L’adresse IP est-elle une donnée personnelle ?

• Thiébaut Devergranne

1. – C’est un excellent cas pratique ! Excellent car la question posée est piégée, minée, mystifiée. En droit, on recourt à un adage qui préfixe toute consultation juridique : donnez-moi les faits et je vous dirai le droit. Stigmate de l’impossibilité – ou sinon de extrême difficulté – pour le juriste de dire le droit a priori, sans connaître précisément les faits. Et c’est tout le problème de la question de savoir si une adresse IP est une donnée personnelle : l’énoncé de la question ne comporte pas les faits. L’énoncé comporte l’illusion d’expliciter les faits, mais pas les faits eux-mêmes et en particulier pas le contexte dans lequel la question est posée. C’est la raison d’ailleurs pour laquelle la question suscite autant de débats juridiques.

La question de savoir si l’adresse IP est une donnée personnelle recouvre des situations d’une extrême diversité, qui sont, chacune, susceptibles d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte. Prenons donc deux cas différents pour illustrer… deux réponses complètement différentes…

Cas 1 : les logs d’un serveur web (Apache)

2. – Première hypothèse : j’ai un site web qui fonctionne sous Apache et qui collecte des logs d’accès pour réaliser des statistiques. Juridiquement va donc se poser la question de savoir si nous sommes en présence d’un traitement de données personnelles et si je suis tenu de me mettre en conformité par rapport à la loi.

3. – Première étape de notre analyse, faisons la liste des données collectées :

  • L’adresse IP de l’ordinateur ayant effectué la requête,
  • la date et l’heure,
  • le type d’opération (POST/GET/PUT…),
  • le document demandé,
  • le statut de l’opération,
  • la taille du document envoyé,
  • le type de navigateur,
  • le « referer » (l’url précédemment demandée par l’utilisateur).

 

Dans notre exemple on voit que les IP collectées sont essentiellement celles de robots (Googlebot, Bing, Baidu, YandexBot…) qui accèdent à notre site pour le référencer, ainsi que deux tentatives d’accès frauduleux ( GET //admin/…), ce qui est malheureusement assez fréquent – probablement réalisées par des « bots ».

3. – Seconde étape pour déterminer si l’adresse IP est une donnée personnelle. Nous avons réuni l’ensemble des faits : on connaît la finalité du traitement, et nous avons une bonne visibilité sur les données traitées. Il est donc temps de procéder à leur analyse juridique pour résoudre la question posée. Dans ce traitement la seule donnée véritablement susceptible de permettre l’identification d’une personne est l’adresse IP (on pourrait discuter éventuellement le cas du referer, mais cela relèverait vraiment du cas d’école). D’où la question de savoir si les adresses IP collectées sont bien des données personnelles.

Raisonnement.

4. – Nous avons deux difficultés à résoudre pour déterminer si cette collecte est un traitement de données personnelles. Une première tient à ce que l’adresse IP identifie un système, un ordinateur, et non une personne. Il n’est donc pas certain, quand bien même on pourrait procéder à l’identification du titulaire de l’abonnement ADSL, que celui-ci soit vraiment la personne qui l’ait utilisé à ce moment-là. Par exemple, je peux parfaitement être le titulaire de l’abonnement ADSL, et héberger un tiers qui se servira temporairement de ma connexion Internet. Ou les utilisateurs sont peut-être des personnes connectées au sein d’un cybercafé, localisées dans un pays n’exigeant pas leur identification. On dira donc que l’identification est possible, mais pas systématique.

5. – Une seconde difficulté tient à ce je n’ai pas directement, immédiatement, la possibilité de procéder à l’identification des personnes. Pour cela il m’est nécessaire de faire appel à l’opérateur de télécommunications qui pourra m’indiquer, par voie judiciaire généralement, a qui était allouée l’adresse IP à la date donnée. L’adresse IP est donc une donnée indirectement personnelle.

Reprenons l’article 2 de la loi :

Art. 2 : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

6. – Le texte régit donc parfaitement notre hypothèse : les personnes physiques peuvent être identifiées indirectement par référence à un numéro d’identification, ce qui est le cas de l’adresse IP. Toutefois, la loi indique une nuance importante : pour déterminer si la personne est identifiable, on doit considérer l’ensemble des moyens existant en vue de permettre son identification.

7. – Maintenant, observons précisément les logs de connexion ci-dessus :

Commençons par le premier : « 65.52.xx.xx – – [11/Jul/2011:09:00:36 +0000] « GET /robots.txt HTTP/1.1 » 200 24 « – » « Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) » ».

