Gou­ver­ne­ment fédé­ral alle­mand : appro­che rela­ti­ve pour la qua­li­fi­ca­ti­on de don­nées per­son­nel­les (adres­ses IP)

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • Le PFPDT con­sidè­re les adres­ses IP dyna­mi­ques com­me des don­nées per­son­nel­les, car elles peu­vent con­tri­buer à l’é­ta­blis­se­ment de pro­fils de la per­son­na­li­té et à l’identification.
  • Le Tri­bu­nal fédé­ral suit une appro­che de déter­mina­bi­li­té rela­ti­ve : ce qui est déter­mi­nant, ce sont les pos­si­bi­li­tés d’i­den­ti­fi­ca­ti­on et les inté­rêts du pro­prié­tai­re ou du desti­na­tai­re des données.
  • L’ef­fet juri­di­que s’é­tend éga­le­ment aux coll­ec­teurs et dif­fu­seurs de don­nées ; la loi sur la pro­tec­tion des don­nées s’ap­pli­que si le desti­na­tai­re peut iden­ti­fier les per­son­nes con­cer­nées après la trans­mis­si­on des données.

Les adres­ses IP dyna­mi­ques sont-elles des don­nées per­son­nel­les ? Pour le PFPDT (outils d’éva­lua­ti­on pour les sites web) oui

Du point de vue de la pro­tec­tion des don­nées, de nombreux ser­vices de web­track­ing con­nus posent pro­blè­me. L’ana­ly­se de l’uti­li­sa­ti­on d’In­ter­net per­met, dans cer­tai­nes cir­con­stances, d’ob­te­nir des pro­fils de la per­son­na­li­té au sens de la loi sur la pro­tec­tion des don­nées. Même si seu­le l’adres­se IP d’un uti­li­sa­teur est trai­tée, cela est per­ti­nent du point de vue de la pro­tec­tion des don­nées, car l’adres­se IP doit en prin­ci­pe être qua­li­fi­ée de don­née personnelle.

Le site Tri­bu­nal fédé­ral (dans l’af­fai­re Logi­step) défend en revan­che une appro­che rela­ti­ve : pour la déter­mina­bi­li­té, il faut se baser sur les pos­si­bi­li­tés et les inté­rêts du déten­teur (ou du desti­na­tai­re) respec­tif des données.

3.4 La que­sti­on de savoir si une infor­ma­ti­on peut être mise en rela­ti­on avec une per­son­ne sur la base d’in­di­ca­ti­ons sup­p­lé­men­tai­res, et donc si l’in­for­ma­ti­on se rap­por­te à une per­son­ne iden­ti­fia­ble (art. 3, let. a LPD), s’ap­pré­cie du point de vue du déten­teur respec­tif de l’in­for­ma­ti­on (ROSENTHAL, op. cit., N. 20 ad art. 3 LPD ; WEBER/FERCSIK SCHNYDER, op. cit.) Dans le cas de la trans­mis­si­on d’in­for­ma­ti­ons, il suf­fit que le desti­na­tai­re soit en mesu­re d’i­den­ti­fier la per­son­ne con­cer­née. ROSENTHAL cite à cet égard l’exemp­le d’un artic­le de jour­nal sur l’ac­ci­dent d’un poli­ti­ci­en local dont le nom n’est pas men­ti­onné. Dans la mesu­re où une par­tie du lec­to­rat peut dédui­re l’i­den­ti­té de la per­son­ne con­cer­née (éven­tu­el­le­ment à l’ai­de de recher­ches sup­p­lé­men­tai­res), la publi­ca­ti­on con­sti­tue de leur point de vue une com­mu­ni­ca­ti­on de don­nées per­son­nel­les, selon l’ar­gu­men­ta­ti­on con­vain­can­te de l’au­teur (ROSENTHAL, op. cit., N. 30 ad art. 3 LPD ; cf. éga­le­ment art. 3 let. e LPD). Dans le cas pré­sent, cela signi­fie qu’il n’est pas néces­saire que les auteurs de la vio­la­ti­on du droit d’au­teur soi­ent déjà iden­ti­fi­a­bles par l’in­ti­mée. Il suf­fit qu’ils le devi­en­nent après la trans­mis­si­on des don­nées cor­re­spond­an­tes aux titu­lai­res des droits d’au­teur. Si tel est le cas (voir ci-après), la loi sur la pro­tec­tion des don­nées s’ap­pli­que éga­le­ment à l’in­ti­mée elle-même. En déci­der autre­ment revi­en­drait à n’ap­pli­quer la loi sur la pro­tec­tion des don­nées qu’aux desti­na­tai­res indi­vi­du­els, et non à la per­son­ne qui coll­ec­te les don­nées en que­sti­on et les dif­fu­se. Cela irait à l’en­cont­re de l’ob­jec­tif de la loi.

Cet­te appro­che est désor­mais éga­le­ment défen­due par le gou­ver­ne­ment fédé­ral alle­mand dans une pri­se de posi­ti­on sur le pro­jet de loi sur la pro­tec­tion des don­nées. affai­re Brey­er pen­dan­te devant la CJCE: