Publicité en cours de chargement...

Publicité en cours de chargement...

Clarification jurisprudentielle de la nature de l’adresse IP : une donnée nécessairement à caractère personnel

07 fév. 2017 - 10:22,
Tribune - Luiza GABOUR
Sécurité
Selon l’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».  

Les adresses IP sont des suites de chiffres qui sont attribuées à des ordinateurs connectés à Internet pour permettre la communication entre eux par ce réseau. 

Il a fallu attendre deux décisions rendues les 19 octobre 2016 et 03 novembre 2016, par la Cour de justice de l'Union européenne (aff. C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland) et par la Cour de cassation (Cass., Civ. 1ère, 03.11.2016 n° 15-22.595), lesquelles ont successivement qualifié l'adresse IP (Internet Protocol) de donnée à caractère personnel, mettant ainsi un terme à une incertitude juridique longtemps entretenue par ces deux juridictions. 

La Cour de cassation et la Cour de justice s'accordent pour considérer que l'adresse IP ne permet pas en elle-même d'identifier une personne, mais, qu'en revanche, elle constitue un moyen d'identification indirecte en ce qu'elle permet d'obtenir d'un tiers, le fournisseur d'accès à Internet, des informations complémentaires. Ces solutions concordantes participent d'une acception large de la notion de donnée à caractère personnel, dans un souci de protection plus grand de la personne.

Qualifier l'adresse IP de donnée à caractère personnel a pour conséquence directe l'application du régime des données à caractère personnel à cette donnée.

Ainsi la constitution d'un fichier comportant des adresses IP pourra être qualifié de traitement de donnée à caractère personnel et le responsable de traitement sera assujetti à toutes les obligations décrites dans la directive de 1995 et retranscrites dans la loi de 1978. La Cour de cassation, a ainsi indiqué que le traitement de ces données devait faire l'objet d'une déclaration préalable auprès de la CNIL, tandis que la Cour de justice a pu préciser que le traitement de telles données peut être licite sans le consentement de la personne intéressée, dès lors qu'« il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement [...] à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée [...] » (art. 7, f, de la dir. de 1995).

Par Luiza GABOUR
Cabinet YAHIA-AVOCATS
www.yahia-avocats.fr   

À propos de l'auteur :

Parcours
Diplômée d’un Master II en droit des Activités de santé et Responsabilité médicale dispensé par la faculté de Paris V, Maître Luiza Gabour a complété sa formation par des expériences au sein du Ministère de la santé, de cabinets d’avocats d’affaires français et anglo-saxon ainsi qu’auprès d’une firme produisant et commercialisant des produits de santé.

> Mais aussi…
Elle a développé des compétences en droit des produits de santé, notamment en matière de réglementation, de promotion et de régulation des interactions entre industries et professionnels de santé.
Elle intervient également auprès des professionnels de santé en matière de responsabilité civile, pénale et déontologique.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration BRISS : Transformer la crise hospitalière en levier de résilience

BRISS : Transformer la crise hospitalière en levier de résilience

18 nov. 2025 - 09:35,

Actualité

- Rédaction, DSIH

La plateforme BRISS, portée par l'ARS et la FHF Bourgogne-Franche-Comté, révolutionne la formation des établissements de santé en France en proposant des séries immersives inspirées de crises réelles comme la cyberattaque du CH de Pontarlier en octobre 2025.

Digressions sur la cyber et les enjeux climatiques

17 nov. 2025 - 20:53,

Tribune

-
Cédric Cartau

Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.

Illustration Santé et cybersécurité : à la Journée SSI Santé, Judith Nicogossian rappelle que la résilience commence par l’humain

Santé et cybersécurité : à la Journée SSI Santé, Judith Nicogossian rappelle que la résilience commence par l’humain

17 nov. 2025 - 15:08,

Actualité

- Rédaction, DSIH

C’est lors de la conférence de clôture de la Journée SSI Santé organisée par l’APSSIS, le 13 novembre 2025, que Judith Nicogossian, anthropobiologiste et spécialiste des interactions humain-technologie, a livré un message sans détour : dans les établissements de santé, la cybersécurité ne peut plus ...

Illustration Des milliers de médecins paralysés par une cyberattaque sur un logiciel de gestion

Des milliers de médecins paralysés par une cyberattaque sur un logiciel de gestion

17 nov. 2025 - 11:14,

Actualité

- Rédaction, DSIH

Un logiciel médical utilisé par 23 000 professionnels de santé a été pris pour cible par une cyberattaque d’ampleur, privant médecins et soignants de leurs outils numériques pendant plusieurs jours. Un retour forcé aux méthodes traditionnelles qui met en lumière la vulnérabilité croissante du secteu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie