L`adresse IP de votre ordinateur : une donnée personnelle relevant

Transcription

L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ?
Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande
L’adresse IP de votre ordinateur :
une donnée personnelle relevant du
régime
de
protection
communautaire ?
S
SO
OP
PH
HIIE
E LLA
ALLA
AN
ND
DE
E
SOMMAIRE
INTRODUCTION .................................................................................................. 3
ENJEUX ............................................................................................................. 3
QU’EST CE QUE L’ADRESSE IP D’UN ORDINATEUR ? ........................................................... 3
LE DROIT COMMUNAUTAIRE PROTEGE LES DONNEES A CARACTERE
PERSONNEL ........................................................................................................ 4
1.
1.1. UNE DIRECTIVE EUROPEENNE DE 1995 OFFRE UNE PROTECTION GENERALE ......................... 5
1.2. LA DIRECTIVE 2002/58/CE, SPECIFIQUE AUX COMMUNICATIONS ELECTRONIQUES ................ 6
2.
L’ADRESSE IP, UNE DONNEE PERSONNELLE ? .............................................. 7
2.1. LES PRINCIPAUX ACTEURS ET TECHNIQUES IMPLIQUES DANS INTERNET ET AYANT ACCES A
L’ADRESSE IP DE NOTRE ORDINATEUR .......................................................................... 7
2.2. RISQUES POUR LE RESPECT DE LA VIE PRIVEE ........................................................... 9
2.3. L’ADRESSE IP EST UNE DONNEE INDIRECTEMENT NOMINATIVE ........................................ 9
2.4. LIMITES DE LA THEORIE .................................................................................. 10
CONCLUSION .................................................................................................... 12
ANNEXE ......................................................................................................... 14
BIBLIOGRAPHIE .......................................................................................... 16
Introduction
Enjeux
L’émergence du commerce électronique suscite de larges perspectives de marché. Les
acteurs tant économiques que politiques s’accordent, en effet, à dire qu’Internet apporte
de grands bénéfices en terme d’amélioration du traitement des transactions, de
logistique et d’équipement, mais aussi en matière de gestion de la relation
compagnie/clientèle.
En effet, les renseignements sur les habitudes et les préférences des consommateurs
revêtent beaucoup d'intérêt à des fins marketing. Les cas récents confirment l’importance
croissante que les entreprises attachent aux profils « consommateurs ». Ainsi, des listes
de clients sont vendues ou louées.
A cet égard, il existe des outils de repérage qui permettent de recueillir automatiquement
ces renseignements en ligne, parfois à l'insu de l'internaute. Généralement, il s'agit
d'indications apparemment anodines : ordinateur et logiciel utilisés, adresse IP, site web
d'origine, fichiers consultés, temps passé sur chaque page. Cependant, au moyen de
témoins, les entreprises pourraient regrouper les données recueillies à partir de plusieurs
sites web et connaître les contenus et services auxquels un ordinateur particulier a
accédé sur Internet. Lorsque ces informations sont combinées à des renseignements qui
permettent d'identifier des particuliers, on obtient des profils détaillés de
consommateurs.
Cette aptitude à recueillir un important volume d’informations a abouti à l’émergence
d’un intérêt grandissant pour le respect de la vie privée. Désormais, afin de mériter la
confiance de leur clientèle, les entreprises doivent gérer les renseignements personnels
qu'elles recueillent dans le respect des lois et de la vie privée.
Depuis 1995, des dispositions communautaires protègent toute personne contre la
divulgation d'éléments se rapportant à son intimité sans son consentement, quel que soit
le support utilisé.
Par « intimité », nous entendons « vie privée ». Cette notion concerne tous les éléments
de la personnalité et notamment les données personnelles.
Qu’est ce que l’adresse IP d’un ordinateur ?
L’adresse IP (Internet Protocol) est une « Adresse codée sur 32 bits selon le protocole
Internet et affectée à un ordinateur figurant dans un réseau. Une portion de l'adresse IP
désigne le réseau et l'autre désigne un ordinateur dans ce réseau »1.
Internet est constitué d’un réseau international d’ordinateurs communiquant entre eux
sur la base d’une combinaison de deux protocoles nommés Transport Control
Protocol/Internet Protocol (TCP/IP). Le réseau TCP/IP est basé sur la transmission de
petits paquets d’informations. Chaque paquet comporte l’adresse IP de l’expéditeur et du
destinataire.
1
Groupe SOS Informatique, Glossaire Informatique, URL : http://www.sos-informatique.qc.ca/glossaire.htm#i,
dernière consultation le 25/11/2002.
Dans la même idée qu’une adresse postale composée du nom de la ville, de la rue et du
numéro personnel, l’adresse IP contient un algorithme implicite de location composé de
différents niveaux. Elle répond ainsi à 2 fonctions simultanées : l’une d’identification et
l’autre de location.
L’adresse IP n’est pas l’adresse d’une personne physique mais l’adresse du réseau local
de la machine d’un utilisateur connectée au réseau Internet.
Ainsi, chaque machine connectée directement à Internet est identifiée par une adresse IP
unique. Les réseaux connectés au réseau Internet public doivent obtenir un identificateur
de réseau officiel auprès de l’ICANN2 (The Internet Corporation for Assigned Names and
Numbers) garantissant l'unicité des identificateurs de réseau IP.
La Commission européenne compte prendre plusieurs mesures pour faciliter le passage
de l’économie de l’information au nouveau système d’adressage IP, avec notamment le
lancement en temps voulu de la prochaine génération d’adresses IPv63.
En effet, le système numérique des adresses IP « est actuellement basé sur des nombres
d’une longueur de 32 bits (IPv4). […]. Le développement de l’utilisation d’Internet par un
nombre de plus en plus élevé de personnes, d’organismes et d’application, […], soumet
l’espace d’adresses IPv4 à des pressions croissantes. Ainsi, une nouvelle version du
système d’adressage IP, à base de nombres de 128 bits (IPv6 ) est en cours de
développement. Cela représente une expansion massive de l’espace d’adresses
disponible »4.
La volonté d’améliorer la performance du système d’adressage IP répond donc à une
demande croissante d’accès à Internet. Nous comprenons donc bien qu’un nombre
considérable d’internautes sera alors confronté au problème de l’atteinte à la vie privée
que tente de protéger le droit communautaire. C’est ce que nous tentons de vous
expliquer dans cet article.
Cette étude porte sur le traitement d’une donnée apparemment insignifiante en matière
d’atteinte de la vie privée, l’adresse IP de votre ordinateur, mais qui pourrait bien, aux
termes du droit communautaire (2.), être reconnue comme une donnée indirectement
« nominative » (3.).
1. Le droit communautaire protège les données à caractère personnel
Dans le contexte de libre échange de la Communauté européenne, celle-ci devait se
doter d’une législation permettant de mettre en balance la libre circulation de
l’information5 entre les Etats membres, avec la protection de l’individu concerné par
les données, sur la base des droits et libertés de la personne humaine.
2
3
4
5
« ICANN ensures that the DNS continues to function effectively – by overseeing the distribution of unique
numeric IP addresses and domain names. Among its other responsibilities, ICANN oversees the processes and
systems that ensure that each domain name maps to the correct IP address ». Voir le site officiel de l’ICANN
sur : http://www.icann.org/ , dernière consultation le 30/11/2002.
Pour plus d’information à propos d’IPv6 se référer à l’article de F. RAYNAL et M SOUISSI dans le Linux
MAGAZINE d’octobre 2000, n°21, p.14.
Communication de la Commission au Conseil et au Parlement européen, “L’organisation et la gestion de
l’Internet – Enjeux internationaux et européens 1998-2000 ”. Voir supra.
Liberté économique fondant la Communauté européenne.
1.1. Une directive européenne de 19956 offre une protection générale
La directive 95/46/CE énonce les conditions générales de licéité d’un traitement de
données à caractère personnel.
Elle définit les données à caractère personnel comme « toute information concernant une
personne physique identifiée ou identifiable (personne concernée) ; est réputée
identifiable une personne qui peut-être identifiée, directement ou indirectement,
notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, psychologique, psychique, économique,
culturelle ou sociale ».
Se pose alors la question des données anonymes, c’est à dire ne révélant pas en
soi une identité, nous pensons notamment à l’adresse IP d’un ordinateur. Sontelles des informations à caractère personnel ?
Le considérant 26 de la directive indique « que pour déterminer si une personne est
identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être
raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre
personne, pour identifier ladite personne ; (considérant) que les principes de la
protection ne s’appliquent pas aux données rendues anonymes d’une manière telle
que la personne concernée n’est plus identifiable[…] ».
Il y a donc une certaine incertitude en ce qui concerne le domaine d'application du
concept de « données anonymes » et le risque est grand qu'un traitement qui, en
principe, ne contient pas d'identité, relève malgré tout des législations de protection des
données personnelles.
En effet, la directive est applicable aux données anonymes lorsque les moyens matériels
et techniques existent aux fins d’identifier les personnes concernées alors même qu’ils ne
sont pas utilisés car l’identification n’est pas nécessaire à l’activité poursuivie7.
Nous pouvons en effet les assimiler aux "données indirectement nominatives" citées
dans la directive. Ce sont des données qui permettent d'identifier une personne,
