L’adresse IP, une donnée privée ?
Résumé : pendant que les internautes surfaient sur les plages, les hauts magistrats gravaient dans le marbre légal la collecte massive des adresses IP.
L’adresse IP, une donnée personnelle ? Un feuilleton juridique en huit épisodes.
Vous retrouverez les textes dont il va être question (parmi bien d’autres) dans notre réservoir de lois.
flash back : 1978 — la loi Informatique et Libertés crée la CNIL
En 1978, à la suite du scandale de l’interconnexion des fichiers administratifs (le projet SAFARI), la loi ’informatique et libertés’ crée une nouvelle commission.
Celle ci autorise ou interdit au cas par cas, la mise en place de fichiers contenant des données personnelles ou ’nominatives’ des individus.
premier épisode : août 2004 — la loi sans nom réécrit la loi de 1978
La loi du 6 août 2004 a pour seul objet de ’modifier’, en fait de réécrire complètement la loi « informatique et liberté ». Elle n’a pas de nom. Chacun de ses articles renvoient aux articles de la loi de 1978 qu’ils modifient.
Parmi 100 autres transformations, la loi sans nom subordonne les « avis » ou « délibérations » de la CNIL aux « décisions » du conseil d’Etat (entre 1978 et 2004, le conseil d’Etat est devenu peu à peu la « cour suprême » du droit public).
– la réaction horrifiée de la FIL
– la réaction horrifiée d’IRIS
– la réaction horrifiée de linuxfr
deuxième épisode : octobre 2005 — la CNIL interdit à la SACEM de ficher les adresses IP
Et pour faire bonne mesure, elle l’interdit aussi à la SCPP et les autres, qui lui demandent de constituer ces fichiers d’adresses IP (donc en tout 4 « délibérations » qui disent toutes la même chose = non).
Ses motifs, en résumé et en clair :
1) l’adresse IP est une donnée personnelle.
2) le fichage des internautes est disproportionné avec le délit de téléchargement.
La suite du feuilleton va ensuite se résumer à ceci : les divers juges suprèmes vont pilonner les délibérations de la CNIL.
– les décisions de la CNIL résumées alors par la CNIL
– le billet de ratiatum
troisième épisode : juillet 2006 — le conseil constitutionnel durcit la loi DADVSI
La DADVSI était plus répressive que les législations antérieures, sauf sur 1 point : les internautes qui téléchargeaient des chansons sous copyright n’étaient plus des délinquants, seulement ’mauvais internautes’ passibles d’amendes.
Le conseil constitutionnel décide que les députés ont tort : télécharger des chansons du commerce = fabriquer des fausses montres de luxe = de la contrefaçon = 5 ans d’emprisonnement.
Les jugements qui vont suivre vont s’appuyer lourdement sur cette décision pour dire du bien de la « chasse » aux adresses IP.
quatrième épisode : mai 2007 — la cour d’appel de Paris condamne un contrefacteur
Un ancien utilisateur du logiciel pirate « Kazaa » faisait appel de sa condamnation pour contrefaçon.
Plus exactement, il fait appel parce que les policiers privés à la solde de la SACEM et des autres l’ont dénoncé aux juges à la suite d’une collecte massive et automatique des adresses IP (et des identifiants) des internautes téléchargeant sur le réseau de Kazaa.
La cour d’appel rejette l’appel au nom de la décision du conseil constitutionnel (voir troisième épisode). Mais elle le fait aussi au nom de la loi de 2004 (voir le premier épisode). En effet, celle ci, au prix de quelques contorsions rhéthoriques, sort du domaine des données protégées par la loi « informatique et libertés » les données collectées pour protèger la propriété intellectuelle.
cinquième épisode : mai 2007 — le conseil d’Etat annule les décisions de la CNIL
La SACEM et les autres avaient fait appel des délibérations de la CNIL devant le conseil d’Etat.
Le conseil d’Etat leur donne raison et donc donne tort à la CNIL.
Son argumentation en résumé est « aux grands maux les grands remèdes » ; la contrefaçon est un délit grave (rappel de la décision du conseil constitutionnel), ce délit est pratiqué de manière massive (le conseil d’Etat rappelle quelques chiffres). Donc la collecte automatisée des adresses IP n’est pas disproportionnée.
De toute manière, les adresses i.p. ne sont pas des données personnelles, ce sont des données techniques selon la LCEN. La CNIL s’est donc mèlée de ce qui ne la regardait pas.
– le commentaire du forum des droits sur internet
– le comentaire de pcinpact
sixième épisode : juin 2007 — le nouveau président de la république veut mettre des radars sur internet
Nouvellement élu à la tête de l’Etat, l’ancien ministre de l’intérieur compare les autoroutes de l’information aux autoroutes tout court. Il promet une généralisation et une interception du trafic d’œuvres sous copyright.
Sans vouloir offenser le chef de l’Etat, on peut dire que les radars routiers ne servent pas encore à regarder si les automobiles transportent des sacs à main de luxe et des montres contrefaites.
septième épisode : juillet 2007 — des juges belges condamnent un FAI au nom d’EUCD
EUCD, c’est la ’grande soeur’ fédérale de la DADVSI. l’EUCD dit que les FAI de l’Union Européenne doivent veiller à ce que les services « électroniques » qu’ils fournissent ne servent pas à enfreindre les droits de propriété intellectuelle.
L’équivalent belge de la Sacem, la SABAM, a donc demandé et obtenu que TISCALI Belgique (marque Scarlet) suive à la trace les internautes contrefacteurs, par le biais de leur adresse IP. Plus exactement, les juges belges dévient le problème en obligeant TISCALI à filtrer les réseaux p2p. Sur la base du rapport de l’expert, ils coneillent nommément le logiciel de filtrage « audible magic » (copysense network alliance).
Huitième épisode : aout 2007 — la CNIL bouge encore
Dans un sursaut de fierté, la CNIL, un peu piétinée ces derniers temps il faut bien dire, campe sur ses positions. Elle affirme haut et fort dans un communiqué, que l’adresse IP est une donnée personnelle.
Devant la tournure « européenne » que prennent les évènements elle en appelle à ses équivalents dans les autres pays de l’UE. Et surtout, elle demande au garde des sceaux un recours en cassation contre la décision du conseil d’Etat. (ndlc : l’espoir fait vivre). En effet, si le conseil d’ Etat est ’au dessus’ juridiquement de la CNIL, la cour de cassassion est ’au dessus’ du conseil d’Etat.
conclusion : l’adresse IP, donnée publique ou privée ?
Si on considère l’adresse IP comme une donnée publique, ’technique’, etc, n’importe qui a le droit d’en faire des fichiers. Elle est, comme la plaque minéralogique des voitures, l’adresse d’une machine. La mise en place de « radars » sur internet est alors pratiquement une chose faite.
D’un autre côté, si on considère que l’adresse i.p. est privée, la collecte massive d’adresses IP reste un (tout petit) peu moins ’légalement correcte’ ; mais d’un autre côté, l’adresse IP devient une manière d’identifier les individus, comme la signature ou les empreintes digitales. Usurper une adresse IP devient alors aussi grave que d’usurper l’identité de quelqu’un d’autre dans une banque ou dans un aéroport par exemple, et les réseaux d’anonymat s’appuyant sue le camouflage de l’adresse IP sont dans la lgne de mire.
Moralité : IP publique ou IP privée, de décision en décision, Big Brother avance toujours.