Un travail autour des adresses IP et des données personnelles est actuellement en cours au sein du Chapitre français de l’Internet Society. Une réponse de la Cnil à ce sujet est disponible ici.

Résumé

L’adresse IP d’un terminal connecté à un réseau informatique qui utilise le protocole internet (IP) lui permet d’échanger avec les autres terminaux connectés à ce réseau. L’adresse IP sert à identifier la machine. Elle est généralement fournie à l’utilisateur par un FAI qui sait donc à chaque instant lequel de ses abonnés utilise une adresse IP donnée. Une adresse IP permet ainsi d’identifier indirectement la personne derrière le terminal. C’est pourquoi la Cnil considère qu’il s’agit d’une donnée personnelle. Le statut de « donnée personnelle » soumet alors le traitement automatisé des adresses IP à certaines conditions, voire interdictions, qui visent à protéger la vie privée de l’utilisateur.

Auteur(s) : Laurent Ferrali et Charles Simon, pour la Commission juridique.

Ce document est aussi disponible en téléchargement en bas de cette page. Le format Le .odt est le format natif. Nous ne garantissons pas la bonne conversion dans les autres formats et recommandons le .pdf aux personnes n’étant pas équipées de OO (Open Office).

1. Qu’est-ce qu’une donnée personnelle ?

En France, est une donnée personnelle « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». C’est par exemple le nom et le prénom d’une personne qui permettent une identification directe de l’individu ou la plaque d’immatriculation d’une voiture qui permet l’identification indirecte de son propriétaire.

Il existe des définitions similaires partout dans l’Union européenne mais, faute d’accord international, d’autres régions du monde ne prévoient pas un cadre particulier pour ces données. C’est par exemple le cas des Etats-Unis où la législation existante est très parcellaire. Cela est particulièrement problématique puisque des internautes français ou européens peuvent se connecter très facilement à des sites américains et profitent alors d’une protection bien moins importante.

Sous certaines conditions, la nature de donnée personnelle d’une information permet en effet de déclencher en France et en Europe une protection particulière dont la Commission nationale de l’informatique et des libertés (Cnil) est la garante dans l’Hexagone. Pour cela, il faut que les données personnelles soient traitées automatiquement par ordinateur et qu’ils s’agissent bien de données d’individus et non, par exemple, de données liées à une entreprise ou à une association.

2. Qu’est-ce qu’une adresse IP ?

Chaque ordinateur connecté à l’internet est identifié par un numéro unique qui permet de le retrouver parmi l’ensemble des ordinateurs connectés ou de remonter à l’expéditeur d’un message. Ce numéro unique s’appelle l’adresse internet ou IP (Internet Protocol). Celle-ci est attribuée à l’utilisateur par son fournisseur d’accès qui sait à chaque instant auquel de ses clients il a attribué une adresse donnée. L’adresse IP est donc un peu l’équivalent du numéro de téléphone pour l’internet.

Comme les numéros de téléphone, l’évolution du réseau internet a amené à rallonger ces adresses afin de répondre à une demande croissante. Les adresses IPv4 (les adresses actuellement utilisées) sont longues de 32 « bits » (une suite de 0 et de 1). Demain les adresses IPv6 (les nouvelles adresses) seront longues de 128, suffisamment pour donner une adresse internet à chaque atome de l’Univers connu si l’envie nous en prenait.

3. L’adresse IP est-elle une donnée personnelle ?

Oui d’après le Groupe de l’article 29, la réunion des Cnil européennes. Parce qu’elle permet de remonter à l’ordinateur d’un utilisateur grâce au fournisseur d’accès, il s’agit d’une donnée « indirectement nominative », c’est-à-dire permettant une identification indirecte d’un individu comme le numéro de téléphone, de sécurité sociale, de passeport ou la plaque d’immatriculation d’un véhicule.

4. Qu’est-ce que ça change que l’adresse IP soit une donnée personnelle ?

En France et, plus généralement, dans l’Union européenne, il n’est pas possible de faire n’importe quoi avec vos données personnelles. Leur collecte par d’autres personnes et leur traitement à l’aide d’ordinateurs sont encadrés par la loi et contrôlés par la Cnil et ses équivalents. Ces données ne peuvent être conservées que dans un but précis, légitime et pour une durée qui ne doit pas être abusivement longue.

De plus, sauf si la loi en impose autrement, vous avez le droit de savoir que vos données sont collectées et conservées et de vous y opposer. Vous avez aussi le droit d’accéder à ces données et éventuellement de les faire rectifier.

Cela signifie notamment qu’un site web n’a pas le droit de conserver indéfiniment la trace de votre adresse IP, par exemple pour connaître la fréquence de vos visites, les sujets qui vous intéressent… Il doit de plus poursuivre un but précis et légitime s’il collecte et conserve vos données et doit vous en prévenir.

5. Pourquoi cela vous intéresse-t-il ?

Vous utilisez l’internet tous les jours dans le cadre de services de plus en plus nombreux. Votre adresse IP apparaît alors dans chacune de vos communications, lorsque vous consultez un site web, envoyez un courrier électronique, achetez un livre… De nombreuses personnes peuvent les collecter et les utiliser pour les usages les plus divers, pour les stocker parce que la loi les y oblige ou pour les analyser dans le cadre de campagne de marketing…

Cette collecte est d’autant plus efficace et bon marché que votre adresse est toujours la même. Or, de plus en plus souvent aujourd’hui avec les adresses IPv4 et demain avec les adresses IPv6, vous conservez la même adresse. Qu’est-ce que cela signifie pour vous ?

5.1. Demain votre utilisation des réseaux peer-to-peer pourrait être pistée sans que vous le sachiez. Les représentants des artistes et des producteurs ont déjà mis en place des systèmes automatiques pour surveiller les réseaux peer-to-peer, notamment collecter les adresses IP des utilisateurs. Cependant ces systèmes ont dû être autorisés par la Cnil qui leur a imposé certaines limites pour empêcher une surveillance arbitraire et généralisée.

5.2. Demain les publicitaires pourraient savoir tout ce que vous faites sur l’internet. En vous connectant à un site, en faisant une recherche à l’aide d’un moteur, vous laissez des traces qui pourront ensuite être exploitées par les professionnels du marketing pour dresser votre profil. C’est une bonne chose si cela permet d’offrir un meilleur service, ça l’est moins s’il s’agit de se servir de cette connaissance pour vous vendre n’importe quoi.

Cependant tout usage de données personnelles n’est pas dangereux.

5.3. Certaines traces doivent être conservées pour empêcher les mauvais comportements. Quand un internaute se connecte à un forum de discussion pour y laisser un message, la loi oblige le responsable du forum à conserver son adresse IP. Cela permet d’identifier les auteurs de propos haineux, racistes… C’est donc une mesure nécessaire pour préserver l’efficacité de la justice.

5.4. L’adresse IP peut permettre aux sites que vous fréquentez régulièrement de vous offrir un meilleur service. Certains sites gardent en mémoire vos préférences d’utilisateur et vous offrent ainsi un accueil personnalisé. Ce confort d’utilisation est permis par l’utilisation de « cookies » et/ou la reconnaissance de votre adresse IP. C’est donc un réel plus pour votre confort d’utilisation lorsque vous naviguez sur le net.

version .doc

Adresses IP et données personnelles

version .odt (OO)

Adresses IP et données personnelles

version .pdf

Adresses IP et données personnelles