bien qu’elles ne soient pas accompagnées d'une identité. On entend ici toutes les
formes de numéro ou d'immatriculation où la présomption est grande qu'ils
correspondent à une personne. La certitude est quasi totale lorsqu'il s'agit d'un numéro
signifiant ou unique c'est-à-dire attribué à une seule personne : numéro
d'immatriculation à la sécurité sociale, numéro fiscal... Encore faut-il pouvoir rapprocher
cette information d'un fichier qui fasse le lien entre un numéro et une personne.
Notons à cet égard, que si une donnée est reconnue comme ayant un caractère
personnel aux termes de la directive générale, le responsable de son traitement devra
alors respecter trois grands principes.
D’une part l’intéressé devra être informé, et donc bien être au courant, du traitement en
question.
D’autre part, les informations à fournir à l’intéressé devront contenir des informations
claires et en nombre suffisant quant à la finalité du traitement8. Ainsi, les données à
caractère personnel ne devront être utilisées que dans un but spécifique et légitime.
6
7
8
Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données du Parlement européen
et du Conseil, journal officiel n° L281 du 23/11/1995 p 0031 – 0050 ; ci-après ‘la directive générale’.
Voir M-H Boulanger, C. de Terwangne, T. Léonard, S. Louveaux, D. Moreau, Y. Poullet, La protection des
données à caractère personnel en droit communautaire, ERA, volume 27, 2000.
Ainsi, l’article 6 de la directive interdit tout traitement ultérieur des données dans un but différent.
Finalement, l’article 6 de la directive contient un certain nombre de principes visant à
garantir une loyauté du traitement des données à caractère personnel.
1.2. La directive 2002/58/CE9, spécifique aux communications
électroniques
Nous allons le voir, la directive 2002 précise le sort réservé aux données à caractère
personnel dans le secteur des communications électroniques.
D’une part, l’article 6 concernant les données relatives au trafic10 précise que « Les
données relatives au trafic concernant les abonnés et les utilisateurs, traitées et stockées
par le fournisseur d’un réseau public de communications ou d’un service de
communications électroniques accessibles au public, doivent être effacées ou rendues
anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une
communication sans préjudice des paragraphes 2, 3 et 511, du présent article ainsi que
de l’article 15, paragraphe 1 ».
D’autre part, le considérant 28 précise que « L’obligation d’effacer ou de rendre
anonymes les données relatives au trafic lorsqu’elles ne sont plus nécessaires aux fins de
la transmission d’une communication n’est pas contradictoire avec les procédures
utilisées sur l’Internet, telles que celle de la mise en antémémoire (caching), dans le
système des noms de domaines, pour les adresses IP ou pour les liens entre une adresse
IP et une adresse physique, ou l’utilisation d’informations relatives à la connexion pour
contrôler le droit d’accès à des réseaux ou à des services ».
Ainsi, ce texte établi un régime spécifique aux informations nominatives dans le secteur
des communications électroniques.
En effet, outre le fait qu’elles doivent suivre les conditions générales12 attachées au
traitement de toute donnée personnelle, elles devront aussi être effacées ou rendues
anonymes lorsqu’elles ne seront plus nécessaires à la transmission d’une communication.
9
Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie
privée dans le secteur des communications électroniques (directive vie privée et communications
électroniques) du Parlement européen et du Conseil, du 12 juillet 2002. Journal officiel des Communautés
européennes L201/37. Ci-après « la directive 2002 ».
10
Les « données relatives au trafic » sont définies dans l’article 2 b) de la directive 2002 comme « toutes les
données traitées en vue de l’acheminement d’une communication par un réseau de communications
électroniques ou de sa facturation ; ».
11
Le paragraphe 2 du même article stipule que « les données relatives au trafic qui sont nécessaire pour
établir les factures des abonnés et les paiements pour interconnexion peuvent être traitées. Un tel traitement
n’est autorisé que jusqu’à la fin de la période au cours de laquelle la facture peut-être légalement contestée
ou des poursuites engagées pour en obtenir le paiement ».
Quant au paragraphe 3, il précise que « afin de commercialiser ses services de communications électroniques
ou de fournir des services à valeur ajoutée, le fournisseur d ’un service de communications électroniques
accessible au public peut traiter les données visées au paragraphe 1 dans la mesure et pour la durée
nécessaire à la fourniture ou à la commercialisation de ces services, pour autant que l ’abonné ou l ’utilisateur
que concernent ces données ait donné son consentement. Les utilisateurs ou abonnés ont la possibilité de
retirer à tout moment leur consentement pour le traitement des données relatives au trafic ».
