La position du Tribunal Fédéral Suisse sur le statut de l’adresse IP

/ /
Publié le 24 février 2011
Par .

De par son caractère public, individuel et unique, l’adresse IP attribuée à chaque équipement connecté au réseau internet fait débat au sein de la communauté Européenne notamment en ce qui concerne sa qualification de « donnée à caractère personnel ». Le Tribunal Administratif Fédéral (TAF) de Berne a, quant à lui, tranché la question dans un arrêt…

De par son caractère public, individuel et unique, l’adresse IP attribuée à chaque équipement connecté au réseau internet fait débat au sein de la communauté Européenne notamment en ce qui concerne sa qualification de « donnée à caractère personnel ». Le Tribunal Administratif Fédéral (TAF) de Berne a, quant à lui, tranché la question dans un arrêt en date du 08 septembre 2010 où il considère que l’adresse IP fait bien partie de la sphère privée. (1)

 

FAITS

La société Logistep, basée à Steinhausen dans le canton de Zug en Suisse, collectait systématiquement sur Internet et sans mandat des ayants droit les adresses IP des internautes utilisant les réseaux Peer to Peer (P2P). Les ayants droit adressaient aux contrevenants une lettre de mise en demeure par l’intermédiaire d’un cabinet d’avocat leur proposant un règlement à l’amiable sous peine d’en informer les autorités compétentes (HADOPI en France) (2). Le PFPDT (Préposé Fédéral à la Protection des Données et à la Transparence) en Suisse, la CNIL en France (3) et la GPDP (Garante per la Protezione dei Dati Personali) en Italie (4) se sont insurgés contre ces pratiques qu’elles considéraient comme illicites en raison du fait que Logistep ne respectait pas les principes fondamentaux de la collecte des données personnelles : finalité, transparence, licéité, proportionnalité et bonne foi.

 

ACTE I

En janvier 2008, le préposé fédéral a émis une recommandation demandant à Logistep de cesser ses activités de recherche sur les réseaux P2P, en attendant que le législateur définisse une base légale. Mais Logistep, a refusé de suivre la recommandation du PFPDT.

 

ACTE II

Le TAF de Berne saisi par le PFPDT le 27 mai 2009, le déboute de sa demande. Il reconnait que l’activité de Logistep est contestable mais considère que la fin justifie les moyens (5). Le tribunal estime en effet que le recours à un tel procédé constitue la seule solution pour lutter contre le piratage. Selon le tribunal, une base légale explicite n’est pas indispensable dès lors que Logistep agit dans un cadre purement privé. De surcroît, il considère que la lutte contre la contrefaçon l’emporte sur l’intérêt privé des internautes à protéger leurs données. Ce verdict était susceptible de faire l’objet d’un recours auprès du TAF dans les 30 jours.

 

ACTE III

Le préposé, contestant le verdict du TAF, a formé recours au tribunal fédéral. (6) Le TAF admet, dans un arrêt en date du 08 septembre 2010, que « les adresses IP constituaient des données personnelles et relevaient comme telles, de la loi sur la protection des données » (7). Les juges ont également considéré, à la majorité, que les recherches secrètes et la collecte des adresses IP par des sociétés privées sont illicites, « aucun motif ne justifiant une telle pratique. » (8)

 

Le tribunal interdit donc à Logistep la collecte et la transmission des données personnelles. Le Préposé fédéral à la protection des données et à la transparence souligne que « cet arrêt n’entend pas protéger les auteurs d’infractions. Il faut assurément pouvoir réprimer les violations des droits d’auteur sur Internet. La loi sur la protection des données n’assure aucune protection contre les actions illégales. Cependant, la poursuite doit être conforme à la loi et le présent arrêt du Tribunal fédéral pose une limite précise à la recherche arbitraire de données relevant de la sphère privée sur Internet.» (9) La société Logistep se voit désormais contrainte de déménager ses activités vers un paradis juridique, en dehors du territoire helvète sous peine de poursuites pénales.

 

DÉBAT

Le débat reste cependant ouvert en France et dans la communauté européenne, qualifier l’adresse IP de donnée à caractère personnel revient à admettre qu’elle identifie une personne physique particulière. Néanmoins dans le cas de lieux publics d’accès à internet ce sont plusieurs personnes qui accèdent simultanément à la toile moyennant une seule et unique adresse IP. La jurisprudence française, a statué à plusieurs reprises sur cet aspect juridique de l’adresse IP en la qualifiant de donnée à caractère personnel. (7) (8) Les CNIL européennes considèrent, elles aussi, que l’adresse IP attribuée à un internaute constitue bel et bien une « donnée à caractère personnel » (9). Aux termes de l’article 2 de la loi informatique et libertés : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Ceci revient à admettre que l’adresse IP est une donnée à caractère personnel à partir du moment où elle sert à identifier une personne physique au même titre que la plaque d’immatriculation d’une voiture ou le numéro de sécurité sociale.  Il en va de la protection de la vie privée des citoyens et de leurs libertés individuelles sur Internet. Pourtant, la Cour d’appel de Paris s’est à ce jour prononcée contre le caractère privé de l’adresse IP dans ses décisions du 27 avril 2007 (10) et du 15 mai 2007 (11).

 

Au niveau européen, la CJCE a reconnu dans son arrêt du 29 janvier 2008 l’adresse IP comme donnée à caractère personnel (12) alors que l’article 2 de la directive 2006/24/CE vise le statut de l’adresse IP en définissant les données à conserver comme les « données relatives au trafic et les données de localisation, ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur » (13). L’article 5 de la même directive 2006/24/CE indique qu’il s’agit des « données nécessaires pour retrouver et identifier la source, la destination, la date, l’heure et la durée d’une communication. Cela concerne, notamment, le numéro de téléphone attribué à toute communication ; les nom et adresse des abonnés, ainsi que leur l’adresse IP (protocole Internet) ». (13)

 

Dans ces conditions, il est fort probable que la décision du TAF de Berne donne des suites parmi les autres états membres de l’Union européenne.

 

Claude MOURADIAN
Master II NTIC, Versailles – St. Quentin, promotion 2010-2011

claude [dot] mouradian [at] free [dot] fr

 

————————————–

 

(1) Arrêt  en appel du Tribunal fédéral du 08 septembre 2010 : Affaire Razorback c/ Logistep

(2) TGI de Paris – ordonnance en référé du 24 décembre 2007 Techland c/ France Telecom et autres

(3) Numérama – Affaire Techland 11 juillet 2007

(4) Communiqué du GPDP du 28 février 2008 relatif aux activités de Logistep

(5) Arrêt du Tribunal Fédéral A-3144/2008 du 27 mai 2009 : Affaire PFPDT c/ Logistep

(6) Recours Arrêt A-3144/2008 du 29 juin 2009 : Maître Fanti Avocat au Barreau du Valais

(7) Cour de Cassation – Chambre criminelle – 4 avril 2007

(8) Cour de Cassation – Chambre criminelle – 5 septembre 2007

(9) Communiqué de la CNIL en date du 02 août 2007

(10) Cour d’appel de Paris, 13ème chambre, section B Arrêt du 27 avril 2007

(11) Cour d’appel de Paris 13ème chambre, section A Arrêt du 15 mai 2007

(12) CJCE – Promusicae / SAU telefonica – 29 janvier 2008

(13) Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE