L`adresse IP de votre ordinateur : une donnée personnelle relevant
Transcription
L`adresse IP de votre ordinateur : une donnée personnelle relevant
L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur : une donnée personnelle relevant du régime de protection communautaire ? S SO OP PH HIIE E LLA ALLA AN ND DE E Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande SOMMAIRE INTRODUCTION .................................................................................................. 3 ENJEUX ............................................................................................................. 3 QU’EST CE QUE L’ADRESSE IP D’UN ORDINATEUR ? ........................................................... 3 LE DROIT COMMUNAUTAIRE PROTEGE LES DONNEES A CARACTERE PERSONNEL ........................................................................................................ 4 1. 1.1. UNE DIRECTIVE EUROPEENNE DE 1995 OFFRE UNE PROTECTION GENERALE ......................... 5 1.2. LA DIRECTIVE 2002/58/CE, SPECIFIQUE AUX COMMUNICATIONS ELECTRONIQUES ................ 6 2. L’ADRESSE IP, UNE DONNEE PERSONNELLE ? .............................................. 7 2.1. LES PRINCIPAUX ACTEURS ET TECHNIQUES IMPLIQUES DANS INTERNET ET AYANT ACCES A L’ADRESSE IP DE NOTRE ORDINATEUR .......................................................................... 7 2.2. RISQUES POUR LE RESPECT DE LA VIE PRIVEE ........................................................... 9 2.3. L’ADRESSE IP EST UNE DONNEE INDIRECTEMENT NOMINATIVE ........................................ 9 2.4. LIMITES DE LA THEORIE .................................................................................. 10 CONCLUSION .................................................................................................... 12 ANNEXE ......................................................................................................... 14 BIBLIOGRAPHIE .......................................................................................... 16 Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Introduction Enjeux L’émergence du commerce électronique suscite de larges perspectives de marché. Les acteurs tant économiques que politiques s’accordent, en effet, à dire qu’Internet apporte de grands bénéfices en terme d’amélioration du traitement des transactions, de logistique et d’équipement, mais aussi en matière de gestion de la relation compagnie/clientèle. En effet, les renseignements sur les habitudes et les préférences des consommateurs revêtent beaucoup d'intérêt à des fins marketing. Les cas récents confirment l’importance croissante que les entreprises attachent aux profils « consommateurs ». Ainsi, des listes de clients sont vendues ou louées. A cet égard, il existe des outils de repérage qui permettent de recueillir automatiquement ces renseignements en ligne, parfois à l'insu de l'internaute. Généralement, il s'agit d'indications apparemment anodines : ordinateur et logiciel utilisés, adresse IP, site web d'origine, fichiers consultés, temps passé sur chaque page. Cependant, au moyen de témoins, les entreprises pourraient regrouper les données recueillies à partir de plusieurs sites web et connaître les contenus et services auxquels un ordinateur particulier a accédé sur Internet. Lorsque ces informations sont combinées à des renseignements qui permettent d'identifier des particuliers, on obtient des profils détaillés de consommateurs. Cette aptitude à recueillir un important volume d’informations a abouti à l’émergence d’un intérêt grandissant pour le respect de la vie privée. Désormais, afin de mériter la confiance de leur clientèle, les entreprises doivent gérer les renseignements personnels qu'elles recueillent dans le respect des lois et de la vie privée. Depuis 1995, des dispositions communautaires protègent toute personne contre la divulgation d'éléments se rapportant à son intimité sans son consentement, quel que soit le support utilisé. Par « intimité », nous entendons « vie privée ». Cette notion concerne tous les éléments de la personnalité et notamment les données personnelles. Qu’est ce que l’adresse IP d’un ordinateur ? L’adresse IP (Internet Protocol) est une « Adresse codée sur 32 bits selon le protocole Internet et affectée à un ordinateur figurant dans un réseau. Une portion de l'adresse IP désigne le réseau et l'autre désigne un ordinateur dans ce réseau »1. Internet est constitué d’un réseau international d’ordinateurs communiquant entre eux sur la base d’une combinaison de deux protocoles nommés Transport Control Protocol/Internet Protocol (TCP/IP). Le réseau TCP/IP est basé sur la transmission de petits paquets d’informations. Chaque paquet comporte l’adresse IP de l’expéditeur et du destinataire. 