RGPD : l’adresse IPv4 ne peut pas être une donnée personnelle !

RGPD : l'adresse IPv4 ne peut pas être une donnée personnelle !Il est très étonnant de lire que le RGPD n’a même pas pris soin de définir ce qu’était une donnée à caractère personnel. En procédant de la sorte, le Parlement et le Conseil européens ont donné carte blanche aux États membres et à leurs autorités nationales, à leur cour de Cassation de le faire à leur place. Le souci est que même le Parlement français en transposant le règlement a oublié de le faire dans la loi nationale.

La CNIL a donné une définition extensive – et quelque peu abusive – de ce que pourrait être une donnée personnelle,  : « C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. » Dans les exemples qui agrémentent cette page, la CNIL cite l’adresse IP. Bizarrement, au niveau d’une autre page  parlant de la donnée personnelle, l’honorable institution française oublie de parler de l’adresse IP. En disant tout et son contraire, reprenant l’arrêt n°1184 du 3 novembre 2016 de la cour de cassation, la CNIL est à peu près sûr de ne jamais se tromper.

Concernant l’adresse IPv4, notons que les FAI attribuent régulièrement des adresses différentes à leurs abonnés. Et comme il n’y a strictement aucun outil accessible publiquement, capable de déterminer et l’historique et l’emplacement géographique exact de la connexion, l’adresse IPv4 ne peut à elle seule et/ou de manière indirecte permettre d’identifier une personne physique. Pire, certains FAI, à l’image de Free, à cause de la pénurie d’adresses IPv4, partagent la même adresse entre plusieurs connexions. Doit-on encore évoquer le recours fréquent à des VPN ou l’utilisation du réseau Tor qui octroient une adresse IPv4 partagée d’un pays étranger au point de connexion ? L’objectif est là clairement d’échapper à un processus d’identification par des autorités administratives ou bien au travers d’une procédure judiciaire, dont vous m’accorderez le caractère exceptionnel et dérogatoire. Comment les juges de la cour de cassation ont-ils pu considérer à partir d’un cas totalement atypique que l’adresse IPv4 était une donnée personnelle susceptible d’identifier un Internaute ?

En cas de compromissions de votre adresse IPv4, y aurait-il donc compromission de vos données personnelles ? En quoi, une entreprise disposant de l’adresse IPv4 d’une personne physique serait-elle responsable d’une compromission de données personnelles du fait d’un recoupement possible dans les moteurs de recherche, à cause de traces hypothétiques laissées par négligence de l’internaute ou par manque de respect du RGPD émanant de services et de traitements tiers qu’il aurait utilisés ?

Un exemple concret

Je suis actuellement 60 kilomètres au Nord de Poitiers et voilà les informations de géolocalisation que vous pourrez avoir sur mon point de connexion !!! A part Orange tenue à consigner la trace de ma connexion (téléphone, identifiants, IP, date et heure), comment voulez-vous m’identifier directement ou indirectement à partir de ma seule adresse IPv4 ??? Par les moteurs ? Par le nom résolu de l’adresse ? Vous pourrez savoir qu’à partir de cette adresse, quelqu’un s’est connecté à un site particulier. S’agit-il de mon père, d’un de ses amis, d’une personne de la famille, d’un visiteur ? Personne n’est en capacité de le dire, d’autant qu’il n’y a aucune obligation légale pour les particuliers de consignation des connexions.

RGPD : l'adresse IPv4 ne peut pas être une donnée personnelle !

Juridique  / RGPD 

Commentaires

Si l’adresse IP n’était pas une donnée personnelle, Hadopi ne pourrait pas envoyer de courrier aux pirates. Ce n’est différent des plaques d’immatriculation. Que le commun des mortels ne puisse pas (facilement) accéder à l’identité derrière le numéro ne change rien.

Je pense que le problème vient du stockage de ces adresses IP qu’il serait totalement ridicule de réprimer. Donc plutôt que dire « il est interdit de stocker des données personnelles sauf l’IP », ils préfèrent dire « L’IP n’est pas une donnée personnelle ». Enfin c’est mon avis, il y a peut-être quelque chose de plus sournois derrière.

@Chris

Hadopi dispose de l’accès aux données collectées par les opérateurs, associant l’adresse IPv4 et surtout la date et l’heure de la connexion. Sans elle, il n’y a aucune possibilité de déterminer l’identité de l’internaute connecté. Pour l’adresse IPv6 publique, c’est autre chose. Elle est unique pour chaque machine. En IPv4, Hadopi ne peut pas identifier précisément qui téléchargeait au niveau de l’adresse collectée. C’est valable aussi pour une entreprise. Le mécanisme de NAT empêche de savoir de quel poste les requêtes peuvent provenir, côté opérateur.

Laisser un commentaire

(requis)

(requis)