L’adresse IP dynamique : une donnée personnelle sous conditions

Par un arrêt du 19 octobre 2016, la CJUE, statuant sur question préjudicielle du juge allemand, a jugé qu’une adresse IP “dynamique”, enregistrée par un fournisseur de services de média en ligne lors de la consultation par une personne d’un site internet qu’il rend accessible au public, constituait une donnée à caractère personnel dès lors que ledit fournisseur disposait de “moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne”. La Cour a également jugé que la continuité de fonctionnement de ces services pouvait constituer un intérêt légitime justifiant un tel traitement au sens de l’article 7 f) de la directive de 1995 sur les données personnelles.

Pour lire l’arrêt de la CJUE

Autorisation préalable de la CNIL requise pour la communication de données relatives à une infraction

Par une ordonnance de référé du 10 août 2016, le Président du TGI de Meaux a rejeté la demande d’une société tendant à obtenir la communication, par un fournisseur d’accès, de données permettant d’identifier l’auteur potentiel d’une infraction à partir de son adresse IP, que le service informatique de la société demanderesse avait préalablement identifiée. Le Président a en effet relevé que “la collecte de l’adresse IP en vue d’obtenir l’identification de l’auteur d’une infraction pénale” constituait un traitement de données à caractère personnel relatives à des infractions, si bien qu’en l’absence d’autorisation préalable de la CNIL, une telle mesure “ne [pouvait] pas être considérée comme légalement admissible”. Le Président a en outre jugé que les données permettant l’identification de l’auteur d’emails ne pouvaient être communiquées ni à la société, ni au juge des référés, dans la mesure où elles constituaient des données de trafic ne pouvant être communiquées qu’à l’autorité judiciaire chargée de la poursuite de l’infraction ou à l’HADOPI.

Pour lire l’ordonnance sur Legalis.net

Effacement d’adresses IP : obligation légale des FAI respectée

Après avoir été débouté en référé par le Président du Tribunal de commerce de Paris de sa demande de se voir communiquer l’adresse IP d’un internaute proposant sur un forum le téléchargement gratuit d’une revue automobile, l’éditeur de la revue a interjeté appel. Dans un arrêt du 15 décembre 2015, la Cour d’appel de Paris a jugé que l’envoi d’un courrier à un FAI lui demandant les coordonnées des personnes à qui ont été attribuées les adresses IP "ne [pouvait] être assimilé à l’injonction judiciaire prévue à l’article L. 34-1 du Code des postes et télécommunications", seule exception permettant de différer d’une année l’obligation des FAI d’effacer les données de connexion. Par conséquent, la Cour a confirmé l’ordonnance de référé considérant qu’"en supprimant (…) les données personnelles liées à l’adresse IP litigieuse enregistrées [un an après la] date de la connexion la plus récente, [les FAI] ont respecté l’obligation légale à laquelle [ils] étaient astreints".

 Pour lire l’arrêt sur Legalis.net

Droit d’accès aux logs de connexion incluant des adresses IP

Par une ordonnance en référé du 17 juillet 2014, le TGI de Paris a fait droit à la demande d’une cliente d’un établissement bancaire d’accéder à l’historique des logs de connexion à ses comptes. En l’espèce, la cliente avait été mise en copie d’un email de la banque l’informant que son compte était débiteur, alors que le destinataire principal était un tiers. Suspectant une intrusion frauduleuse dans ses comptes en ligne, elle a demandé à la banque de lui fournir les logs de connexion, incluant les adresses IP. Toutefois, la banque estimait que les données en cause étaient celles du tiers et refusait donc d'accéder à sa demande. Le TGI a considéré "qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge[ait] sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite".