1 Groupe SOS Informatique, Glossaire Informatique, URL : http://www.sos-informatique.qc.ca/glossaire.htm#i, dernière consultation le 25/11/2002. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Dans la même idée qu’une adresse postale composée du nom de la ville, de la rue et du numéro personnel, l’adresse IP contient un algorithme implicite de location composé de différents niveaux. Elle répond ainsi à 2 fonctions simultanées : l’une d’identification et l’autre de location. L’adresse IP n’est pas l’adresse d’une personne physique mais l’adresse du réseau local de la machine d’un utilisateur connectée au réseau Internet. Ainsi, chaque machine connectée directement à Internet est identifiée par une adresse IP unique. Les réseaux connectés au réseau Internet public doivent obtenir un identificateur de réseau officiel auprès de l’ICANN2 (The Internet Corporation for Assigned Names and Numbers) garantissant l'unicité des identificateurs de réseau IP. La Commission européenne compte prendre plusieurs mesures pour faciliter le passage de l’économie de l’information au nouveau système d’adressage IP, avec notamment le lancement en temps voulu de la prochaine génération d’adresses IPv63. En effet, le système numérique des adresses IP « est actuellement basé sur des nombres d’une longueur de 32 bits (IPv4). […]. Le développement de l’utilisation d’Internet par un nombre de plus en plus élevé de personnes, d’organismes et d’application, […], soumet l’espace d’adresses IPv4 à des pressions croissantes. Ainsi, une nouvelle version du système d’adressage IP, à base de nombres de 128 bits (IPv6 ) est en cours de développement. Cela représente une expansion massive de l’espace d’adresses disponible »4. La volonté d’améliorer la performance du système d’adressage IP répond donc à une demande croissante d’accès à Internet. Nous comprenons donc bien qu’un nombre considérable d’internautes sera alors confronté au problème de l’atteinte à la vie privée que tente de protéger le droit communautaire. C’est ce que nous tentons de vous expliquer dans cet article. Cette étude porte sur le traitement d’une donnée apparemment insignifiante en matière d’atteinte de la vie privée, l’adresse IP de votre ordinateur, mais qui pourrait bien, aux termes du droit communautaire (2.), être reconnue comme une donnée indirectement « nominative » (3.). 1. Le droit communautaire protège les données à caractère personnel Dans le contexte de libre échange de la Communauté européenne, celle-ci devait se doter d’une législation permettant de mettre en balance la libre circulation de l’information5 entre les Etats membres, avec la protection de l’individu concerné par les données, sur la base des droits et libertés de la personne humaine. 2 3 4 5 « ICANN ensures that the DNS continues to function effectively – by overseeing the distribution of unique numeric IP addresses and domain names. Among its other responsibilities, ICANN oversees the processes and systems that ensure that each domain name maps to the correct IP address ». Voir le site officiel de l’ICANN sur : http://www.icann.org/ , dernière consultation le 30/11/2002. Pour plus d’information à propos d’IPv6 se référer à l’article de F. RAYNAL et M SOUISSI dans le Linux MAGAZINE d’octobre 2000, n°21, p.14. Communication de la Commission au Conseil et au Parlement européen, “L’organisation et la gestion de l’Internet – Enjeux internationaux et européens 1998-2000 ”. Voir supra. Liberté économique fondant la Communauté européenne. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande 1.1. Une directive européenne de 19956 offre une protection générale La directive 95/46/CE énonce les conditions générales de licéité d’un traitement de données à caractère personnel. Elle définit les données à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut-être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, psychologique, psychique, économique, culturelle ou sociale ». Se pose alors la question des données anonymes, c’est à dire ne révélant pas en soi une identité, nous pensons notamment à l’adresse IP d’un ordinateur. Sontelles des informations à caractère personnel ? Le considérant 26 de la directive indique « que pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; (considérant) que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable[…] ». Il y a donc une certaine incertitude en ce qui concerne le domaine d'application du concept de « données anonymes » et le risque est grand qu'un traitement qui, en principe, ne contient pas d'identité, relève malgré tout des législations de protection des données personnelles. En effet, la directive est applicable aux données anonymes lorsque les moyens matériels et techniques existent aux fins d’identifier les personnes concernées alors même qu’ils ne sont pas utilisés car l’identification n’est pas