Oui, l’adresse IP est une donnée à caractère personnel, car l’adresse IP permet d’identifier une personne, directement ou indirectement.

L’adresse IP est une information attribuée aux internautes par leur Fournisseur d’Accès à Internet (FAI). Elle permet aux internautes de connecter leurs appareils informatiques à Internet et de consulter des pages Web, envoyer des e-mails, etc.

Chaque internaute dispose donc d’une adresse IP lorsqu’il se connecte à Internet.

Les fournisseurs n’attribuent cependant pas toujours la même adresse aux internautes. Dans certains cas, l’adresse attribuée à l’internaute est toujours la même ; l’adresse IP est dite statique ou fixe. Dans d’autres cas, principalement pour des raisons techniques, l’adresse attribuée à l’internaute change chaque fois que l’internaute se connecte ; l’adresse IP est dite dynamique.

Pour ce qui est du caractère personnel, le RGPD[1] définit une donnée à caractère personnel comme une information sur une personne identifiée ou pouvant être identifiée.

« données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable »

— RGPD, article 4-1, données à caractère personnel

Une adresse IP statique étant associée à un internaute donné sur une période relativement longue, elle peut, par conséquent, identifier directement un internaute.

À l’inverse, les adresses IP dynamiques ne sont pas directement associées à un internaute, car deux internautes peuvent avoir la même adresse IP à des jours ou horaires différents. En combinant une adresse IP dynamique avec la date et l’heure de son utilisation, il est cependant possible d’identifier l’internaute. Les informations nécessaires pour identifier la personne nécessitent, certes, la collaboration du Fournisseur d’Accès à Internet de l’internaute, mais cela reste possible.

Le RGPD considère qu’il faut prendre en considération « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne » pour déterminer si une personne peut être identifiée et ainsi savoir si une donnée est considérée comme personnelle.

« Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement »

— RGPD, considérant 26

On peut difficilement considérer comme déraisonnable ou disproportionné l’effort nécessaire au Fournisseur d’Accès à Internet pour identifier un internaute à partir d’une adresse IP dynamique et de la date et l’heure de son utilisation. Toutes les adresses IP, fixes ou dynamiques, doivent donc être considérées comme des données à caractère personnel et leur traitement doit être encadré par le RGPD.

Par ailleurs, la Cour de Justice de l’Union européenne (CJUE) s’est déjà exprimée à plusieurs reprises sur le caractère personnel des adresses IP et a déjà indiqué que les adresses devaient être considérées comme des données à caractères[2][3].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. La CJUE a indiqué qu’une adresse IP statique permet « l’identification permanente du dispositif connecté au réseau » et qu’une adresse IP dynamique « constitu[ait] une donnée à caractère personnel » (source : CJUE, affaire C-582/14, 19 octobre 2016, Breyer v Bundesrepublik Deutschland, §36 et §49).
  3. La CJUE a indiqué que les adresses IP sont « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs » (source : CJUE, affaire C-70/10, 24 novembre 2011, Scarlet Extended v SABAM, § 51).