- La CJUE décide dans l’affaire Breyer que les adresses IP dynamiques doivent être qualifiées selon une approche relative.
- Pour les fournisseurs, les adresses IP ne sont considérées comme des données personnelles que s’ils disposent de moyens légaux d’identification par le biais d’informations supplémentaires.
- La directive 95/46 autorise également la conservation des adresses IP à d’autres fins, justifiées au cas par cas, et pas seulement pour l’exécution des contrats.
- La TMG allemande (§15 al.1) est trop stricte et incompatible avec la directive ; la Suisse applique déjà une approche relative (Logistep).
La CJUE a rendu aujourd’hui, 19 octobre 2016, son arrêt dans l’affaire Breyer c. Allemagne (affaire C‑582/14).. La CJCE y affirme qu’une approche relative s’applique à la qualification des adresses IP dynamiques, c’est-à-dire que pour le fournisseur d’un service Internet, une telle adresse IP n’est une donnée personnelle que si le fournisseur est en mesure de déterminer l’identité du titulaire de la connexion.
L’arrêt a été rendu suite à une saisine de la Cour fédérale de justice allemande, qui avait posé les questions suivantes à la CJCE (procédure VI ZR 135/13) :
Questions de présentation
- L’article 2, sous a), de la directive 95/46 doit-il être interprété en ce sens qu’une adresse IP qu’un fournisseur de services de médias en ligne enregistre dans le cadre d’un accès à son site Internet, pour ce constitue déjà une donnée à caractère personnel lorsque un tiers (en l’occurrence : le fournisseur d’accès) dispose des connaissances supplémentaires nécessaires pour identifier la personne concernée ?
- L’article 7, sous f), de la directive 95/46 s’oppose-t-il à une disposition de droit national selon laquelle le fournisseur de services de médias en ligne ne peut collecter et utiliser les données à caractère personnel d’un utilisateur sans le consentement de celui-ci que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du télémédia par l’utilisateur concerné et selon laquelle l’objectif de garantir le fonctionnement général du télémédia ne peut justifier l’utilisation au-delà de la fin de l’opération d’utilisation concernée ?
Nous avons parlé dans la même affaire de Prise de position du gouvernement fédéral allemand et sur les Conclusions de l’avocat général rapporte.
Considérations
Situation initiale : considérations de la Cour fédérale de justice sur l’approche absolue ou relative
La CJCE résume comme suit les indications de la BGH sur la qualification des adresses IP dynamiques :
23 La juridiction de renvoi expose que les adresses IP dynamiques de l’ordinateur de M. Breyer enregistrées par la République fédérale d’Allemagne, agissant en tant que fournisseur de services de médias en ligne, doivent être considérées, à tout le moins dans le contexte des autres données enregistrées dans les fichiers journaux, comme des données individuelles relatives à la situation matérielle de M. Breyer, dès lors qu’elles renseignent sur le fait que celui-ci a consulté certaines pages ou certains fichiers sur Internet à des moments déterminés.
24 Or, les données ainsi enregistrées ne permettaient pas, par elles-mêmes, de déduire directement l’identité de M. Breyer. En effet, les exploitants des sites en cause au principal ne pourraient déterminer l’identité de M. Breyer que si le fournisseur d’accès à Internet de ce dernier leur transmettait des informations relatives à l’identité de cet utilisateur.. La qualification de ces données en tant que “données à caractère personnel” dépend donc de la question de savoir si l’identité de M. Breyer était identifiable.
25 Il existe une controverse doctrinale sur la question de savoir si, pour déterminer si une personne est identifiable, il faut se baser sur un critère “objectif” ou “relatif”. L’application d’un critère “objectif” aurait pour conséquence que des données telles que les adresses IP en cause au principal pourraient être considérées comme personnelles après la consultation des sites concernés, même si seul un tiers est en mesure d’établir l’identité de la personne concernée. En l’occurrence, le tiers serait, en l’espèce, le fournisseur d’accès à Internet de M. Breyer, qui aurait enregistré des données supplémentaires permettant d’identifier M. Breyer à partir des adresses IP. Selon un critère “relatif”, ces données pourraient être considérées comme personnelles pour un organisme tel que le fournisseur d’accès à Internet de M. Breyer, car elles permettent d’identifier précisément l’utilisateur […], alors qu’elles ne le seraient pas pour un autre organisme tel que l’exploitant des sites Internet consultés par M. Breyer, car, dans la mesure où M. Breyer n’a pas fourni d’informations personnelles lors de la consultation de ces sites, cet exploitant ne disposerait pas des informations nécessaires pour l’identifier sans effort disproportionné.
Considérations de la CJCE sur la qualification de date personnelle
La CJCE se base sur la définition légale des données personnelles selon la législation en vigueur. Directive 95/46 de l’Union européenne. Selon cette disposition, une donnée personnelle est une information qui se rapporte à “une personne identifiée ou indirectement identifiable”. Selon le considérant 26 de la directive, “indirectement” signifie qu’il faut tenir compte de tous les moyens qui peuvent raisonnablement être utilisés par le responsable du traitement ou par un tiers pour identifier la personne concernée.
Pour la question qui nous intéresse ici, la CJCE en conclut ce qui suit :
49 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’un adresse IP dynamiqueLes données personnelles sont enregistrées par un fournisseur de services de médias en ligne lorsqu’une personne accède à un site web que ce fournisseur met à la disposition du public, constitue pour le fournisseur une donnée à caractère personnel au sens de ladite disposition s’il dispose de moyens légaux lui permettant de faire identifier la personne concernée sur la base des informations complémentaires dont dispose le fournisseur d’accès à Internet de cette personne.
Pro memoria : En Suisse, la LPD en vigueur prévoit également une approche relative, comme l’indique le Le TF dans la décision Logistep a retenu.
Sur la deuxième question préjudicielle
En ce qui concerne la deuxième question préjudicielle, la CJUE constate que la conservation de l’adresse IP par le fournisseur en vertu de l’article 7, point f), de la directive n’est pas seulement autorisée si elle est nécessaire à l’exécution du contrat avec l’utilisateur. Au contraire, d’autres objectifs peuvent justifier un stockage dans des cas particuliers. Cela exclut § 15 alinéa 1 TMG ne s’applique pas. En ce sens, cette réglementation est trop stricte et incompatible avec la directive.