nécessaire à l’activité poursuivie7. Nous pouvons en effet les assimiler aux "données indirectement nominatives" citées dans la directive. Ce sont des données qui permettent d'identifier une personne, bien qu’elles ne soient pas accompagnées d'une identité. On entend ici toutes les formes de numéro ou d'immatriculation où la présomption est grande qu'ils correspondent à une personne. La certitude est quasi totale lorsqu'il s'agit d'un numéro signifiant ou unique c'est-à-dire attribué à une seule personne : numéro d'immatriculation à la sécurité sociale, numéro fiscal... Encore faut-il pouvoir rapprocher cette information d'un fichier qui fasse le lien entre un numéro et une personne. Notons à cet égard, que si une donnée est reconnue comme ayant un caractère personnel aux termes de la directive générale, le responsable de son traitement devra alors respecter trois grands principes. D’une part l’intéressé devra être informé, et donc bien être au courant, du traitement en question. D’autre part, les informations à fournir à l’intéressé devront contenir des informations claires et en nombre suffisant quant à la finalité du traitement8. Ainsi, les données à caractère personnel ne devront être utilisées que dans un but spécifique et légitime. 6 7 8 Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du Parlement européen et du Conseil, journal officiel n° L281 du 23/11/1995 p 0031 – 0050 ; ci-après ‘la directive générale’. Voir M-H Boulanger, C. de Terwangne, T. Léonard, S. Louveaux, D. Moreau, Y. Poullet, La protection des données à caractère personnel en droit communautaire, ERA, volume 27, 2000. Ainsi, l’article 6 de la directive interdit tout traitement ultérieur des données dans un but différent. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Finalement, l’article 6 de la directive contient un certain nombre de principes visant à garantir une loyauté du traitement des données à caractère personnel. 1.2. La directive 2002/58/CE9, spécifique aux communications électroniques Nous allons le voir, la directive 2002 précise le sort réservé aux données à caractère personnel dans le secteur des communications électroniques. D’une part, l’article 6 concernant les données relatives au trafic10 précise que « Les données relatives au trafic concernant les abonnés et les utilisateurs, traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public, doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 511, du présent article ainsi que de l’article 15, paragraphe 1 ». D’autre part, le considérant 28 précise que « L’obligation d’effacer ou de rendre anonymes les données relatives au trafic lorsqu’elles ne sont plus nécessaires aux fins de la transmission d’une communication n’est pas contradictoire avec les procédures utilisées sur l’Internet, telles que celle de la mise en antémémoire (caching), dans le système des noms de domaines, pour les adresses IP ou pour les liens entre une adresse IP et une adresse physique, ou l’utilisation d’informations relatives à la connexion pour contrôler le droit d’accès à des réseaux ou à des services ». Ainsi, ce texte établi un régime spécifique aux informations nominatives dans le secteur des communications électroniques. En effet, outre le fait qu’elles doivent suivre les conditions générales12 attachées au traitement de toute donnée personnelle, elles devront aussi être effacées ou rendues anonymes lorsqu’elles ne seront plus nécessaires à la transmission d’une communication. 9 Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) du Parlement européen et du Conseil, du 12 juillet 2002. Journal officiel des Communautés européennes L201/37. Ci-après « la directive 2002 ». 10 Les « données relatives au trafic » sont définies dans l’article 2 b) de la directive 2002 comme « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation ; ». 11 Le paragraphe 2 du même article stipule que « les données relatives au trafic qui sont nécessaire pour établir les factures des abonnés et les paiements pour interconnexion peuvent être traitées. Un tel traitement n’est autorisé que jusqu’à la fin de la période au cours de laquelle la facture peut-être légalement contestée ou des poursuites engagées pour en obtenir le paiement ». Quant au paragraphe 3, il précise que « afin de commercialiser ses services de communications électroniques ou de fournir des services à valeur ajoutée, le fournisseur d ’un service de communications électroniques accessible au public peut traiter les données visées au paragraphe 1 dans la mesure et pour la durée nécessaire à la fourniture ou à la commercialisation de ces services, pour autant que l ’abonné ou l ’utilisateur que concernent ces données ait donné son consentement. Les utilisateurs ou abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic ». Finalement, le paragraphe 5 stipule que « le traitement des données relatives au trafic effectué conformément aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques accessibles au public qui sont chargées d ’assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications provenant de pays tiers. électroniques ou de fournir un service à valeur ajoutée; ce traitement doit se limiter à ce qui est nécessaire à de telles activités ». 