RGPD : l’adresse IPv4 ne peut pas être une donnée personnelle !
21 novembre 2019
Il est très étonnant de lire que le RGPD n’a même pas pris soin de définir ce qu’était une donnée à caractère personnel. En procédant de la sorte, le Parlement et le Conseil européens ont donné carte blanche aux États membres et à leurs autorités nationales, à leur cour de Cassation de le faire à leur place. Le souci est que même le Parlement français en transposant le règlement a oublié de le faire dans la loi nationale.
La CNIL a donné une définition extensive – et quelque peu abusive – de ce que pourrait être une donnée personnelle, : « C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. » Dans les exemples qui agrémentent cette page, la CNIL cite l’adresse IP. Bizarrement, au niveau d’une autre page parlant de la donnée personnelle, l’honorable institution française oublie de parler de l’adresse IP. En disant tout et son contraire, reprenant l’arrêt n°1184 du 3 novembre 2016 de la cour de cassation, la CNIL est à peu près sûr de ne jamais se tromper.
Concernant l’adresse IPv4, notons que les FAI attribuent régulièrement des adresses différentes à leurs abonnés. Et comme il n’y a strictement aucun outil accessible publiquement, capable de déterminer et l’historique et l’emplacement géographique exact de la connexion, l’adresse IPv4 ne peut à elle seule et/ou de manière indirecte permettre d’identifier une personne physique. Pire, certains FAI, à l’image de Free, à cause de la pénurie d’adresses IPv4, partagent la même adresse entre plusieurs connexions. Doit-on encore évoquer le recours fréquent à des VPN ou l’utilisation du réseau Tor qui octroient une adresse IPv4 partagée d’un pays étranger au point de connexion ? L’objectif est là clairement d’échapper à un processus d’identification par des autorités administratives ou bien au travers d’une procédure judiciaire, dont vous m’accorderez le caractère exceptionnel et dérogatoire. Comment les juges de la cour de cassation ont-ils pu considérer à partir d’un cas totalement atypique que l’adresse IPv4 était une donnée personnelle susceptible d’identifier un Internaute ?
En cas de compromissions de votre adresse IPv4, y aurait-il donc compromission de vos données personnelles ? En quoi, une entreprise disposant de l’adresse IPv4 d’une personne physique serait-elle responsable d’une compromission de données personnelles du fait d’un recoupement possible dans les moteurs de recherche, à cause de traces hypothétiques laissées par négligence de l’internaute ou par manque de respect du RGPD émanant de services et de traitements tiers qu’il aurait utilisés ?
Un exemple concret
Je suis actuellement 60 kilomètres au Nord de Poitiers et voilà les informations de géolocalisation que vous pourrez avoir sur mon point de connexion !!! A part Orange tenue à consigner la trace de ma connexion (téléphone, identifiants, IP, date et heure), comment voulez-vous m’identifier directement ou indirectement à partir de ma seule adresse IPv4 ??? Par les moteurs ? Par le nom résolu de l’adresse ? Vous pourrez savoir qu’à partir de cette adresse, quelqu’un s’est connecté à un site particulier. S’agit-il de mon père, d’un de ses amis, d’une personne de la famille, d’un visiteur ? Personne n’est en capacité de le dire, d’autant qu’il n’y a aucune obligation légale pour les particuliers de consignation des connexions.
