Article publié sur Security Vibes le 6 avril 2013

L'adresse IP : une donnée à caractère personnelle... 

la plupart du temps !

La question du statut réel de l’adresse IP est une question qui revient avec obstination sur le devant de la scène juridique et parfois médiatique, alors même que les partisans de chaque camp l’estiment résolue. Avec l’adoption de la proposition de règlement européen sur la protection des données à caractère personnel qui se rapproche, le moment est venu d’un petit rappel sur le sujet.

Précisons en effet qu’à l’origine, l’article 4 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés définissait les données « nominatives » comme « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Modifiée par la loi du 6 août 2004 pour que le droit français se conforme à la directive européenne 1995/46/CE, la donnée « nominative » est devenue « donnée à caractère personnel » (art. 2 de la loi de 1978 ainsi modifiée) et sa définition a été complétée pour préciser cette notion d’identification indirecte : « Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Au plan technique, l’adresse IP permet quant à elle d’identifier, au sein d’un réseau informatique, un terminal (quel que soit son type) utilisant l’ensemble de protocoles TCP/IP pour communiquer avec d’autres terminaux, notamment lors de la connexion à l’internet. Ce numéro, unique pour chaque interface de connexion d’un terminal au sein d’un même réseau, peut être attribué par l’entité gérant la communication des ordinateurs en son sein – dans le cas d’une connexion Internet, cette entité est le Fournisseur d’Accès à Internet ou FAI. L’attribution peut s’opérer de façon dynamique (dans ce cas, l’adresse est donnée lors de chaque connexion à Internet et ne sera conservée que pendant le temps de cette connexion), semi-permanente (fixée pour une durée déterminée) ou permanente : dans ce cas, l’adresse ne varie pas dans le temps même si le terminal est déconnecté puis reconnecté au réseau.

Adresse IP ou adresse ID ?

L’adresse IP est-elle une donnée permettent une identification indirecte au sens de la loi ? Si c’est le cas, les conséquences seront en effet importantes, car le traitement de ces adresses sera soumis au respect de la loi et donc à son formalisme. Il n’est donc pas étonnant de constater que le sujet a été mis en avant à chaque fois que la répression pénale des internautes a été envisagée en masse sur la base de constatations effectuées directement par les victimes de ces actes :

• il en a été ainsi pour le contentieux de la contrefaçon, du fait des téléchargements illicites. Les tribunaux ont considéré à cette occasion que(Cour d’appel de Paris 27 avril 2007, 15 mai 2007, 29 janvier 2008 ; Cour de cassation 13 janvier 2009)refusé les autorisations de mise en place de telles collectes (notamment le 18 octobre 2005 par quatre décisions, avant censure le 23 mai 2007 par le Conseil d’État)
  
• et il faut souligner qu’en février 2013, un sénateur avait déposé un amendement visant à reconnaître que l’adresse IP n’était pas une donnée caractère personnel à l’occasion de la récente discussion sur la proposition de loi « visant à harmoniser les délais de prescription des infractions prévues par la loi sur la liberté de la presse du 29 juillet 1881, commises en raison du sexe, de l'orientation ou de l'identité sexuelle ou du handicap ». Son raisonnement, là aussi, reposait sur le fait que permettre à l’adresse IP d’être protégée par la loi de 1978 (imposant un formalisme dans le recueil et le traitement, rappelons-le) empêcherait l’action judiciaire dans le délai de prescription prévu par loi de 1881 (« Considérer l’adresse IP comme une donnée à caractère privé est une position compréhensible dans le cadre du respect de la vie privée, mais indéfendable dans celui de la loi de 1881, parce qu’on ne peut pas trouver l’auteur de l’infraction… »), étant entendu que « l’exclusion proposée de l’adresse IP du champ des données à caractère personnel ne concernerait bien entendu que la poursuite des infractions visées par le texte qui nous est soumis ».
  

Le raisonnement peut toutefois apparaître quelque peu pervers à des non-juristes, quand il est explicité : l’adresse IP de doit pas être reconnue comme une donnée à caractère personnel, car elle rendrait plus compliquée – pour de purs motifs procéduraux tels que l’autorisation préalable de traitement – l’identification des auteurs des actes et donc in fine le dépôt de plaintes ou les actions civiles. Sans cette protection, cette identification serait possible et la poursuite (pénale ou civile) serait facilitée… étant entendu que justement, si elle rend possible identification des auteurs des actes, l’adresse IP entre par définition dans le champ des données à caractère personnel !

Cette identification rendue possible est la raison pour laquelle, outre la position de la CNIL en ce sens, le Groupe de travail des autorités européennes de protection des données (aussi appelé « Groupe de l’Article 29 ») a considéré que l’adresse IP devait être considérée comme une donnée à caractère personnel. Dans un avis du 20 juin 2007, le Groupe de l’Article 29 a en effet déclaré que l'information qui permet l'identification indirecte d'une personne peut être qualifiée de donnée à caractère personnel compte tenu des moyens mis en œuvre, par le responsable du traitement, pour identifier ladite personne (position implicitement suivie par de la Cour de Justice des Communautés Européennes dans son arrêt Promusicae du 29 janvier 2008).