12 Op. cit. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Deux exceptions sont cependant ménagées. D'une part, il est prévu que certaines informations nécessaires à la facturation ou au paiement de prestations pourront être conservées jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée. D’autre part, « les Etats membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’Etat – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les Etats membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de donnée pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe ». En d’autres termes les Etats membres sont habilités à autoriser le responsable du traitement à différer les opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales par l'autorité judiciaire. C’est ainsi que la Loi française relative à la sécurité quotidienne fixe dans son article 29 la durée maximale à un an.13. Le droit communautaire fixe donc de multiples règles visant à protéger les données à caractère personnel, il est maintenant nécessaire d’analyser si elles sont applicables à l’adresse IP de votre ordinateur. 2. L’adresse IP, une donnée personnelle ? Les données de connexion14, liées aux techniques utilisées sur Internet pour établir la communication entre ordinateurs distants (le protocole TCP/IP) et à l’utilisation faite du réseau par l’individu, concernent notamment les adresses des machines du réseau (les fameuses adresses IP), en particulier celles de l’émetteur d’un message et de son destinataire. A cet égard, l’adresse IP pourrait être un outil d’identification et de traçabilité des individus extrêmement puissant. De nombreux acteurs et techniques peuvent accéder à l’adresse IP de notre ordinateur (3.1.) et pourraient alors porter atteinte à notre vie privée (3.2.). Nous démontrerons donc qu’il serait alors possible d’appliquer le régime communautaire de protection des données personnelles (3.3.). Cependant cette théorie connaît une limite qu’il sera intéressant d’aborder (3.4.). 2.1. Les principaux acteurs et techniques impliqués dans Internet et ayant accès à l’adresse IP de notre ordinateur • Le fournisseur d’accès à Internet15 : le point d’entrée chez le fournisseur de services Internet est le serveur d’accès au réseau, le FAI16. 13 Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. J.O n° 266 du 16 novembre 2001 page 18215. 14 15 Les données de connexion sont les informations qui sont produites ou nécessitées par la technologie. Ci-après le FAI. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Le FAI fournit, habituellement sur une base contractuelle, une connexion TCP/IP à un utilisateur. Selon le choix technique et contractuel effectué par l’utilisateur, l’adresse IP de sa machine sera permanente (on parle alors d’adresse fixe) ou sera attribuée, par le FAI, à la volée, pour la durée de la connexion (on parle alors d’adresse IP dynamique attribuée suivant le protocole DHCP). Il convient de noter que le numéro IP alloué se trouve toujours dans une gamme de numéros IP attribués à ce FAI précis ; des tiers peuvent donc aisément retrouver le FAI d’où proviennent les paquets IP. L’adresse IP étant l’identification, parfois temporaire, d’une machine, on pourrait s’interroger sur son rapport avec la protection des données nominatives. Cependant, comme nous le démontrerons par la suite, les incidences de l’attribution d’une adresse IP sont tout à fait considérables. • Le fournisseur de services Internet : il fournit aux particuliers et aux entreprises des services sur le Web. Une fois la connexion établie avec un site web, celui-ci récolte des informations sur l’utilisateur Internet en visite. Toutes les requêtes sont en effet, accompagnées de l’adresse IP destination. Le site web sait également à partir de quelle autre page web un internaute a été transféré chez lui (l’URL de la page précédente est donc connue). Les informations sur la visite du site web sont généralement stockées dans un « fichier-registre commun ». Ils ne sont cependant au courant que de ce qui se passe sur leurs serveurs17. Comme ils ne traitent pas l’adresse IP de leurs clients nous ne reviendrons pas sur leur position à l’égard du droit communautaire. Il était cependant intéressant d’en parler puisqu’ils sont une importante source d’informations sur le profil des consommateurs. • Le serveur DNS : (Domain Name System) si les machines peuvent aisément communiquer