La Cour de justice de l’Union Européenne a rendu un arrêt majeur le 19 octobre 2016 (affaire C-582/14) sur la qualification de l’adresse IP en données personnelles et sur les conditions de sa conservation par un fournisseur de services de média. La Cour de cassation vient s’inscrire dans cette jurisprudence par un arrêt du 3 novembre 2016.
Les plaignants souhaitaient savoir si la conservation de l’adresse IP dynamique par l’administration fédérale allemande n’allait pas à l’encontre de l’article 7 de la directive 95/46/CE. La Cour précise qu’« une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel ».
La Cour apporte une nuance : l’adresse IP seule ne constitue pas une donnée personnelle, mais celle-ci le devient dès lors que le fournisseur dispose « de moyens légaux lui permettant de faire identifier la personne concernée. »
« Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