Pour lire l'ordonnance sur Legalis.net

Insuffisance de l’adresse IP pour identifier l’auteur d’une suppression de contenus

Dans un arrêt du 3 octobre 2013, la Cour d’appel de Paris a débouté une société spécialisée dans la monétisation des audiences numériques de sa demande en dommages et intérêts contre un de ses concurrents. La demanderesse suspectait son concurrent d’être à l’origine de la suppression des références à son site internet sur plusieurs pages Wikipédia et Boku relatives à l’activité de micropaiement. La Cour a considéré qu’elle « n’apport[ait] aucun élément circonstancié permettant de retenir la [défenderesse] comme étant l’auteur d’une intervention ayant eu pour objet de supprimer » les contenus litigieux. Elle a ainsi retenu que « la seule mention d’une adresse IP […] sur des documents non authentifiés » constituait une preuve insuffisante pour démontrer la réalité des faits allégués.

Pour lire l’arrêt sur Legalis.net

Refus de communication des données d’identification par un FAI

Dans une ordonnance du 30 janvier 2013, le président du TGI de Paris a condamné un FAI pour ne pas avoir fourni les données d’identification correspondant à une adresse IP contrefaisante. Le FAI, pour justifier son refus, arguait qu’il ne pouvait dévoiler ces informations que pour la recherche, la constatation et la poursuite d’infractions pénales (article 34-1 du Code des postes et communications électroniques). Le président a fait prévaloir la LCEN selon laquelle les FAI ont une obligation de conservation et de communication de ces données sur demande de l’autorité judiciaire, cette obligation ne se limitant pas aux infractions pénales.

Pour lire la décision sur Legalis.net.

Validation par la CJUE de la communication des adresses IP pour les ayants droits

La CJUE a été saisie par la Cour Suprême de Suède afin de savoir si le droit communautaire s'opposait ou non à ce qu'un Fournisseur d'Accès à Internet soit contraint, par une législation nationale et dans le cadre de poursuites pour atteinte au droit d'auteur, à fournir l'identité d'un abonné à un ayant droit, à partir de son adresse IP. Par un arrêt du 19 avril 2012, la CJUE a considéré que le droit communautaire doit être interprété comme n'excluant pas l'application d’une telle loi nationale, à condition d’assurer un juste équilibre entre les différents droits fondamentaux des personnes concernées.

Pour lire la décision sur le site de la CJUE

Rapport sénatorial relatif à la vie privée dans la société de l’information

Un rapport intitulé "La vie privée à l'heure des mémoires numériques ; pour une confiance renforcée entre citoyens et société de l'information" a été présenté le 3 juin 2009 par deux sénateurs, Monsieur Yves Détraigne et Madame Anne-Marie Escoffier. Ce rapport soutient que le développement de la société de l’information et des techniques de collecte des données menace le droit à la vie privée. Il préconise un renforcement des pouvoirs de la CNIL ainsi qu’une révision du cadre juridique actuel. Il retient que l’adresse IP doit être considérée comme une donnée à caractère personnel. Le rapport sur le site du Sénat

Confirmation de la légalité des fermetures de comptes par un site de courtage en ligne

Dans un arrêt du 5 mai 2009, la chambre commerciale de la Cour de cassation a confirmé la légalité de la fermeture de comptes destinés à la vente sur son site de courtage par la société eBay. En effet, la société de courtage en ligne avait décidé de suspendre sans préavis l’accès aux comptes d’une société après avoir constaté qu’elle était constituée par les mêmes associés, hébergée par le même serveur et détentrice de la même adresse IP qu’une autre société vendant les mêmes produits dont elle avait déjà fermé les comptes en raison d'évaluations négatives des clients. Les juges ont conclu que la société eBay pouvait légitimement penser que les comptes ouverts constituaient un moyen de contourner l'interdiction résultant de la suspension des comptes de la première société. La Cour de cassation a en outre justifié sa décision par le fait que les conditions générales de vente prévoyaient la faculté pour eBay de suspendre sans préavis des comptes utilisateurs en cas de violation desdites conditions. L'arrêt sur le site de Légifrance