sur des adresses purement numériques comme l'adresse IP, il est plus facile pour un être humain de se souvenir d’un nom. Le DNS est donc utile puisqu’il permet d’affecter des noms aux ordinateurs identifiés par une adresse IP. De fait, il garde trace de tous les noms des serveurs Internet que l’utilisateur aura essayé de joindre. En pratique, ces serveurs DNS sont surtout employés par les FAI. • Le navigateur : (ou browser ) tels qu’Internet Explorer, Netscape ou Opera : lors de la connexion avec un site web, certaines informations supplémentaires sont récoltées dans la communication entre la plupart des navigateurs employés par les internautes et les sites visités. C’est ce que l’on nomme généralement les « données de bavardage18 ». En effet, tout en gérant la requête HTTP, le navigateur va automatiquement communiquer différentes informations : l’adresse IP, la page transférante (dans le cadre d’un moteur de recherche, cette variable contient les mots-clés introduits par l’internaute), la marque, version et langue du navigateur utilisé, le type et le système d’exploitation utilisés, sans oublier le cookie d’identification19. • L’administrateur réseau : de par la nécessité d’assurer le bon fonctionnement et la sécurité du réseau, celui-ci est amené à avoir accès à différentes informations 16 Il peut arriver que l’opérateur de télécommunication soit également le FAI. 17 Si le fournisseur de service place sur l’ordinateur client un cookie (souvent à l’insu du client ou en empêchant toute connexion si le client refuse le dit cookie) il peut alors connaître les préférences de l’utilisateur. Par exemple, Ryanair utilise ce principe pour connaître la langue de l’internaute. De même, Amazone stocke les préférences de ses clients sur son serveur; retrouvées par les cookies cela permet de suggérer des livres correspondant aux goûts des clients et donc d’augmenter les ventes. 18 Pour plus d’informations se référer à l’annexe de cette étude. 19 Le cookie ‘persistant’ est une information stockée dans des fichiers textes qui peuvent être écrits sur le disque dur de l’internaute, et dont une copie peut être conservée sur le site web. De tels cookies accroissent pour les sites web les possibilités de stocker et personnaliser les informations sur leurs visiteurs. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande concernant l’intéressé (logs, messagerie Internet…). En effet, la préoccupation de la sécurité du réseau justifie que les administrateurs de réseaux locaux fassent usage de leurs positions et des possibilités techniques à leur disposition pour mener des investigations et prendre des mesures que la sécurité impose. 2.2. Risques pour le respect de la vie privée Comme nous venons de le démontrer, dans le contexte d’Internet, bien des informations sont collectées et traitées d’une manière invisible pour l’intéressé. Ainsi, l’internaute n’a souvent pas la liberté de décider lui-même à ce sujet. Des risques supplémentaires apparaissent lorsque les informations récoltées au cours des activités de surf peuvent être corrélées à d’autres informations existant à propos du même utilisateur. 2.3. L’adresse IP est une donnée indirectement nominative Si l’adresse IP n’est pas en soi une donnée personnelle, associée à d’autres informations elle pourrait permettre d’identifier (indirectement) une personne. A cet égard, elle entrerait alors dans le champ des directives communautaires encadrant le traitement des données à caractère personnel. Les FAI et les gestionnaires de réseaux locaux20 peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué une adresse IP. Pour obtenir une connexion, l’utilisateur doit conclure un contrat avec le FAI et donner ses nom, adresse et autres données à caractère personnel. En général l’utilisateur reçoit un nom d’identification et un mot de passe pour éviter qu’une autre personne ne puisse utiliser son inscription. Il apparaît que le FAI, ne fût ce que pour des raisons de sécurité, a coutume de consigner systématiquement dans un fichier (dénommé " fichier log "21) la date, l’heure, la durée de la connexion, l’adresse du site Internet consulté ou de la page du site demandée, le courrier envoyé et reçu, la taille des messages et l’adresse IP donnée à l’utilisateur... Les informations conservées par le FAI peuvent permettre de suivre, pas à pas, l’activité d’un internaute (les sites visités, la date et l’heure, les documents téléchargés, la participation à un espace de discussion, les messages électroniques expédiés ou reçus) aussi longtemps que ces informations sont sauvegardées. Ces banques de données ont avant tout un but utilitaire : assister les opérateurs dans l'application des règlements intérieurs relatifs à l'emploi de leurs équipements, analyse à priori ou à posteriori sur les incidents impliquant ou non des responsabilités de personnes, ou encore le filtrage de certaines transactions en fonction de l'identité de la personne la demandant, etc. Les logs sont conservés aussi à des fins utiles pour la répression de la criminalité informatique. Les tentatives de prise de contrôle à distance d'une machine y sont enregistrées, et pourront servir à un magistrat instructeur pour réunir les éléments de l'infraction. 