La nature juridique de l’adresse IP – Arrêt CA Rennes du 28 avril 2015

Arrêt de la Cour d’Appel de Rennes, Ch. Com., 28 avril 2015

Aux termes d’une décision en date du 6 septembre 2007 le TGI de Saint-Brieuc avait retenu : « l’adresse IP est, au sens strict, un identifiant d’une machine lorsque celle-ci se connecte sur l’Internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée ; un numéro IP associé à un fournisseur d’accès correspond nécessairement à la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaître le nom de l’utilisateur« . (TGI Saint-Brieux, 6 septembre 2007, Ministère public, SCPP, SACEM c/ J.-P). Le Tribunal retenait donc que l’adresse IP était une donnée à caractère personnel.

La Cour d’Appel de Rennes a eu à connaître d’une affaire qui a permis de revenir sur ce point. Les faits sont les suivants : une société a déposé une requête devant le président du Tribunal de Commerce afin d’obtenir des fournisseurs d’accès les identités des titulaires des adresses IP, après avoir constaté sur son réseau interne, la connexion d’ordinateurs ne faisant pas partie de l’entreprise. Il est ressorti de cette mesure ordonnée par le Tribunal que les titulaires des adresses IP faisaient partie d’une société concurrente. Dans le cadre de sa défense, cette dernière en soulevant l’incompétence du Tribunal de Commerce au profit du Tribunal de Grande Instance, s’agissant d’une demande portant sur la communication des données à caractère personnel et relevant de la vie privée. Par ordonnance du 1er juillet 2015, le Président du Tribunal de Commerce a débouté la société concurrente de ses demandes. Les juges du second degré ont confirmé cette décision le 28 avril 2015 en retenant : « le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi Informatique et Libertés du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées […] sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes ne soit fait, ne constitue pas un traitement de données à caractère personnel« .

Cette appréciation de l’adresse IP comme étant constituée d’une série de chiffres et n’étant pas une donnée à caractère personnel reprend des solutions déjà adoptées par la Cour d’Appel de Paris (13ème Ch. Corr. 15 mai 2007), la Cour de Cassation (Cass. Crim. 13 janv. 2009). Pourtant une décision récente fondée sur le droit d’accès prévu par la loi « Informatique et Libertés » (TGI Paris, référé, 7 Juill. 2014), ainsi que la CNIL se sont prononcées en faveur de la reconnaissance de l’adresse IP comme étant une donnée à caractère personnel.

Sous réserve de l’évolution de la jurisprudence, l’interprétation de la Cour d’Appel de Rennes pourrait ouvrir de nouvelles pistes de réflexion sur la conservation de l’adresse IP et sa transmission en tant que telle au juge, comme preuve en cas de fraude externe, sans qu’il soit besoin d’accomplir les formalités CNIL correspondantes. En effet, la collecte d’adresses IP, sans lien avec des personnes physiques, qui sont transmises au tribunal pour qu’il effectue des investigations et procède à des demandes d’identification auprès de FAI, peut être comprise comme n’entrant pas dans le champ d’application de la loi de 1978. Cela serait très utile dans certains cas, notamment l’assurance, dans lesquels la CNIL ne traite pas ce type de fraude.

En conclusion, si cette jurisprudence devait être suivie par d’autres Cours et Tribunaux, les entreprises seraient capables de lutter contre la fraude de manière autonome, l’adresse IP ne constituant pas un traitement de donnée à caractère personnel. Ce qui constituerait une avancée notable dans un domaine, la fraude, qui ne cesse de croître.