Faut-il l’accord de la CNIL pour conserver une adresse IP ?
L’adresse IP est une donnée à caractère personnel !
Une société se rend compte que des personnes extérieures à l’entreprise se connectent sur son réseau informatique mais en utilisant des codes d’accès réservés aux administrateurs de l’entreprise.
Avec l’autorisation du juge, la société obtient alors des fournisseurs d’accès à Internet qu’ils lui communiquent les adresses IP utilisées pour se connecter à son réseau. Cette communication lui permet d’identifier la personne qui s’est connectée sur son réseau et se rend compte qu’il s’agit d’une entreprise concurrente.
Cette dernière agit alors en justice, estimant que la procédure ayant permis de l’identifier est illégale : les adresses IP étant des données à caractère personnel, elle considère que la société aurait dû faire une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) pour pouvoir conserver les adresses IP sous forme de fichiers.
Ce que conteste la société : pour elle, une adresse IP se rapporte à un ordinateur et non à son utilisateur. Elle ne constitue donc pas une donnée nominative, même indirectement.
Mais pour le juge, les adresses IP sont bien des données à caractère personnel, de sorte que leur collecte doit faire l’objet d’une déclaration auprès de la CNIL. Ce que n’a pas fait la société victime de l’intrusion de son réseau informatique…
- Arrêt de la Cour de cassation, 1ère chambre civile, du 3 novembre 2016, n° 15-22595