20 21 L’administrateur réseau analysé supra (p. 7). Un fichier log est un fichier contenant les informations de connexion sur un serveur. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Dès lors, l’adresse IP de l’internaute peut être qualifiée de donnée indirectement personnelle puisque le FAI peut identifier l’intéressé en rapprochant cette adresse IP avec l’ensemble des autres données personnelles qu’il aura collecté. Quant à l’administrateur d’un réseau local, de part la nature de sa mission (garantir la sécurité et le bon fonctionnement du réseau), il possède les moyens techniques pour savoir qui se cache derrière tel « login » et mot de passe utilisant un ordinateur précis de son réseau. Par ailleurs, il a la possibilité de connaître l’ensemble des activités des utilisateurs. Ici encore, l’adresse IP sera une donnée sensible entre les mains d’un gestionnaire d’un réseau local qui pourra retracer toute l’activité de « surf » d’un utilisateur donné. Comme nous le mentionnions auparavant, la directive générale est applicable à tout traitement de données à caractère personnel entrant dans son champ d’application, indépendamment des moyens techniques utilisés. La directive 2002/58/CE est, quant à elle, applicable aux traitements d’informations personnelles lors de communications électroniques. Traitant des données à caractère personnel (dont l’adresse IP des utilisateurs), il ne fait aucun doute que le FAI devra respecter non seulement les règles mentionnées dans la directive générale, mais aussi celles imposées par la directive spécifique aux communications électroniques. A cet égard, s’il est censé effacer ou rendre anonyme (en détruisant les fichiers log) l’adresse IP de chaque utilisateur, il sera cependant autorisé à conserver les informations nécessaires à la facturation ou au paiement de ses prestations jusqu'à la fin de la période au cours de laquelle la facture pourra être légalement contestée. Par ailleurs, à la demande des autorités judiciaires il pourra différer les opérations tendant à effacer ou à rendre anonymes l’adresse IP pour les besoins de la recherche, de la constatation et de la poursuite d’une infraction pénale. Quant aux gestionnaires de réseaux locaux, ils se verront uniquement imposer les principes développés dans la directive générale. En effet, il ne prend nullement part à une communication électronique qui s’entend, aux termes de la directive 2002/58/CE comme « toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public. Cela ne comprend pas les informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques, sauf dans la mesure où un lien peut être établi entre l’information et l’abonné ou utilisateur identifiable qui la reçoit ». 2.4. Limites de la théorie Si une adresse IP permet d’identifier une machine en particulier, cela ne permet cependant pas de connaître à coup sur l’utilisateur. D’une part, dans un réseau informatique (au sein d’une entreprise par exemple), le schéma souvent utilisé est celui d’un login et mot de passe permettant d’offrir l’accès au réseau, et par-là même à Internet, à un utilisateur donné. Ainsi, comme nous le spécifions auparavant22 l’administrateur d'un réseau local ainsi que le FAI connaissent le nom de la personne à qui est décerné tel login et mot de passe. Cependant, rien ne prouve que l’utilisateur n’aura point communiqué ses données de connexion au réseau à un tiers ou bien, une fois que l’intéressé se sera connecté, qu’une tierce personne n’usurpera point sa place lors d’une absence. 22 Voir supra 3.1. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande De même, sur un ordinateur privé, nous pouvons tout à fait envisager la situation où l’ensemble des membres du foyer se connecte avec un unique nom d’utilisateur. D’ailleurs, un seul nom sera transmis au FAI lors de la conclusion du contrat de connexion à Internet. Ainsi, cette théorie proposant de qualifier l’adresse IP comme une donnée indirectement nominative est justifiée afin de protéger le titulaire du contrat de connexion. Par contre, la protection ne s’étendrait à l’internaute que dans l’hypothèse de son identification sûre ; nous pouvons ici penser à une reconnaissance vocale ou par biométrie. Cependant, au regard des multiples moyens techniques de falsification de tels éléments, la seule méthode totalement sûr reste la confrontation directe avec la