L’adresse IP 65.52.xx.xx est-elle une donnée personnelle ? Vraisemblablement non, car il s’agit du robot de Bing (moteur de recherche de Microsoft) qui archive les pages Internet.

Par contre, c’est le cas de celle-ci : « 94.23.xx.xx – – [10/Jul/2011:19:37:28 +0000] « GET //admn/scripts/setup.php HTTP/1.1 » 301 – « – » « – » ». Un traceroute nous indique en effet que cette adresse IP semble effectivement être allouée par Ovh à une personne que nous sommes potentiellement susceptibles de pouvoir identifier : 

Une conclusion logique s’impose donc : parmi les milliers d’adresses IP que nous allons collecter, certaines permettront d’identifier indirectement des personnes physiques et d’autres non.

Dès lors, et parce que nous collectons des adresses permettant d’identifier indirectement certains des utilisateurs de notre site, nous réalisons un traitement de données personnelles.

 

Cas 2 : L’adresse IP d’une passerelle d’entreprise

8. – A contrario, prenons le cas d’une connexion Internet partagée sur un réseau Internet d’entreprise. Supposons que l’adressage interne ne soit ni tracé, ni conservé. Dans un tel cas, la collecte de l’adresse IP de la passerelle externe ne permettra pas de révéler de quel utilisateur celle-ci relayait les paquets.

On l’a vu, la loi est très claire à ce sujet :

« Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Or, dans notre hypothèse, l’identification de l’utilisateur derrière la passerelle – pour le propriétaire du site Internet en question – est impossible à réaliser uniquement au moyen de son adresse IP.

Dans un tel cas, la collecte de cette adresse IP ne relèvera donc pas d’un traitement de données personnelles.

 

Conclusion

La CNIL a donné de très intéressantes illustrations de son appréciation de la faculté d’identifier des personnes physiques de manière indirecte.

A votre avis, la collecte des données suivantes doit-elle être considérée comme un traitement de données personnelles ?

Année de naissance Lieu de naissance Profession Nationalité Date de l’interruption volontaire de grossesse
1978 Paris Enseignante FR 10/10/2000
1976 Strasbourg Agricultrice FR 11/08/1999
1975 Ceintrey Avocate IT 12/01/1995
1974 Lyon Commerçante DK 23/03/1996

 

Réponse de la CNIL : effectivement, il s’agit bien d’un traitement de données indirectement nominatives (la question était posée avant 2004). Pourquoi ? Simplement en raison du risque d’atteinte à la vie privée qui résulterait de l’identification des personnes. Risque suffisant pour dicter à l’autorité administrative la plus grande prudence dans sa décision.

 


A lire également...

Commentaires...

cpm

Une adresse IP pouvant être usurpée (n'importe quel ordinateur peut envoyer un paquet avec comme IP d'origine celle d'un autre ordinateur), il y a un doute sur la donnée logguée.

Ce doute ne suffit-il pas à considérer impossible l'identification d'un visiteur ? Et donc par conséquent à considérer toute log IP comme étant une donnée non personnelle ?

Thiébaut Devergranne

C'est une bonne question !

En fait non car même s'il existe une possibilité d'usurpation, dans les faits l'usurpation concernera peut-être 0,1% des cas, donc pourquoi invalider l'ensemble alors que la majorité du traitement relèvera tout de même d'un traitement de données à caractère personnelles ?

En outre il faut également considérer l'objectif de la loi qui est de protéger la vie privée des personnes contre des traitements potentiellement abusifs à cet égard.

Frederic

L'usurpation d'adresse IP (littéralement IP spoofing) est un mythe qui a la vie dure

.

Il est effectivement possible d'émettre des paquets IP dans lesquels l'adresse d'origine est usurpée. Cependant dans ce cas, les réponses sont reçues à l'adresse usurpée et l'établissement de sessions TCP impossible.

Seul le cas des flux UDP s'accommode d'adresses d'origine inconsistantes.

A partir du moment où une adresse IP figure dans un fichier de traces, il n'y a généralement donc pas de raison valide de penser que l'origine de la transaction est invalide, conférant à cette dernière un caractère indirectement personnel.

Thiébaut Devergranne

Oui tout à fait ! Le flux UDP permet de forger d'IP dans le datagrame IP, alors que TCP nécessite un Acknoledge - l'établissement du fameux SYN - ACK - SYN/ACK ; en fait vous m'avez rappelé de bons vieux souvenirs du temps ou je bossais sur des ouvrages sur IP et essayait de comprendre tout ça en pratique avec nmap et hping ;-)

Cela fait bien longtemps maintenant !

