Les adresses IP sont des données à caractère personnel dont le traitement doit être déclaré à la CNIL
La Cour de cassation a rendu un arrêt sur la question de savoir si les adresses IP constituent des données à caractère personnel au sens de la loi Informatique et libertés. Elle répond par la positive.
Dans cette affaire, trois sociétés appartenant au Groupe Logisneuf, exerçant une activité de transaction et de promotion immobilière, avaient constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site Internet appartenant au groupe Logisneuf.
Ce constat faisait suite au licenciement et à la démission de plusieurs salariés du groupe Logisneuf, lesquels avaient rejoint une société concurrente.
Les sociétés du groupe Logisneuf ont alors déposé une requête auprès du Président du Tribunal de commerce de Nantes, lequel a par ordonnance, donné injonction à différents fournisseurs d’accès à Internet de communiquer aux sociétés du groupe Logisneuf les identités des titulaires des adresses IP litigieuses.
La société concurrente, au sein de laquelle les anciens salariés du groupe Logisneuf travaillaient, a effectué une demande en rétractation d’ordonnance, laquelle a été confirmé par le Président du Tribunal de commerce de Nantes. Ils ont interjeté appel de l’ordonnance devant la Cour d’appel de Rennes.
La société concurrente remettait en cause la compétence matérielle du Tribunal de commerce. Elle considérait que, dès lors que la demande portait sur la communication d’adresses IP, qu’elle qualifie de données à caractère personnel, relevant de la vie privée et donc soumises au régime de la loi Informatique et libertés, la demande aurait dû être sollicitée auprès du Tribunal de grande Instance et non auprès du Tribunal de commerce.
Rappelons qu’en application de l’article 2 de la Loi Informatique et Liberté, constitue :
– une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
– un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »
La Cour d’appel ne fait pas siens les arguments de la société concurrente et confirme l’ordonnance rendue par le Tribunal de commerce : le relevé d’adresses IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens de la Loi Informatique et Liberté.
La Cour d’appel considère en effet que les adresses IP, qui sont constituées de séries de chiffres ne sont pas des données, même indirectement, nominatives, dès lors qu’elles ne se rapportent qu’à un ordinateur et non à un utilisateur.
Selon la Cour, « Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d’adresses IP d’ordinateurs qui ont été connectées sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel. »
La Cour de cassation, saisie d’un pourvoi formé par la société concurrente, casse l’arrêt rendu par la Cour d’appel de Rennes qu’en considérant que les adresses IP n’étaient pas des données à caractère personnel, la Cour d’appel a violé les textes de la Loi Informatique et Liberté.
Selon la Haute juridiction, les adresses IP permettent d’identifier indirectement des personnes physiques. Ce sont donc des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable à la CNIL.
(Cass. Civ. 1ère, 3 nov.2016, pourvoi n° 15-22595).
Découvrez nos services et outils associés
Et les ressources sur le même thème : ""
Réseaux de distribution, Concurrence
The legal risk associated with the issuance of market statements in the dip
Jean-Baptiste Gouache (Lawyer – Partner) Member of the College of Experts of the French Franchise Federation Market status is a point of legal risk for all brands that are required to issue a dip. To master it, it is first necessary to know what a market state is, before setting up the int…
Réseaux de distribution, Concurrence
Franchise or selective distribution: which contract to choose?
Do you want to replicate a proven concept or control the image of your products? The franchise transmits know-how, selective distribution selects resellers. Two logics, a decisive choice for your network.
Réseaux de distribution, Concurrence
How to create and structure a distribution network: legal guide
Do you want to deploy a high-performance and secure distribution network? This legal guide offers you the keys to choosing the right contract (franchise, selective distribution, mandate management, etc.), mastering the steps and avoiding the risks of competition law.
Réseaux de distribution, Concurrence
Entrée en vigueur du Digital Markets Act
Le Digital Markets Act, signé le 14 septembre 2022 et publié au Journal officiel de l’Union européenne le 12 octobre 2022, est partiellement entré en vigueur le 1er novembre 2022. Le 24 mars 2022, le Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord polit…