Finalement, le paragraphe 5 stipule que « le traitement des données relatives au trafic effectué conformément
aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l’autorité des
fournisseurs de réseaux publics de communications et de services de communications électroniques
accessibles au public qui sont chargées d ’assurer la facturation ou la gestion du trafic, de répondre aux
demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications
provenant de pays tiers. électroniques ou de fournir un service à valeur ajoutée; ce traitement doit se limiter
à ce qui est nécessaire à de telles activités ».
12
Op. cit.
Deux exceptions sont cependant ménagées.
D'une part, il est prévu que certaines informations nécessaires à la facturation ou au
paiement de prestations pourront être conservées jusqu'à la fin de la période au cours de
laquelle la facture peut être légalement contestée.
D’autre part, « les Etats membres peuvent adopter des mesures législatives visant à
limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8,
paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation
constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société
démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’Etat
– la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection
et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de
communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la
directive 95/46/CE. À cette fin, les Etats membres peuvent, entre autres, adopter des
mesures législatives prévoyant la conservation de donnée pendant une durée limitée
lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe ».
En d’autres termes les Etats membres sont habilités à autoriser le responsable du
traitement à différer les opérations tendant à effacer ou à rendre anonymes certaines
catégories de données techniques pour les besoins de la recherche, de la constatation et
de la poursuite des infractions pénales par l'autorité judiciaire. C’est ainsi que la Loi
française relative à la sécurité quotidienne fixe dans son article 29 la durée maximale à
un an.13.
Le droit communautaire fixe donc de multiples règles visant à protéger les
données à caractère personnel, il est maintenant nécessaire d’analyser si elles
sont applicables à l’adresse IP de votre ordinateur.
2. L’adresse IP, une donnée personnelle ?
Les données de connexion14, liées aux techniques utilisées sur Internet pour établir la
communication entre ordinateurs distants (le protocole TCP/IP) et à l’utilisation faite du
réseau par l’individu, concernent notamment les adresses des machines du réseau (les
fameuses adresses IP), en particulier celles de l’émetteur d’un message et de son
destinataire.
A cet égard, l’adresse IP pourrait être un outil d’identification et de traçabilité des
individus extrêmement puissant.
De nombreux acteurs et techniques peuvent accéder à l’adresse IP de notre ordinateur
(3.1.) et pourraient alors porter atteinte à notre vie privée (3.2.). Nous démontrerons
donc qu’il serait alors possible d’appliquer le régime communautaire de protection des
données personnelles (3.3.). Cependant cette théorie connaît une limite qu’il sera
intéressant d’aborder (3.4.).
2.1. Les principaux acteurs et techniques impliqués dans Internet et
ayant accès à l’adresse IP de notre ordinateur
•
Le fournisseur d’accès à Internet15 : le point d’entrée chez le fournisseur de
services Internet est le serveur d’accès au réseau, le FAI16.
13
Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. J.O n° 266 du 16 novembre 2001
page 18215.
14
15
Les données de connexion sont les informations qui sont produites ou nécessitées par la technologie.
Ci-après le FAI.
Le FAI fournit, habituellement sur une base contractuelle, une connexion TCP/IP à un
utilisateur. Selon le choix technique et contractuel effectué par l’utilisateur, l’adresse
IP de sa machine sera permanente (on parle alors d’adresse fixe) ou sera attribuée,
par le FAI, à la volée, pour la durée de la connexion (on parle alors d’adresse IP
dynamique attribuée suivant le protocole DHCP). Il convient de noter que le numéro
IP alloué se trouve toujours dans une gamme de numéros IP attribués à ce FAI
précis ; des tiers peuvent donc aisément retrouver le FAI d’où proviennent les
paquets IP. L’adresse IP étant l’identification, parfois temporaire, d’une machine, on
pourrait s’interroger sur son rapport avec la protection des données nominatives.
Cependant, comme nous le démontrerons par la suite, les incidences de l’attribution
d’une adresse IP sont tout à fait considérables.
•
Le fournisseur de services Internet : il fournit aux particuliers et aux entreprises
des services sur le Web. Une fois la connexion établie avec un site web, celui-ci
récolte des informations sur l’utilisateur Internet en visite. Toutes les requêtes sont
en effet, accompagnées de l’adresse IP destination. Le site web sait également à
partir de quelle autre page web un internaute a été transféré chez lui (l’URL de la
page précédente est donc connue). Les informations sur la visite du site web sont