Tiens, d'ailleurs, je me demande si je ne vais pas juste faire un peu de hping pour le plaisir et envoyer quelques paquets forgés à mon routeur pour voir s'il tient la route...

Stéphane Bortzmeyer

« impossible » est un terme trop fort. Disons « extrêmement difficile » si l'attaquant travaille en aveugle , « pas trivial » s'il peut écouter le trafic et regarder les paquets, « simple » s'il contrôle un équipement intermédiaire (comme un routeur).

Joshua Mendes

L'IP publique d'une box est donc considéré comme une donnée personnelle. Mais une ip identifie une machine et pas son utilisateur, tout comme une plaque d'immatriculation identifie une voiture et non son conducteur... L'exemple que vous donnée avec la passerelle d'une entreprise s'applique alors également à une famille avec plusieurs ordinateurs, tablettes et autres smartphones.

En revanche j'ai une question sur les ips internes de machines utilisateurs dans une entreprise/administration, ces ips sont elles également considérées comme des données personnelles ? Prenons ici le cas d'une entrerpise où les IPs sont attribuées par DHCP à tous les machines du parc...

Dans ce cas, l'IP de la machine est elle une donnée personnelle ?

Thiébaut Devergranne

Est-ce qu'il est possible d'identifier les personnes ? En pratique la question est de savoir si vous conservez la table de correspondance Ip/personne. Si oui, alors la réponse est oui. Si non, alors je dirais non mais sous réserve qu'une étude plus approfondie ne dise pas que les traitements que vous réalisez permettent de réaliser cette identification.

Etienne Durup

Il me semble que le problème de la personne réellement connectée via l'adresse IP est un faux probème, et par conséaquent celui de l'usurpation également, pour répondre à la question qui nous est posée dans cet article (qui n'est pas de savoir si on peut identifier un responsable ou un coupable éventuel).

En effet, qui a dit ou écrit que pour être une donnée à caractère personnelle la donnée de vait permettre d'oidentifier une personne qui avait fait ou pas fait telle ou telle chose. On confond la finalité fixée au traitement par son responsable avec la possible atteinte aux données personnelles d'une personne.

Reprenons l'exemple du log de serveur web. Admettons que la finalité de l'administrateur soit de permettre de retrouver qui a fait quoi de mal sur son serveur. Tourner autour de la question de qui était réellement derrière l'adresse IP n'a poas de sens vis à vis de la question : "l'adresse IP ainsi collectée constitue-elle une donnée à caractère personnel ?".

La *personne concernée* dans cette analyse de notre question n'est pas celle éventuelle ment prévue ou fantasmée par celui qui le met en oeuvre mais, au sens de la loi I&L, il s'agit de *celle à laquelle les données collectées se rapportent*. En conséquence, à mon très humble avis, la question de qui est réellement derrière l'adresse IP est une fausse question pour répondre à celle qui est posée dans l'article.

Enfin, pour la passerelle je ne suis qu'à moitié d'accord sur l'impossibilité de croiser avec les données internes, en l'absence de log sur la passerelle. C'est extrêmement variable selon les situations et il ne faut pas oublier qu'il peut rester énormément de traces involontaires sur les postes internes. Je recommanderais donc une certaine prudence dans l'appréciation de ce critère.

Cordialement.

Thiébaut Devergranne

Oui vous avez tout à fait raison sur le fait de dire qu'il peut exister une diversité de traces (et pas uniquement sur la passerelle), c'est tout à fait exact !

ygnobl

La question d'un éventuel piratage de l'IP n'est pas à mon sens suffisante pour que l'IP ne soit pas une donnée personnelle. Par analogie, si cette condition était suffisante, on pourrait dire qu'un trio Nom/Prénom/Date de naissance n'est pas une donnée personnelle parce qu'il y a un risque d'usurpation d'identité...

Stef Jeubs

Et dans le cas de l'utilisation d'un navigateur web comme TorBrowser, le lien fait avec l'adresse IP signifie-t-il encore quelque chose?

