Le statut de l’adresse IP (encore) remis en question

Ce qui est bien avec la Justice, c’est que des choses pourtant évidentes mettent du temps à rentrer dans les mœurs des juges. Du coup, on peut médire à leur encontre à moindre frais 🙂

Cour d’appel de Rennes, 28 avril 2015.

Celle-ci nous indique que :

le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau  informatique, une liste d’adresses IP[…], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel.

Je vous épargne le listing de jurisprudences, certaines allant dans le sens de la reconnaissance comme donnée à caractère personnel (CJUE notamment), d’autres non (CA françaises notamment). Prenez un bon bouquin si ce point vous intéresse.

[troll] Ça ne gène pourtant pas les tribunaux de condamner en vertu de la HADOPI, c’est à dire d’identifier un coupable sur la base d’une IP. [/troll]

Ce que je veux souligner dans cet article, c’est ce point précis :

sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait

  • RTFM

Loi n°78-17, article 2 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Je reformule à partir de ce qui est en gras :

Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée indirectement, par référence à  un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont  peut avoir accès toute autre personne.

Le second paragraphe est très intéressant, du coup. Pour déterminer si une personne est identifiable, il faut considérer tous les moyens (illégaux y compris ?) à disposition de toute autre personne. Cela inclut donc les moyens exceptionnels dont peut disposer un petit cercle restreint, du type « enquête judiciaire ».

Or la correspondance IP – abonné est disponible, justement, dans le cadre d’une enquête judiciaire. Et pour le cas d’espèce, l’admin sys de la société mise en cause dispose de logs pour savoir quel salarié est en cause.

Bref, l’argument comme quoi aucun rapprochement entre les IP et les salariés n’est effectivement fait est inopérant. Il suffit qu’il soit possible pour que la loi s’applique.

  • RTFM 2.0

Si vous lisez ce blog, l’extrait du jugement va surement vous laisser un petit arrière-gout. Cet arrière-gout, c’est le pseudonyme. Passons sur le fait que ce concept n’existe pas encore juridiquement en France et au niveau de l’UE. Le projet de Règlement le définit dans son article 4. Ici pour la version du Parlement :

‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

ici pour la version du Conseil Européen :

‘pseudonymisation’ means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Donc un wording un peu différent, mais le fond reste le même : une information est conservée et traitée de façon séparée de tout élément, ou conjonction d’éléments, qui pourraient permettre de la rattacher à quelqu’un.
Le sort d’un traitement qui respecte cette séparation est encore un peu floue (les lobbyistes continuent de s’affronter à ce sujet), mais la ligne de base est que ces données restent des données à caractère personnel. Tout au plus les traitements bénéficieront d’un formalisme allégé.
Donc même en appliquant un régime juridique qui n’est pas encore fixé, nos Juges se sont plantés ^^’
Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s