Trois entreprises privées appartenant au même groupe ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet du groupe.
Le 18 janvier 2013, une ordonnance rendue sur requête des sociétés du groupe faisait injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Par la suite, une société exerçant une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe a saisi le président du tribunal de commerce en rétractation de son ordonnance qui a rejeté sa demande. La société concurrente a interjeté appel de cette décision près la Cour d’appel de Rennes qui l’a débouté de toutes ses demandes, fins et conclusions et a confirmé et maintenu en tous points l’ordonnance rendue sur requête le 18 janvier 2013 en jugeant que l’adresse IP, constituée d’une série de chiffres, se rapportait à un ordinateur et non à l’utilisateur, et ne constituait donc pas une donnée nominative au sens de l’article 2 de la loi n° 7817 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée par la loi du 6 août 2004 transposant la Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel).
La société concurrente s’est pourvu en cassation soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée.
La première chambre civile de la Cour de Cassation a rappelé les dispositions de l’article 2 de la loi de 1978 aux termes duquel « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
La première chambre civile a également rappelé les dispositions de l’article 22 de la même loi selon lesquelles « les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ».
Au visa de ces dispositions, la Cour de Cassation a cassé et annulé dans toutes ses dispositions l’arrêt de la Cour d’appel de Rennes du 28 avril 2015 au motif que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
La décision de la Cour de Cassation s’aligne ainsi avec la décision de la Cour de Justice de l’Union Européenne rendue deux semaines plus tôt le 19 octobre 2016 (affaire Breyer C-582/14) sur la qualification de l’adresse IP en données personnelles. La Cour de Justice avait alors jugé que « l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».
Ainsi, alors que la Cour de Justice posait des conditions à la qualification d’une adresse IP en tant que donnée personnelle au sens de l’article 2 de la directive n° 95/46, la Cour de cassation considère elle, que toute adresse IP constitue nécessairement une donnée à caractère personnel et qu’en conséquence, toute collecte d’adresse IP permettant indirectement d’identifier une personne physique constitue une collecte de données à caractère personnel au sens de la directive n° 95/46 transposée par la loi du 6 août 2004 modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et doit en conséquence faire l’objet d’une déclaration préalable à la CNIL.
Il semblerait donc que l’inexécution de ses obligations déclaratives puisse avoir des lourdes conséquences sur le champ de la preuve, notamment pour identifier les auteurs de cyberattaques dans le cadre d’affaires de sécurité informatique telles que celle présentée précédemment où le non-respect de la déclaration à la CNIL a eu pour conséquence l’annulation de la décision d’injonction de communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses de l’espèce.
Rappelons également que la CNIL peut prononcer des sanctions administratives à l’encontre de ceux n’ayant pas respecté leurs obligations déclaratives allant du simple avertissement à la peine d’emprisonnement assortie d’une amende élevée (jusqu’à 150.000 euros, voire 300.000 euros en cas de manquement réitéré). Et s’il s’agit d’une entreprise, la sanction pécuniaire peut aller jusqu’à 5% du chiffre d’affaires.
En outre, il existe également des sanctions pénales pour sanctionner ce comportement. En effet, l’article 226-16 du Code pénal précise bien que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 Euros d’amende ».
Références
