Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Adresse IP

Adresse IP

02 août 2007 : L'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes et sa collecte est interdite à ce titre

La CNIL France écrit :

« L'article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à des éléments qui lui sont propres. Ce qui est le cas d'un numéro de plaque d'immatriculation de véhicule, d'un numéro de téléphone ou d'une adresse IP. L'ensemble des autorités de protection des données des États membres de l'Union européenne a d'ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l'adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel. »


19 octobre 2016 : N'importe quelle police/justice peut demander à un fournisseur d'accès Internet (FAI) l'identité complète de son abonné derrière une adresse IP, y compris si elle est dynamique, c'est donc une donnée à caractère personnelle « indirectement nominative » et sa collecte est interdite

Dans son arrêt Breyer du 19 octobre 2016, la Cour de justice de l’UE a jugé que :

« Par ces motifs, la Cour (deuxième chambre) dit pour droit :

L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne. »


3 novembre 2016 : Cour de cassation, 1ère ch. civ. - Cabinet Peterson / Groupe Logisneuf et autres - l'adresse IP est définitivement une donnée personnelle

Après un procès perdu par « Cabinet Peterson », ce dernier monte en appel et, dans un arrêt rendu le 28 avril 2015, la cour d’appel de Rennes avait jugé que : « l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ».

Le « Groupe Logisneuf » va alors en cassation (qui juge sur la forme et non le fond).

La Cour de cassation rappelle alors que l'adresse IP EST une donnée personnelle :

« Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

  • Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
  • Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;
  • Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;
  • Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

DÉCISION
Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :
CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ; »

La Cour de cassation clôt le débat sur le caractère désormais définitif de « donnée personnelle » de l'adresse IP.


« Adresse IP »

Absolument tout ce qui est connecté à Internet dispose d'une adresse numérique sur Internet de manière à pouvoir être identifié lorsqu’il fait une requête et à être joint lorsqu’on le sollicite ou lui répond.

« IP » est une abréviation (acronyme) pour « Internet Protocol ».

L’« adresse IP » est un numéro attribué de manière permanente/fixe (ou temporaire, par exemple avec les connexions ADSL attribuées par baux de 24 heures aux particuliers et qui change toutes les 24 heures sauf si l'utilisateur fait la demande d'une adresse IP fixe [ce qui est une mauvaise idée en termes de furtivité]).

Les données qui circulent sur Internet, dont les données du Web (qui n’est que l’un des usages du réseau des réseaux), sont empaquetées pour pouvoir circuler « par paquets » d'une adresse IP à une autre, en passant par des « routeurs ». L’adressage IP est la base de cette circulation des paquets. Sans cet adressage IP, il n’y a pas d’Internet.

L'empaquetage est la couche 3 du modèle OSI

Le modèle OSI est un modèle en couches (7 couches). Les données qui transitent par l'internet sont encapsulées/empaquetées trois fois :

  • Au niveau 4 par la couche TCP
  • Au niveau 3 par la couche IP
  • Au niveau 2 par la trame de liaison (le protocole de liaison) : Ethernet, Cisco, ARCnet, Fiber Distributed Data Interface (FDDI), WiFi (IEEE 802.2), etc.

Il existe des adresses IP dites IPv4 (IP version 4) et des adresses IP dites IPv6 (IP version 6).

Le nombre d’adresses possibles qui avait été prévu avec IPv4 n’est plus du tout suffisant avec l’explosion des objets de tous poils connectés dits « IoT » - Internet of Things (montres, caméras, détecteurs, voitures, smartphones, réfrigérateurs, etc. – liste non limitative d’objets connectés).

Adresse IP -
Adresse IP - Adresse IP