Les adresses IP sont des données à caractère personnel dont le traitement doit être déclaré à la CNIL

La Cour de cassation a rendu un arrêt sur la question de savoir si les adresses IP constituent des données à caractère personnel au sens de la loi Informatique et libertés. Elle répond par la positive.

Dans cette affaire, trois sociétés appartenant au Groupe Logisneuf, exerçant une activité de transaction et de promotion immobilière, avaient constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site Internet appartenant au groupe Logisneuf.

Ce constat faisait suite au licenciement et à la démission de plusieurs salariés du groupe Logisneuf, lesquels avaient rejoint une société concurrente.

Les sociétés du groupe Logisneuf ont alors déposé une requête auprès du Président du Tribunal de commerce de Nantes, lequel a par ordonnance, donné injonction à différents fournisseurs d’accès à Internet de communiquer aux sociétés du groupe Logisneuf les identités des titulaires des adresses IP litigieuses.

La société concurrente, au sein de laquelle les anciens salariés du groupe Logisneuf travaillaient, a effectué une demande en rétractation d’ordonnance, laquelle a été confirmé par le Président du Tribunal de commerce de Nantes. Ils ont interjeté appel de l’ordonnance devant la Cour d’appel de Rennes.

La société concurrente remettait en cause la compétence matérielle du Tribunal de commerce. Elle  considérait que, dès lors que la demande portait sur la communication d’adresses IP, qu’elle qualifie de données à caractère personnel, relevant de la vie privée et donc soumises au régime de la loi Informatique et libertés, la demande aurait dû être sollicitée auprès du Tribunal de grande Instance et non auprès du Tribunal de commerce. 

Rappelons qu’en application de l’article 2 de la Loi Informatique et Liberté, constitue :

– une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

– un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

La Cour d’appel ne fait pas siens les arguments de la société concurrente et confirme l’ordonnance rendue par le Tribunal de commerce : le relevé d’adresses IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens de la Loi Informatique et Liberté.

La Cour d’appel considère en effet que les adresses IP, qui sont constituées de séries de chiffres ne sont pas des données, même indirectement, nominatives, dès lors qu’elles ne se rapportent qu’à un ordinateur et non à un utilisateur. 

Selon la Cour, « Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d’adresses IP d’ordinateurs qui ont été connectées sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel. »

La Cour de cassation, saisie d’un pourvoi formé par la société concurrente, casse l’arrêt rendu par la Cour d’appel de Rennes qu’en considérant que les adresses IP n’étaient pas des données à caractère personnel, la Cour d’appel a violé les textes de la Loi Informatique et Liberté.

Selon la Haute juridiction, les adresses IP permettent d’identifier indirectement des personnes physiques. Ce sont donc des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable à la CNIL.

(Cass. Civ. 1ère, 3 nov.2016, pourvoi n° 15-22595).