Déclaration auprès de la Cnil de la conservation d’adresses IP

Actualités Legalnews ©

Trois sociétés faisant partie du même groupe ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet du groupe.
Elles ont obtenu une ordonnance rendue sur requête faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (Cnil) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, une société exerçant une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe, a saisi le président du tribunal de commerce en rétractation de son ordonnance.

Le 28 avril 2015, la cour d’appel de Rennes a rejeté la demande de rétractation formée par la société de conseil, retenant que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative. Elle en a déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.

Le 3 novembre 2016, la Cour de cassation a cassé l’arrêt de la cour d’appel, au visa des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Elle a précisé qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. La Cour de cassation a ajouté que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Enfin, elle a précisé que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Cnil.

En l’espèce, la Cour de cassation a estimé qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la Cnil, la cour d’appel a violé les textes susvisés.