamiques constituent des données personnelles.

Le point plus problématique concerne les conséquences qui peuvent être tirées de l’absence de déclaration de traitement à la CNIL. Cela peut donner lieu à sanction administrative ou pénale (voir notre article Fichier concernant une seule personne : attention à la sanction pénale !) mais aussi à l’impossibilité d’utiliser les informations dans le cadre d’une action judiciaire (à rapprocher de l’arrêt déclarant nulle la cession d’un fichier non déclaré (voir notre article La cession d’un fichier non déclaré à la Cnil est illicite).

Ceci met encore une fois en lumière l’importance de respecter le droit de la protection des données personnelles.