généralement stockées dans un « fichier-registre commun ». Ils ne sont cependant
au courant que de ce qui se passe sur leurs serveurs17.
Comme ils ne traitent pas l’adresse IP de leurs clients nous ne reviendrons pas sur
leur position à l’égard du droit communautaire. Il était cependant intéressant d’en
parler puisqu’ils sont une importante source d’informations sur le profil des
consommateurs.
•
Le serveur DNS : (Domain Name System) si les machines peuvent aisément
communiquer sur des adresses purement numériques comme l'adresse IP, il est plus
facile pour un être humain de se souvenir d’un nom. Le DNS est donc utile puisqu’il
permet d’affecter des noms aux ordinateurs identifiés par une adresse IP. De fait, il
garde trace de tous les noms des serveurs Internet que l’utilisateur aura essayé de
joindre. En pratique, ces serveurs DNS sont surtout employés par les FAI.
•
Le navigateur : (ou browser ) tels qu’Internet Explorer, Netscape ou Opera : lors de
la connexion avec un site web, certaines informations supplémentaires sont récoltées
dans la communication entre la plupart des navigateurs employés par les internautes
et les sites visités. C’est ce que l’on nomme généralement les « données de
bavardage18 ». En effet, tout en gérant la requête HTTP, le navigateur va
automatiquement communiquer différentes informations : l’adresse IP, la page
transférante (dans le cadre d’un moteur de recherche, cette variable contient les
mots-clés introduits par l’internaute), la marque, version et langue du navigateur
utilisé, le type et le système d’exploitation utilisés, sans oublier le cookie
d’identification19.
•
L’administrateur réseau : de par la nécessité d’assurer le bon fonctionnement et la
sécurité du réseau, celui-ci est amené à avoir accès à différentes informations
16
Il peut arriver que l’opérateur de télécommunication soit également le FAI.
17
Si le fournisseur de service place sur l’ordinateur client un cookie (souvent à l’insu du client ou en
empêchant toute connexion si le client refuse le dit cookie) il peut alors connaître les préférences de
l’utilisateur. Par exemple, Ryanair utilise ce principe pour connaître la langue de l’internaute. De même,
Amazone stocke les préférences de ses clients sur son serveur; retrouvées par les cookies cela permet de
suggérer des livres correspondant aux goûts des clients et donc d’augmenter les ventes.
18
Pour plus d’informations se référer à l’annexe de cette étude.
19
Le cookie ‘persistant’ est une information stockée dans des fichiers textes qui peuvent être écrits sur le
disque dur de l’internaute, et dont une copie peut être conservée sur le site web. De tels cookies accroissent
pour les sites web les possibilités de stocker et personnaliser les informations sur leurs visiteurs.
concernant l’intéressé (logs, messagerie Internet…). En effet, la préoccupation de la
sécurité du réseau justifie que les administrateurs de réseaux locaux fassent usage de
leurs positions et des possibilités techniques à leur disposition pour mener des
investigations et prendre des mesures que la sécurité impose.
2.2. Risques pour le respect de la vie privée
Comme nous venons de le démontrer, dans le contexte d’Internet, bien des informations
sont collectées et traitées d’une manière invisible pour l’intéressé. Ainsi, l’internaute n’a
souvent pas la liberté de décider lui-même à ce sujet.
Des risques supplémentaires apparaissent lorsque les informations récoltées au cours des
activités de surf peuvent être corrélées à d’autres informations existant à propos du
même utilisateur.
2.3. L’adresse IP est une donnée indirectement nominative
Si l’adresse IP n’est pas en soi une donnée personnelle, associée à d’autres informations
elle pourrait permettre d’identifier (indirectement) une personne. A cet égard, elle
entrerait alors dans le champ des directives communautaires encadrant le traitement des
données à caractère personnel.
Les FAI et les gestionnaires de réseaux locaux20 peuvent, en utilisant des moyens
raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué une adresse IP.
Pour obtenir une connexion, l’utilisateur doit conclure un contrat avec le FAI et donner
ses nom, adresse et autres données à caractère personnel. En général l’utilisateur reçoit
un nom d’identification et un mot de passe pour éviter qu’une autre personne ne puisse
utiliser son inscription.
Il apparaît que le FAI, ne fût ce que pour des raisons de sécurité, a coutume de consigner
systématiquement dans un fichier (dénommé " fichier log "21) la date, l’heure, la durée
de la connexion, l’adresse du site Internet consulté ou de la page du site demandée, le
courrier envoyé et reçu, la taille des messages et l’adresse IP donnée à l’utilisateur...
Les informations conservées par le FAI peuvent permettre de suivre, pas à pas, l’activité
d’un internaute (les sites visités, la date et l’heure, les documents téléchargés, la
participation à un espace de discussion, les messages électroniques expédiés ou reçus)