Évacuons d’emblée un autre contre-argument fantasque : le fait que l’on puisse usurper une adresse IP n’est en rien de nature à l’empêcher d’être une donnée à caractère personnel. On ne demande pas à une telle donnée d’être fiable et de garantir une identification, mais juste de la permettre dans le cadre d’une utilisation classique. Heureusement, car sinon même le traitement des données telles que notre nom, notre adresse ou notre date de naissance ne serait pas protégé par la loi en raison des risques d’usurpation d’identité !

Unité ou multiplicité de l’adresse IP ?

Plus sérieusement, attachons-nous à la réalité de l’adresse IP, telle qu’elle a été notamment mise en avant par la CNIL dans sa délibération du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information, qui l’a décrite comme des « adresses qui constituent l'équivalent d'un numéro minéralogique que le fournisseur d'accès attribue à l'ordinateur utilisé par l'abonné, soit de manière permanente, soit à chacune de ses connexions. La conservation de cette adresse IP permet d'identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexion ».

De cette formulation en effet, certains commentateurs ont pu déduire, le temps passant, que l’adresse IP identifiait un ordinateur, et non l’abonné du fournisseur d’accès. Pourtant, cette immatriculation de l’ordinateur n’est valable qu’à un temps T donné, et qu’en présence d’une adresse IP fixe, l’ordinateur peut être physiquement remplacé à travers le temps de son abonnement : un nouveau terminal utilisé à un moment donné par la même personne ou entité présentera toujours la même IP telle qu’attribuée par le fournisseur d’accès… En effet, ce dernier attribue une adresse à l’abonné en fonction du contrat qui les lie, et non en considération d’un matériel particulier se trouvant derrière le modem ou la box reliée au FAI.

En réalité, la vraie question permettant de déterminer la nature juridique de l’adresse IP est liée à l’adresse en elle-même et à sa nature profonde, les adresses IP pouvant être fondamentalement divisées en deux grandes catégories : les adresses dites « routables » ou encore « publiques » d’une part, permettant à chacun de leur titulaire de directement rendre visible son ordinateur sur le réseau public internet, et les adresses locales, purement internes à un réseau informatique donné d’autre part et qui ne sont destinées qu’à cette utilisation : la même adresse (192.168.0.1 par exemple) peut être utilisée sur des millions de réseaux informatiques différents. Cette distinction est liée à la gestion de la ressource limitée qu’était l’adresse IP dans sa version de protocole 4, raison de son remplacement par la version 6. Et c’est grâce à une « passerelle », qui permet une « translation » c’est-à-dire une correspondance entre une (ou plusieurs) adresse locale et l’adresse routable, que l’utilisateur peut, au sein d’un réseau local, se connecter sur l’internet.

L’adresse IP comme donnée d’identification utile

L’adresse routable donne donc forcément la possibilité de remonter jusqu’à celui – personne physique ou morale – à qui elle a été apparemment attribuée. Le lien entre l’adresse routable partagée et l’IP locale (attribuée à celui qui s’est effectivement connecté au sein du réseau local) dépend en revanche des conditions d’attribution de cette adresse (de façon anonyme et automatique ? après identification préalable et obligatoire ?) par le responsable du réseau local (cybercafé vis-à-vis de ses clients, entreprise vis-à-vis de ses salariés notamment, etc.). D’où l’application de la réglementation liée à la conservation obligatoire des données de connexion à d’autres que les FAI en ayant fait leur profession (cf. art. 34-1 alinéa 2 du CPCE, arrêt de la cour d’appel de Paris du 4 février 2005, etc.).

Si, en raison des développements précédents, seule l’adresse IP locale attribuée en interne pourrait donc être considérée comme n’étant pas toujours une donnée à caractère personnel (tout dépendant des modalités de son attribution), reste que la généralisation du protocole IP version 6 pourrait mettre tout le monde d’accord.

Le futur règlement européen tranchera-t-il toutefois expressément la question de la nature juridique de l’adresse IP ? Renverra-t-il à un acte d’exécution qui pourrait aller jusqu’à faire des distinctions entre IP routable ou local, version 4 ou version 6 ? Des surprises pourraient en tout cas avoir lieu d’ici à l’adoption de ce texte, au vu des enjeux supposés en terme de répression des internautes délinquants, voire des questions de détection des incidents de sécurité (outils SIEM, exploitation Big Data, etc.), d’autant que le considérant 39, dans sa version présentée le 25 janvier 2012, mentionnait spécifiquement que le traitement des données relatifs au trafic à des fins de sécurité des réseaux et des informations, par les CERT notamment, est licite, car constituant bien un « intérêt légitime ».

D’ailleurs, une fois la question de l’adresse IP réglée, d’autres interrogations pourraient naître, qui ne font pas l’objet de tant de médiatisation pour l’heure : qu’en est-il de l’adresse MAC (Media Access Control) ?

Article publié sur Security Vibes le 6 avril 2013 par François Coupez .