Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 29

23 mars 2010
 

AMENDEMENT

présenté par
C Défavorable
G Favorable
Rejeté

Le Gouvernement

ARTICLE 2

Supprimer cet article.

Objet

La définition de ce qu'est une donnée à caractère personnel figure déjà à l'article 2 de la loi et c'est à dessein qu'il n'existe aucune liste de ce que sont les données à caractère personnel. Il convient en effet de ne pas figer cette notion, dans une matière où la technologie évolue particulièrement rapidement. A cet égard, il convient de rappeler que la Commission européenne a indiqué, en 2007, dans une communication portant sur le suivi du programme de travail pour une meilleure mise en application de la directive 95/46/CE sur la protection des données, que celle-ci, qui a été transposée dans la loi « Informatique et libertés », est techniquement neutre, que ses principes et dispositions sont de portée suffisamment générale et que ses règles peuvent continuer à s'appliquer de manière satisfaisante aux technologies et situations nouvelles.

Le caractère technologiquement neutre de la loi du 6 janvier 1978 et la plasticité de la notion de donnée à caractère personnel permettent indéniablement au droit français de rester en permanence adapté aux nouvelles technologies, constamment en évolution.

L'article 2 rompt avec cette logique. En précisant expressément que « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne est une donnée à caractère personnel », il fait de l'adresse IP, de manière générale et absolue, une donnée personnelle. Il ouvre la voie à une future énumération de ce qu'est, ou n'est pas, en soi, une donnée personnelle ; or, une telle démarche est illusoire, dès lors que la notion de donnée personnelle est nécessairement relative et contingente. En effet, une même information peut, selon le responsable du traitement qui la collecte et les moyens dont il dispose, présenter, ou non, le caractère d'une donnée à caractère personnel.

L'adresse IP en constitue un parfait exemple. Elle se définit comme le numéro unique qui identifie chaque équipement connecté à Internet. Attribuée par le fournisseur d'accès à internet à ses clients, elle peut être fixe ou dynamique. Lorsqu'elle est fixe, le numéro est attribué une seule fois pour un équipement déterminé ; lorsqu'elle est dynamique, une adresse IP différente est attribuée à chaque nouvelle connexion pour un même équipement.

On le voit, seul le fournisseur d'accès à internet peut identifier ce numéro en le croisant avec les informations dont il dispose à savoir, les coordonnées de l'abonné et ses dates et heures de connexion. A défaut le numéro identifiant ne permet pas d'obtenir l'identité de la personne.

De surcroît, sur internet, l'adresse IP ne permet pas réellement d'identifier le titulaire de l'accès. Il peut y avoir derrière cette adresse plusieurs équipements, dont des ordinateurs, des imprimantes ou des appareils mobiles connectés. Il n'est pas certain que l'utilisateur de cet abonnement soit le titulaire de l'accès. Pourtant c'est bien la seule personne que le fournisseur d'accès est en mesure d'identifier. L'adresse IP que les auteurs de la proposition de loi souhaitent protéger n'identifie donc pas réellement le titulaire de l'abonnement, mais simplement un équipement connecté au réseau à un instant donné.

Les juridictions qui se sont penchées sur la question ont, naturellement et heureusement, procédé à une analyse au cas par cas, pour déterminer si la personne qui détenait l'adresse IP était en mesure de relier cette information, même indirectement, à une personne identifiée. Ce n'est que dans l'affirmative qu'il y a lieu de considérer l'adresse IP à une donnée personnelle bénéficiant de la protection de la loi Informatique et Libertés.

Au surplus, les opérateurs de télécommunications gèrent l'IP comme une "donnée de trafic", encadrée par l'article L 34-1 du code des postes et communications électroniques. Le régime de ces données de trafic obéit déjà au principe de l'effacement ou de l'anonymisation, sauf pour la conservation motivée (pour les besoins de facturation et de gestion commerciale ou la recherche des délits ou la lutte contre le terrorisme). En revanche, l'assimilation de l'IP à une donnée personnelle revient à assujettir le traitement de cette donnée à l'ensemble des règles et contraintes découlant de la législation « Informatique et Libertés » (régime de déclaration, droit d'accès, opposition et rectification, contrôles de la CNIL...) Ceci risquerait de bouleverser l'équilibre actuel de gestion informationnelle des opérateurs et d'entraîner un fort impact en termes de coûts, délais, contraintes et lourdeurs de gestion.

De plus, il convient de souligner que la nouvelle directive européenne sur la vie privée et les communications électroniques ne procède pas à cette assimilation de l'adresse IP à une donnée personnelle.

En définitive, emprunter le chemin proposé par l'article 2 reviendrait à rigidifier dangereusement la loi et serait source de confusion : faudra-t-il, à l'avenir, qu'une information soit expressément mentionnée par la loi comme donnée personnelle pour qu'elle bénéficie de la protection de la loi Informatique et Libertés ? Assurément, il ne le faut pas. C'est pourquoi il est proposé de supprimer cet article.