aussi longtemps que ces informations sont sauvegardées.
Ces banques de données ont avant tout un but utilitaire : assister les opérateurs dans
l'application des règlements intérieurs relatifs à l'emploi de leurs équipements, analyse à
priori ou à posteriori sur les incidents impliquant ou non des responsabilités de
personnes, ou encore le filtrage de certaines transactions en fonction de l'identité de la
personne la demandant, etc.
Les logs sont conservés aussi à des fins utiles pour la répression de la criminalité
informatique. Les tentatives de prise de contrôle à distance d'une machine y sont
enregistrées, et pourront servir à un magistrat instructeur pour réunir les éléments de
l'infraction.
20
21
L’administrateur réseau analysé supra (p. 7).
Un fichier log est un fichier contenant les informations de connexion sur un serveur.
Dès lors, l’adresse IP de l’internaute peut être qualifiée de donnée indirectement
personnelle puisque le FAI peut identifier l’intéressé en rapprochant cette adresse IP avec
l’ensemble des autres données personnelles qu’il aura collecté.
Quant à l’administrateur d’un réseau local, de part la nature de sa mission (garantir la
sécurité et le bon fonctionnement du réseau), il possède les moyens techniques pour
savoir qui se cache derrière tel « login » et mot de passe utilisant un ordinateur précis de
son réseau. Par ailleurs, il a la possibilité de connaître l’ensemble des activités des
utilisateurs.
Ici encore, l’adresse IP sera une donnée sensible entre les mains d’un gestionnaire d’un
réseau local qui pourra retracer toute l’activité de « surf » d’un utilisateur donné.
Comme nous le mentionnions auparavant, la directive générale est applicable à tout
traitement de données à caractère personnel entrant dans son champ d’application,
indépendamment des moyens techniques utilisés.
La directive 2002/58/CE est, quant à elle, applicable aux traitements d’informations
personnelles lors de communications électroniques.
Traitant des données à caractère personnel (dont l’adresse IP des utilisateurs), il ne fait
aucun doute que le FAI devra respecter non seulement les règles mentionnées dans la
directive générale, mais aussi celles imposées par la directive spécifique aux
communications électroniques. A cet égard, s’il est censé effacer ou rendre anonyme (en
détruisant les fichiers log) l’adresse IP de chaque utilisateur, il sera cependant autorisé à
conserver les informations nécessaires à la facturation ou au paiement de ses prestations
jusqu'à la fin de la période au cours de laquelle la facture pourra être légalement
contestée. Par ailleurs, à la demande des autorités judiciaires il pourra différer les
opérations tendant à effacer ou à rendre anonymes l’adresse IP pour les besoins de la
recherche, de la constatation et de la poursuite d’une infraction pénale.
Quant aux gestionnaires de réseaux locaux, ils se verront uniquement imposer les
principes développés dans la directive générale. En effet, il ne prend nullement part à
une communication électronique qui s’entend, aux termes de la directive 2002/58/CE
comme « toute information échangée ou acheminée entre un nombre fini de parties au
moyen d’un service de communications électroniques accessible au public. Cela ne
comprend pas les informations qui sont acheminées dans le cadre d’un service de
radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques,
sauf dans la mesure où un lien peut être établi entre l’information et l’abonné ou
utilisateur identifiable qui la reçoit ».
2.4. Limites de la théorie
Si une adresse IP permet d’identifier une machine en particulier, cela ne permet
cependant pas de connaître à coup sur l’utilisateur.
D’une part, dans un réseau informatique (au sein d’une entreprise par exemple), le
schéma souvent utilisé est celui d’un login et mot de passe permettant d’offrir l’accès au
réseau, et par-là même à Internet, à un utilisateur donné. Ainsi, comme nous le
spécifions auparavant22 l’administrateur d'un réseau local ainsi que le FAI connaissent le
nom de la personne à qui est décerné tel login et mot de passe. Cependant, rien ne
prouve que l’utilisateur n’aura point communiqué ses données de connexion au réseau à
un tiers ou bien, une fois que l’intéressé se sera connecté, qu’une tierce personne
n’usurpera point sa place lors d’une absence.
22
Voir supra 3.1.
De même, sur un ordinateur privé, nous pouvons tout à fait envisager la situation où
l’ensemble des membres du foyer se connecte avec un unique nom d’utilisateur.
D’ailleurs, un seul nom sera transmis au FAI lors de la conclusion du contrat de
connexion à Internet.
Ainsi, cette théorie proposant de qualifier l’adresse IP comme une donnée indirectement
nominative est justifiée afin de protéger le titulaire du contrat de connexion. Par contre,
la protection ne s’étendrait à l’internaute que dans l’hypothèse de son identification
sûre ; nous pouvons ici penser à une reconnaissance vocale ou par biométrie.
Cependant, au regard des multiples moyens techniques de falsification de tels éléments,
