Remis à la fin du mois de mai par les sénateurs Yves Détraigne et Anne-Marie Escoffier, le rapport d'information relatif "au respect de la vie privée à l'heure des mémoires numériques" prénonise, parmi 15 propositions, d'affirmer dans la loi que l'adresse IP est une donnée à caractère personnel.

L’adresse IP est-elle, oui ou non, une donnée à caractère personnel ? La question n’est pas sans importance puisque de sa réponse dépend le régime juridique des collectes d’adresses IP, notamment par les entreprises chargées de surveiller les réseaux P2P. On se souvient par exemple que le Conseil d’Etat, en jugeant en 2007 que l’adresse IP n’était pas une donnée personnelle, avait obligé la CNIL à autoriser une chasse aux pirates qu’elle avait gelée.

Dans un rapport (.pdf) sur « la vie privée à l’heure des mémoires numériques », publié ce mercredi, les sénateurs Yves Détraigne (MoDem) et Anne-Marie Escoffier (PRC) proposent d’affirmer « sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel« .

« Alors que le statut juridique de l’adresse IP en France demeure flou, vos rapporteurs ont pour leur part acquis la conviction que l’adresse IP constituait un moyen d’identifier un internaute, au même titre qu’une adresse postale ou un numéro de téléphone par exemple« , écrivent les deux rapporteurs.

« L’adresse IP répond de ce point de vue aux critères fixés par la directive 95/46/CE, repris à l’article 2 de la loi du 6 janvier 1978 modifiée et selon lesquels une donnée à caractère personnel est une information  » relative à une personne identifiée ou identifiable « « .

Ils proposent de modifier cet article 2 pour expliciter le fait que l’adresse IP est une donnée à caractère personnelle, car « compte-tenu du rôle essentiel qu’Internet est appelé à jouer dans la vie d’une partie sans cesse croissante de nos concitoyens, il leur semble indispensable que les garanties concernant la collecte de données à caractère personnel s’appliquent également sans ambiguïté aux données de connexion des internautes« .

Une jurisprudence française floue dans un cadre européen clair

La France suivrait alors la recommandation du G29, qui rassemble les différentes « CNIL européennes ». Dans un avis du 20 juin 2007 (un mois après la décision du Conseil d’Etat), elle avait en effet affirmé que l’IP devait être regardée comme une donnée personnelle. Un avis d’ailleurs suivi par la Cour de Justice des Communautés Européennes dans l’arrêt Promusicae du 29 janvier 2008, et conforme à la révision de la directive de 2002, intervenue en 2006.

« En France, néanmoins, la question demeure confuse. Dans une décision rendue le 13 janvier 2009, la Chambre criminelle de la Cour de cassation a considéré que, lorsque la collecte des adresses IP s’effectue  » à la main « , et non au moyen d’un traitement informatique automatisé, l’autorisation de la CNIL n’est pas requise« , regrettent les rapporteurs. « Ce faisant, la Chambre criminelle n’a pas tranché le débat relatif au statut de l’adresse IP, ce qui semble particulièrement regrettable au regard du flou juridique qui subsiste sur cettequestion« .

Toutes les recommandations émises par le rapport :

FAIRE DU CITOYEN UN  » HOMO NUMERICUS  » LIBRE ET ECLAIR°, PROTECTEUR DE SES PROPRES DONN°ES

Recommandation n° 1 – Renforcer la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires

Recommandation n° 2 – Promouvoir l’organisation et le lancement d’une campagne d’information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l’heure du numérique ainsi qu’à les informer des droits que leur reconnaît la loi  » informatique et libertés « 

Recommandation n° 3 – Promouvoir rapidement la création de labels identifiant et valorisant des logiciels, applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles

RENFORCER LES MOYENS ET LA L°GITIMIT° DE LA CNIL

Recommandation n° 4 – Créer une redevance, de faible montant, acquittée par les grands organismes, publics et privés, qui traitent des données à caractère personnel

Recommandation n° 5 – Déconcentrer les moyens d’actions de la CNIL par la création d’antennes interrégionales

Recommandation n° 6 – Renforcer la capacité d’expertise et de contrôle de la CNIL

Recommandation n° 7 – Rendre obligatoires les correspondants informatique et libertés pour les structures publiques et privées de plus de cinquante salariés

Recommandation n° 8 – Rendre publiques les audiences et les décisions de la formation restreinte de la CNIL

COMPL°TER LE CADRE JURIDIQUE ACTUEL

Recommandation n° 9 – Soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles

Recommandation n° 10 – Affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel

Recommandation n° 11 – Créer a minima une obligation de notification des failles de sécurité auprès de la CNIL

Recommandation n° 12 – Réunir sous une seule autorité, la CNIL, les compétences d’autorisation et de contrôle en matière de vidéosurveillance

Recommandation n° 13 – Réserver au législateur la compétence exclusive pour créer un fichier de police

Recommandation n° 14 – Réfléchir à la création d’un droit à  » l’hétéronymat  » et d’un droit à l’oubli

Recommandation n° 15 – Inscrire dans notre texte constitutionnel la notion de droit au respect de la vie privée

Partager sur les réseaux sociaux

Articles liés