CJUE : les adresses IP dynamiques doivent être considérées comme des données personnelles
CJUE : les adresses IP dynamiques doivent être considérées comme des données personnelles
et peuvent donc être sujettes aux droits de protection des données
Mise à jour du 22 / 10 / 2016 : la CJUE estime que les adresses IP dynamiques doivent être considérées comme des données personnelles
La Cour de justice de l’union européenne a confirmé l’avis de l’un de ses avocats généraux, Campos Sánchez-Bordona, qui a estimé que les adresses dynamiques IP font partie des données personnelles des utilisateurs. Par conséquent, elles peuvent être sujettes au droit des protections des données.
Sur la seconde question posée à la CJUE quant à l’interprétation de l’article 7 de la Directive 95/46/CE sur le Traitement des données à caractère personnel, la CJUE a avancé que « le traitement de données à caractère personnel est licite s’’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée” ».
Source : CJUE
De nombreuses institutions publiques allemandes ont des portails internet accessibles au public sur lesquels elles fournissent des informations actualisées. Les autorités soutiennent que, afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les pirates, la plupart de ces portails enregistrent toutes les consultations dans des fichiers ou registres de protocole. Y sont conservés, y compris après la fin de la session, le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été faite.
Patrick Breyer, qui a consulté plusieurs des sites mentionnés, a intenté un procès contre le gouvernement allemand. Dans son recours, il a demandé à ce que la République fédérale d’Allemagne soit condamnée à cesser d’enregistrer ou de faire enregistrer par des tiers l’adresse IP du système hôte à partir duquel la consultation a eu lieu, dans la mesure où cela n’est pas nécessaire aux fins du rétablissement de la disponibilité du média électronique en cas de dérangement.
Il est convaincu qu’il devrait exister un droit de naviguer sur internet de façon anonyme si telle est la volonté de l’utilisateur. Si les éditeurs de sites traquent les activités des utilisateurs pour des raisons commerciales, mais également pour améliorer l’expérience utilisateur sur le site, ces données sont également fournies aux forces de l’ordre lorsqu’elles en émettent la demande via le canal judiciaire.
« Interdire aux gouvernements et aux géants de l’internet d’établir des enregistrements identifiables de nos habitudes en ligne est le seul moyen de protéger efficacement nos intérêts et vies privés, pour prévenir les avis d’infraction erronés ainsi que les faux soupçons. Les adresses IP se sont révélées être extrêmement sujettes à erreur et non fiables pour ce qui concerne l’identification des utilisateurs. Aussi longtemps que la navigation sur internet pourra donner lieu à des poursuites, il n’y aura pas de réelle liberté d'information et d'expression en ligne », a-t-il déclaré.
Et de poursuivre en disant « personne n’a le droit d’enregistrer ce que nous faisons et disons en ligne. La génération internet a le droit d’avoir accès à l’information en ligne de la même façon que nos parents écoutent la radio ou lisent les journaux sans surveillance et sans inhibition ».
Son recours a été rejeté en première instance. Il a toutefois été partiellement fait droit à son recours en appel, la République fédérale ayant été condamnée à cesser l’enregistrement après la fin de chaque session. L’ordre de cessation a été subordonné au fait que le requérant ait fourni ses données à caractère personnel pendant une session, y compris sous la forme d’une adresse électronique, et au caractère non nécessaire de l’enregistrement aux fins du rétablissement de la disponibilité du média électronique.
Deux questions ont été posées aux deux parties, notamment :
- l’article 2, sous a), de la directive 95/46/CE […] doit‑il être interprété en ce sens qu’une adresse de protocole internet (adresse IP) qui est enregistrée par un fournisseur de services à l’occasion d’un accès à son site internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée ?
- l’article 7, sous f), de la directive 95/46 s’oppose-t-il à une disposition de droit national en vertu de laquelle le fournisseur de services ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur sans le consentement de celui-ci que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média électronique par l’utilisateur en question et en vertu de laquelle la finalité consistant à garantir la capacité générale de fonctionnement du média électronique ne peut pas justifier l’utilisation des données après la fin de la session en cours ?
Pour Manuel Campos Sánchez-Bordona, avocat général de la Cour de justice européenne, « l’adresse IP dynamique doit être considérée comme étant une donnée à caractère personnel pour le fournisseur de services internet, compte tenu de l’existence d’un tiers (le fournisseur d’accès au réseau) auquel le premier peut raisonnablement s’adresser pour obtenir des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier un utilisateur ».
Concernant la seconde question, il précise tout d’abord que « avant de répondre, il convient d’apporter une précision sur l’information donnée par le Bundesgerichtshof (Cour fédérale de justice), selon laquelle les données litigieuses sont conservées afin de garantir le bon fonctionnement des sites internet en cause dans la procédure au principal, rendant le cas échéant possibles les poursuites pénales contre les attaques cybernétiques dont ces sites pourraient faire l’objet ». L’avocat général n’a pas précisé dans sa conclusion si les opérateurs de sites web pouvaient retenir les adresses IP des visiteurs ou si le droit à la confidentialité des utilisateurs devait prévaloir.
« L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens que l’objectif visant à garantir le fonctionnement du média électronique peut, en principe, être considéré comme un intérêt légitime, dont la réalisation justifie le traitement de cette donnée à caractère personnel, pour autant qu’il prévale sur l’intérêt ou les droits fondamentaux de la personne concernée. Une disposition nationale qui ne permettrait pas de prendre en compte cet intérêt légitime ne serait pas conforme à la disposition précitée », a-t-il estimé.
Breyer estime que la Commission européenne gagnerait à agir plus rapidement à voter des lois qui protègent la vie privée en ligne : « la Commission devrait modifier la législation européenne pour interdire expressément tout enregistrement de masse de notre utilisation d'internet par les opérateurs de site. L'Europe devrait rejeter l’impitoyable méthode de la NSA qui consiste à « recueillir tout » et de faire respecter notre droit à la liberté d'information et d'expression à l'ère numérique [...] Ce harcèlement internet est à peu près aussi utile que d'accrocher une caméra de vidéo-surveillance à côté d'une porte de l'entrepôt ouvert. Nous avons besoin de sécuriser les systèmes informatiques, pas un soupçon général porté sur 400 millions d'utilisateurs d'internet en Europe ».
Source : CJUE
Répondre avec citation
Envoyé par Marwindows
Partager