personne… Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande Conclusion Comme le soulignent clairement Hagel et Singer23, « trop d’entreprises, dont des entreprises de pointe émergeant sur Internet, n’ont pas tenu compte suffisamment de la valeur des profils des consommateurs. Les gagnants et les perdants de cette ère nouvelle seront déterminés par le fait de savoir qui possède les droits d’utilisation des profils des consommateurs en ligne ». Harlpern et Harmon précisent24 ainsi que « les noms figurant dans les bases de données (consommateurs) permettent à une entreprise d’économiser beaucoup d’argent en publicité pour acquérir un client. ». Il faut cependant garder en tête qu’il est absolument nécessaire d'établir un équilibre entre les intérêts économiques de telles démarches et les droits de l’homme, dont le respect de la vie privée. D’ailleurs, comme l’expriment justement Briat et Pitrat25, les internautes, conscients de l’atteinte portée à leur vie privée, demandent de plus en plus de pouvoir visiter les sites sans être « repérés ». A cet égard, il y a une émergence d’une forme de label de confidentialité délivré aux sites désireux de garantir à leurs visiteurs une confidentialité des traces qu’ils pourraient laisser derrière eux26. En outre, de nouveaux mécanismes techniques (tel le NAT27) permettent de camoufler l’adresse IP et ainsi tenter de rester anonyme lors d’une visite sur tel ou tel site web. Cependant, Internet ne peut devenir une zone d’anonymat surtout à l’égard du système judiciaire. Ainsi, par une lettre du 22 septembre 1997, le Premier ministre avait demandé au Conseil d'État d'analyser les questions juridiques liées au développement d'Internet et de mettre en lumière les adaptations nécessaires de notre droit. Le Conseil d'État souligna alors la nécessité de protéger les données nominatives et la vie privée,28 tout en expliquant que le recoupement des informations personnelles avec l’adresse IP ne devrait être utilisé qu’au sens d’une enquête judiciaire29. A cet égard, il précisa que « la protection des données personnelles est menacée par de nouveaux risques dans l'environnement des réseaux numériques : collectes de données à l'insu de l'utilisateur, procédés de captation d'informations permettant la création de bases de données comportementales, achats ou trocs de données personnelles,... […] En outre, il importe de trouver un équilibre entre la préservation de l'anonymat des individus sur les réseaux et la nécessité de pouvoir retrouver leur identité lorsqu'ils commettent des infractions. Des obligations de conservation des données de connexion doivent dès lors être imposées aux intermédiaires techniques afin de faciliter les enquêtes judiciaires par une meilleure « traçabilité » des utilisateurs des réseaux ». 23 HAGEL III, M., and SINGER, M., Net Worth : the emerging role of the infomediary in the race for customer information, Harvard Business School Press, 1999, p xiii (préface). 24 Citation de HALPERN et HARMON, E-mergers trigger privacy worries, par Deborah KONG, URL : http://www.datenschutz-berlin.de/doc/eu/gruppe29/wp37_en/wp37en04.htm#fnB28 , dernière consultation le 18/12/2002. 25 M. Briat et Ch. M. Pitrat, Urgent, concepts à clarifier, http://www.dit.presse.fr/infolib/french/arti_pitrat.htm , dernière consultation le 18/12/2002. URL : 26 Il n’y a cependant pas encore de garantie d’uniformité entre les multiples organismes délivrant ce genre de label. Certains n’exigent même pas l’adhésion à une politique précise de protection de la vie privée. Nous pouvons simplement voir dans une telle démarche une volonté de protéger la vie privée des visiteurs. 27 Network Address Translation : système de translation de l’adresse IP. 28 Jean-François THERY, Isabelle FALQUE-PIERROTIN. Conseil d’État. Section du rapport et des études Paris. La Documentation française. 1998, (Les Etudes du Conseil d’État), URL : http://www.internet.gouv.fr/francais/textesref/rapce98/sommaire.htm , dernière consultation le 13 janvier 2003. 29 Garantie offerte dans la directive 2002. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande De toute manière, il serait naïf de croire que notre présence sur Internet peut rester totalement inaperçue. Le futur système ‘Palladium’30 pourrait d’ailleurs être l’illustration de ce propos. 30 Microsoft a décidé de changer le nom de sa future plate-forme de sécurité des applications. Elle ne s'appellera désormais plus "Palladium", mais "next-generation secure computing base" (littéralement, "plateforme informatique sécurisée de nouvelle génération"). Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande ANNEXE Le bavardage du navigateur Lors de l’exécution d’une requête HTTP, de multiples informations sont transmises dans l’en-tête HTTP en plus de l’adresse IP du surfeur, c’est le « bavardage » automatique du navigateur. Prenons pour exemple le fait de taper http://www.website.org/index.htm . Cela signifie que l’on désire voir la page nommée "index.htm" sur le serveur www.website.org . Les données suivantes sont alors communiquées au serveur : HTTP Var. Opera 3.50 Netscape 4.0 Fr Explorer 4.0 UK GET : GET/index.html HTTP/1.0 GET/index.html HTTP/1.0 GET/index.html HTTP/1.0 User-Agent : Mozilla/4.0 (compatible ; Opera/3.0 ;Windows 95) 3.50 Mozilla/4.04[fr] (Win95 ; I ; Nav) Mozilla/4.0 (compatible ; MSIE 4.01 ; Windows 95) Accept : Image/gif, image/x- Image/gif, image/x- Image/gif, image/xxbitmap, image/jpeg xbitmap, image/jpeg xbitmap, image/jpeg, image/pjepeg, application/vnd.msexcel, application/ msword, application/vnd.mspowerpoint Referer : Where.were.you/doc. Where.were.you/doc. htm htm Language: fr fr-be Ce tableau mérite quelques explications. ¾ La première ligne, qui précise à quelle page nous désirons accéder, est la seule véritablement indispensable. ¾ La deuxième ligne définit le navigateur et le système d’exploitation de l’utilisateur Internet. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande ¾ Dans la ligne « Accept », chaque navigateur mentionne que l’utilisateur Internet emploie Windows95. Netscape ajoute que la version du navigateur est en langue française. Chaque navigateur communique son propre nom, sa version et sousversion. Lorsqu’il décrit les formats acceptés, Microsoft informe chaque site que sur l’ordinateur de l’utilisateur Internet sont installés PowerPoint, Excel et Word. ¾ Contrairement à Netscape et Microsoft, Opera ne dévoile pas la page transférante (le « Referer »). ¾ Si Opera ne révèle pas la langue utilisée, Netscape signale que l’utilisateur parle français et Microsoft dévoile que l’utilisateur est belge et de langue française. Outre l’ensemble des données précitées, de multiples informations sont transmises, comme l'adresse IP avec laquelle l’utilisateur est connecté à Internet, son adresse DNS, le nombre de pages visitées durant la session, l’heure et la date indiquée sur l’ordinateur, la résolution de l’écran… Pour plus d’information à ce propos vous pouvez aller sur le site de la CNIL à : http://www.cnil.fr/traces/index.htm . Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande BIBLIOGRAPHIE • Groupe SOS Informatique, Glossaire informatique.qc.ca/glossaire.htm#i • Boulanger M-H., de Terwangne C., Léonard T., Louveaux S., Moreau D., Poullet Y., La protection des données à caractère personnel en droit communautaire, ERA, volume 27, 2000. • Briat M. et Pitrat Ch. M., Urgent, concepts http://www.dit.presse.fr/infolib/french/arti_pitrat.htm • Site officiel de la CNIL, URL http://www.cnil.fr • HAGEL III, M., and SINGER, M., Net Worth : the emerging role of the informediary in the race for customer information, Harvard Business School Press, 1999, p xiii (préface). • HALPERN et HARMON, E-mergers trigger privacy worries, citation par Deborah KONG, URL : http://www.datenschutz-berlin.de/doc/eu/gruppe29/wp37_en/wp37en04.htm#fnB28 • F. RAYNAL et M SOUISSI, Linux MAGAZINE, octobre 2000, n°21, p.14. • THERY Jean-François, FALQUE-PIERROTIN Isabelle. Conseil d’État, Section du rapport et des études Paris. La Documentation française. 1998, (Les Etudes du Conseil d’État), URL : http://www.internet.gouv.fr/francais/textesref/rapce98/sommaire.htm. Informatique, URL : à http://www.sos- clarifier, URL : Législation et textes officiels : • Communication de la Commission au Conseil et au Parlement européen, “L’organisation et la gestion de l’Internet – Enjeux internationaux et européens 199820000 ”, COM (2000) 202 final, Bruxelles, le 11.4.2000. • Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du Parlement européen et du Conseil, journal officiel n° L281 du 23/11/1995 p 0031 – 0050. • Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Journal officiel n° L 024 du 30/01/1998 p. 0001 – 0008. • Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) du Parlement européen et du Conseil, du 12 juillet 2002. Journal officiel des Communautés européennes L 201/37. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande L’adresse IP de votre ordinateur, une donnée personnelle relevant du régime communautaire de protection ? Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande • Projet de Loi sur la société de l'information, présenté au nom de M. Lionel Jospin, Premier ministre, par M. Laurent Fabius, ministre de l'économie, des finances et de l'industrie. Enregistré à la Présidence de l'Assemblée nationale le 14 juin 2001. • Recommandation 1/99 sur le traitement invisible et automatisé de données à caractère personnel sur Internet réalisé par les logiciels et matériels, adoptée le 23 février 1999, 5093/98/EN/final, WP 17. Ce document provient du site www.droit-tic.com - Auteur : Sophie Lalande