Données personnelles : les adresses IP enfin qualifiées

Les adresses IP (Internet Protocol) sont des numéros d’identification permanents ou provisoires attribués individuellement aux appareils des utilisateurs connectés à un réseau. Jusqu’ici collectées sans autorisation, elles sont aujourd’hui doublement protégées par la Cour de justice européenne et par la Cour de cassation.

Désormais, les adresses IP dynamiques, enregistrées à chaque connexion sur un site web par le fournisseur d’accès à Internet, sont des données personnelles. Bien qu’elles n’identifient pas directement les utilisateurs, elles constituent des “moyens d’identification indirecte”. Elles font donc partie de notre identité numérique. Au même titre, les adresses statiques entrent dans cette catégorie, ce qui assure une véritable avancée dans la prise en compte de la sécurité des utilisateurs en ligne par les juges nationaux et européens.

Les décisions de la Cour de justice de l’Union européenne du 19 octobre 2016 et du 3 novembre 2016 ont attribué une définition juridique à une notion trop souvent concernée comme inconsistante mais qui revêt désormais un caractère bien réel.

Dès lors, la Cour impose, s’agissant des adresses IP, que le droit de l’Union européen s’oppose à “une réglementation d’un Etat membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur.

Autrement dit, l’Union européenne encadre la collecte et l’utilisation de telles données sans le consentement des utilisateurs. Avec cette décision, la CJUE garantit aux citoyens européens une connexion sereine et encadrée.