Categories
Feedback

 

La cour de cassation, dans son arrêt du 3 novembre 2016 (Cass. Civ. 1, n°15-22.595), a considéré que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL »

 

Cette décision fait suite à l’arrêt rendu par la Cour de justice de l’Union Européenne, le 19 octobre dernier, dans lequel la cour répond à la question préjudicielle suivante posée par les tribunaux allemands : « une adresse IP « dynamique » constitue-t-elle une donnée à caractère personnel au sens de la législation européenne ? »

La cour avait répondu que l’adresse IP « dynamique » est une donnée à caractère personnel à partir du moment où le responsable de traitement (ex : le fournisseur de services de médias) a la possibilité d’identifier ou de faire identifier la personne à partir de cette adresse. Elle rappelle en outre, qu’en l’absence de consentement de la personne, le traitement et la conservation de l’adresse IP ne sont justifiés que par l’intérêt légitime que poursuit un site internet de se prémunir contre les cyber-attaques.  

Ainsi, la cour de cassation s’est alignée sur cette décision et a considéré que la collecte et la conservation de l’adresse IP constituent des traitements automatisés devant faire l’objet d’une déclaration auprès de la CNIL. En cas d’absence de déclaration, des sanctions administratives ou pénales pourront être prononcées, le responsable de traitement pourrait également se voir refuser l’utilisation des informations récoltées dans le cadre d’une action judiciaire.

Pour en savoir plus :

  • Communiqué de presse – CJUE : http://buff.ly/2gQ0uZY
  • Arrêt de la cour de cassation : http://buff.ly/2fUsTd0

 

Write a comment