Michael

Tu oublies de dire qu'aujourd'hui, la plupart des IPs sont "flottantes, définies par l'opérateur pour une (courte) période seulement. Par exemple, étant chez Orange, mon IP de connection change tous les 10 jours environ. Et le numéro alloué n'a plus rien à voir avec une zone géographique bien définie, comme il y a quelques années...

jamaisdenom surinternet

Bonjour,

Un exemple concret tout frais : avant-hier je cherchais à me faire établir un devis pour le transport routier d'un matériel entre Lyon et Bordeaux. Mais impossible de trouver un transporteur routier qui traite directement avec un particulier comme moi. Restructuration des transports routiers oblige (probablement), il y a nécessité de passer par un commissionnaire ; mais où, et qui ? Je découvre alors le site web neo-devis.com qui dit s'occuper de mettre en relation les particuliers avec les professionnels du transport routier susceptibles de correspondre exactement à ma recherche (ville d'arrivée, ville de départ). Super ! Un simple formulaire à remplir sur le site web (nom, prénom, adresse, n° de téléphone, email, fax, etc...) et neo-devis dit s'occuper de faire suivre ma recherche aux bonnes personnes...

Mais, mode méfiance /on, avant de me lancer je décide de jeter un petit coup d'oeil sur qui est neo-devis. Le lien "qui sommes nous" du site me dit que c'est "DATABASE SECURITY DBS". Un petit Whois + infogreffe + societe.com, etc, me permet de découvrir que c'est aussi "PKY Services"... spécialisé dans la collecte, le traitement et la vente de données personnelles ; et qui s'affiche membre du SNCD. Tiens donc ! A ce stade déjà je pressens que chez neo-devis.com on est peut être davantage dans la collecte et le vente de données personnelles que dans la recherche de commissionnement en tant qu'intermédiaire de commerce. Un WOT sur le site web neo-devis + une simple recherche complémentaire avec duckduckgo ou Ixquick me permet de découvrir alors que, tout membre du SNCD qu'ils seraient, en plus ils ne respectent absolument pas la charte de respect des données personnelles de ce syndicat de professionnels du marketing direct et spamment à tout vent (lire http://vialet.org/blog.php/post/2015/05/Spamme-par-PKY-SERVICES-membre-du-SNCD).

Alors de mon point de vue oui bien sûr l'adresse IP constitue une donnée personnelle, car même si toutes les bases de données du bigdata mondial ne contenaient jusque là *que* mon adresse IP associée seulement à mes tas de recherches précédentes, mes sites visités, mes vidéos vues, mes webzines consultés, etc etc, il suffit d'une seule vente des données du type de celles du formulaire de neo-devis pour que mon adresse IP fixe soit définitivement associée partout avec mes données identitaires personnelles : nom, prénom, adresse, email, numéro de téléphone, fax, etc etc, enregistrées dans les logs du serveur de neo-devis/DATABASE SECURITY DBS.

Et je n'évoquerai même pas ici toutes les techniques qui permettent aux serveurs de collecter bien plus d'informations sur votre matériel (identification du PC, de la taille d'écran, du navigateur Internet, des périphériques, des cartes réseau, de leurs adresses MAC, et même parfois de la liste des polices d'écran et la liste des logiciels installés... tout ceci constituant bien sûr des données d'identification supplémentaire lors de croisements de données)

Personnellement j'arrive à n'avoir presque aucun spam dans aucune des boites de réception de toutes mes adresses email (et, avec mes adresses email "pot de miel", j'en ai beaucoup). Mais c'est parce que je suis informaticien + webmaster occasionnel et que je connais assez bien le fonctionnement d'Internet et des sites web, que je sais déjouer à peu près toutes les techniques de piégeages de données personnelles. Un utilisateur lambda ne peut pas espérer parvenir au même résultat. Je le vérifie tous les jours avec les membres de ma famille et mes amis pour qui j'ai créé un site web gratuitement avec adresse email liée. Les pauvres malheureux voient, les uns après les autres, et malgré mes mises en garde vite oubliées, leurs boites de réception, longtemps remplies de leurs seuls mails privés ou/et professionnels, devenir pourrie de spam du jour au lendemain après être tombés dans le piège du formulaire d'un site web, ou équivalent.

Tout cela n'est pas bon du tout pour emmener les gens vers la confiance en l'économie numérique !

Mais que fait donc la police ?!!

PS : pour équilibrer les choses j'ajoute que la semaine dernière ma boite à lettre devant ma maison s'est trouvée pourrie d'un énorme paquet de prospectus... alors qu'elle affiche très visiblement le sticker "Stop pub" mis à disposition par la mairie...

Mais il me plait à penser que c'est sans doute parce que c'est la rentrée... vu que jusque là ce "stop pub" était respecté...

Anne Laure

Bonjour,

Il est indéniable aujourd'hui de considérer l'adresse IP comme une donnée personnelle (cf Règlement européen)... mais alors, quel type de consentement doit-on obtenir ? Opt'in ou opt'out ?

Merci


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)