la seule méthode totalement sûr reste la confrontation directe avec la personne…
Conclusion
Comme le soulignent clairement Hagel et Singer23, « trop d’entreprises, dont des
entreprises de pointe émergeant sur Internet, n’ont pas tenu compte suffisamment de la
valeur des profils des consommateurs. Les gagnants et les perdants de cette ère nouvelle
seront déterminés par le fait de savoir qui possède les droits d’utilisation des profils des
consommateurs en ligne ». Harlpern et Harmon précisent24 ainsi que « les noms figurant
dans les bases de données (consommateurs) permettent à une entreprise d’économiser
beaucoup d’argent en publicité pour acquérir un client. ».
Il faut cependant garder en tête qu’il est absolument nécessaire d'établir un équilibre
entre les intérêts économiques de telles démarches et les droits de l’homme, dont le
respect de la vie privée. D’ailleurs, comme l’expriment justement Briat et Pitrat25, les
internautes, conscients de l’atteinte portée à leur vie privée, demandent de plus en plus
de pouvoir visiter les sites sans être « repérés ». A cet égard, il y a une émergence d’une
forme de label de confidentialité délivré aux sites désireux de garantir à leurs visiteurs
une confidentialité des traces qu’ils pourraient laisser derrière eux26. En outre, de
nouveaux mécanismes techniques (tel le NAT27) permettent de camoufler l’adresse IP et
ainsi tenter de rester anonyme lors d’une visite sur tel ou tel site web.
Cependant, Internet ne peut devenir une zone d’anonymat surtout à l’égard du système
judiciaire.
Ainsi, par une lettre du 22 septembre 1997, le Premier ministre avait demandé au
Conseil d'État d'analyser les questions juridiques liées au développement d'Internet et de
mettre en lumière les adaptations nécessaires de notre droit.
Le Conseil d'État souligna alors la nécessité de protéger les données nominatives et la vie
privée,28 tout en expliquant que le recoupement des informations personnelles avec
l’adresse IP ne devrait être utilisé qu’au sens d’une enquête judiciaire29. A cet égard, il
précisa que « la protection des données personnelles est menacée par de nouveaux
risques dans l'environnement des réseaux numériques : collectes de données à l'insu de
l'utilisateur, procédés de captation d'informations permettant la création de bases de
données comportementales, achats ou trocs de données personnelles,... […] En outre, il
importe de trouver un équilibre entre la préservation de l'anonymat des
individus sur les réseaux et la nécessité de pouvoir retrouver leur identité
lorsqu'ils commettent des infractions. Des obligations de conservation des données
de connexion doivent dès lors être imposées aux intermédiaires techniques afin de
faciliter les enquêtes judiciaires par une meilleure « traçabilité » des utilisateurs des
réseaux ».
23
HAGEL III, M., and SINGER, M., Net Worth : the emerging role of the infomediary in the race for customer
information, Harvard Business School Press, 1999, p xiii (préface).
24
Citation de HALPERN et HARMON, E-mergers trigger privacy worries, par Deborah KONG, URL :
http://www.datenschutz-berlin.de/doc/eu/gruppe29/wp37_en/wp37en04.htm#fnB28 , dernière consultation
le 18/12/2002.
25
M.
Briat
et
Ch.
M.
Pitrat,
Urgent,
concepts
à
clarifier,
http://www.dit.presse.fr/infolib/french/arti_pitrat.htm , dernière consultation le 18/12/2002.
URL :
26
Il n’y a cependant pas encore de garantie d’uniformité entre les multiples organismes délivrant ce genre de
label. Certains n’exigent même pas l’adhésion à une politique précise de protection de la vie privée. Nous
pouvons simplement voir dans une telle démarche une volonté de protéger la vie privée des visiteurs.
27
Network Address Translation : système de translation de l’adresse IP.
28
Jean-François THERY, Isabelle FALQUE-PIERROTIN. Conseil d’État. Section du rapport et des études Paris. La
Documentation
française.
1998,
(Les
Etudes
du
Conseil
d’État), URL :
http://www.internet.gouv.fr/francais/textesref/rapce98/sommaire.htm , dernière consultation le 13 janvier
2003.
29
Garantie offerte dans la directive 2002.
De toute manière, il serait naïf de croire que notre présence sur Internet peut rester
totalement inaperçue. Le futur système ‘Palladium’30 pourrait d’ailleurs être l’illustration
de ce propos.
30
Microsoft a décidé de changer le nom de sa future plate-forme de sécurité des applications. Elle ne
s'appellera désormais plus "Palladium", mais "next-generation secure computing base" (littéralement, "plateforme informatique sécurisée de nouvelle génération").
ANNEXE
Le bavardage du navigateur
Lors de l’exécution d’une requête HTTP, de multiples informations sont transmises dans
l’en-tête HTTP en plus de l’adresse IP du surfeur, c’est le « bavardage » automatique du
navigateur.
Prenons pour exemple le fait de taper http://www.website.org/index.htm . Cela signifie
que l’on désire voir la page nommée "index.htm" sur le serveur www.website.org .
Les données suivantes sont alors communiquées au serveur :
HTTP Var.
Opera 3.50
Netscape 4.0 Fr
Explorer 4.0 UK
GET :
GET/index.html
HTTP/1.0
GET/index.html
HTTP/1.0
GET/index.html
HTTP/1.0
User-Agent :
Mozilla/4.0
(compatible ;
Opera/3.0 ;Windows
95) 3.50
Mozilla/4.04[fr]
(Win95 ; I ; Nav)
Mozilla/4.0
(compatible ; MSIE
4.01 ; Windows 95)
Accept :
Image/gif, image/x- Image/gif, image/x- Image/gif, image/xxbitmap, image/jpeg xbitmap, image/jpeg xbitmap,
image/jpeg,
image/pjepeg,
application/vnd.msexcel,
application/
msword,
application/vnd.mspowerpoint
Referer :
Where.were.you/doc. Where.were.you/doc.
htm
htm
Language:
fr
fr-be
Ce tableau mérite quelques explications.
¾
La première ligne, qui précise à quelle page nous désirons accéder, est la seule
véritablement indispensable.
¾
La deuxième ligne définit le navigateur et le système d’exploitation de l’utilisateur
Internet.
¾
Dans la ligne « Accept », chaque navigateur mentionne que l’utilisateur Internet
emploie Windows95. Netscape ajoute que la version du navigateur est en langue
française. Chaque navigateur communique son propre nom, sa version et sousversion. Lorsqu’il décrit les formats acceptés, Microsoft informe chaque site que sur
l’ordinateur de l’utilisateur Internet sont installés PowerPoint, Excel et Word.
¾
Contrairement à Netscape et Microsoft, Opera ne dévoile pas la page transférante (le
« Referer »).
¾
Si Opera ne révèle pas la langue utilisée, Netscape signale que l’utilisateur parle
français et Microsoft dévoile que l’utilisateur est belge et de langue française.
Outre l’ensemble des données précitées, de multiples informations sont transmises,
comme l'adresse IP avec laquelle l’utilisateur est connecté à Internet, son adresse DNS,
le nombre de pages visitées durant la session, l’heure et la date indiquée sur l’ordinateur,
la résolution de l’écran…
Pour plus d’information à ce propos vous pouvez aller sur le site de la CNIL à :
http://www.cnil.fr/traces/index.htm .
BIBLIOGRAPHIE
•
Groupe SOS Informatique, Glossaire
informatique.qc.ca/glossaire.htm#i
•
Boulanger M-H., de Terwangne C., Léonard T., Louveaux S., Moreau D., Poullet Y., La
protection des données à caractère personnel en droit communautaire, ERA, volume
27, 2000.
•
Briat
M.
et
Pitrat
Ch.
M.,
Urgent,
concepts
http://www.dit.presse.fr/infolib/french/arti_pitrat.htm
•
Site officiel de la CNIL, URL http://www.cnil.fr
•
HAGEL III, M., and SINGER, M., Net Worth : the emerging role of the informediary in
the race for customer information, Harvard Business School Press, 1999, p xiii
(préface).
•
HALPERN et HARMON, E-mergers trigger privacy worries, citation par Deborah KONG,
URL :
http://www.datenschutz-berlin.de/doc/eu/gruppe29/wp37_en/wp37en04.htm#fnB28
•
F. RAYNAL et M SOUISSI, Linux MAGAZINE, octobre 2000, n°21, p.14.
•
THERY Jean-François, FALQUE-PIERROTIN Isabelle. Conseil d’État, Section du rapport
et des études Paris. La Documentation française. 1998, (Les Etudes du Conseil
d’État), URL : http://www.internet.gouv.fr/francais/textesref/rapce98/sommaire.htm.
Informatique,
URL :
à
http://www.sos-
clarifier,
URL :
Législation et textes officiels :
•
Communication de la Commission au Conseil et au Parlement européen,
“L’organisation et la gestion de l’Internet – Enjeux internationaux et européens 199820000 ”, COM (2000) 202 final, Bruxelles, le 11.4.2000.
•
Directive 95/46/CE relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données
du Parlement européen et du Conseil, journal officiel n° L281 du 23/11/1995 p 0031
– 0050.
•
Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997,
concernant le traitement des données à caractère personnel et la protection de la vie
privée dans le secteur des télécommunications. Journal officiel n° L 024 du
30/01/1998 p. 0001 – 0008.
•
Directive 2002/58/CE concernant le traitement des données à caractère personnel et
la protection de la vie privée dans le secteur des communications électroniques
(directive vie privée et communications électroniques) du Parlement européen et du
Conseil, du 12 juillet 2002. Journal officiel des Communautés européennes L 201/37.
•
Projet de Loi sur la société de l'information, présenté au nom de M. Lionel Jospin,
Premier ministre, par M. Laurent Fabius, ministre de l'économie, des finances et de
l'industrie. Enregistré à la Présidence de l'Assemblée nationale le 14 juin 2001.
•
Recommandation 1/99 sur le traitement invisible et automatisé de données à
caractère personnel sur Internet réalisé par les logiciels et matériels, adoptée le 23
février 1999, 5093/98/EN/final, WP 17.

L`adresse IP de votre ordinateur : une donnée personnelle relevant

Transcription

Documents pareils

La Ferme de Sophie Chambres d`Hôtes en Alsace

theatre la pergola - Saint

Directive d`application de la loi et du règlement sur l`énergie

20.9 €

MIF+Textes+reference+octobre07

Les résultats dàdmission à làgrégation interne SVT de lànnée

Mention de droit d`auteur © Sophie Jodoin Artiste Jodoin, Sophie

comite de jumelage «pays de bray/orava - Lalande-en-Son

CPGE PCSI-MPSI - site du lycée Lalande

Juillet 2004 - DROIT