Dans un arrêt du 19 octobre 2016 (C-582/14) la Cour de Justice a statué sur la conservation des adresses IP dynamiques à partir de sites web dans la lutte contre les cyber-attaques. Le jugement est intéressant à deux points de vue. D'une part, le jugement se prononce sur la portée de l'expression "données personnelles". Et d'autre part, le jugement confirme que la protection d'un site contre des cyber-attaques constitue un intérêt légitime et une base juridique pour le stockage des données personnelles telles que les adresses IP dynamiques à certaines conditions.
Pourquoi ce jugement est-il pertinent pour vous?
En résumé, ce jugement est pertinent pour vous à deux points de vue:
D'abord, la notion de "données personnelles" est interprétée de manière très large. Cet arrêt confirme que vous ne pouvez pas simplement supposer que vous ne traitez pas les données personnelles si vous n'êtes pas en mesure d'identifier les individus directement vous-même. Bien que le jugement se prononce seulement sur la combinaison de données d'un tiers déterminé, à savoir le fournisseur d'accès internet ("FAI"), il n'est pas inconcevable que l'interprétation s'applique également aux informations provenant d'autres tiers. Si des tiers, avec qui vous pouvez raisonnablement vous mettre en contact, disposent d'informations complémentaires qui avec vos informations permettent d'identifier une personne, on considère que vous traitez des données personnelles.
En plus, la protection de votre site web contre des cyber-attaques est un intérêt légitime sur base duquel vous (si d'autres conditions sont également rempli) pouvez enregistrer les données des visiteurs de votre site.
Breyer visite un site web et note que ses données sont conservées
Le jugement règle un différend entre Patrick Breyer et le gouvernement allemand. Breyer a visité divers sites des institutions fédérales allemandes. Il a remarqué que ces sites web ont gardé des logs de tous les visiteurs. Les sites en question conservaient toutes sortes d'informations (y compris les pages demandées, les termes de recherche saisis et l'adresse IP du visiteur) pour repousser les cyber-attaques et afin de rendre la poursuite des attaquants possible.
Les FAI attribuent une adresse IP à chaque ordinateur afin de rendre possible la communication avec un site web. Cette adresse est transmise au serveur où le site visité est stocké. Sur la base de cette adresse, il est possible d'identifier l'ordinateur du visiteur. Les FAI peuvent attribuer des adresses IP dynamiques, qui changent à chaque visite à l'Internet (par exemple, la visite d'un site web). Les FAI peuvent également attribuer des adresses IP statiques, qui restent les mêmes pour chaque connexion (par exemple, pour un serveur fixe).
La particularité de ces adresses IP dynamiques est que le fournisseur de service en ligne (comme un site web) ne peut pas lui-même identifier le visiteur directement. Par conséquent, le fournisseur a besoin de plus d'informations dont seul le FAI dispose et qui ne peut pas partager cette information à un fournisseur de service en ligne sans base juridique.
Les adresses IP dynamiques peuvent être des données personnelles pour des fournisseurs des sites web, même si ceux-ci ne peuvent pas identifier des visiteurs directement sur cette seule base
Dans cette histoire, le fournisseur du site web avait donc des informations (adresses IP dynamiques) sur base desquelles lui-même ne pouvait pas identifier directement les visiteurs du site. Il le pourrait uniquement s'il combinait ses données avec les informations supplémentaires dont les FAI disposent.
La Cour devait décider dans ce cas, si dans ces circonstances, les visiteurs du site (comme Breyer) sont identifiables et si des adresses IP dynamiques peuvent être considérées comme données personnelles vis-à-vis du fournisseur internet.
A cette question, la Cour a dû prendre position dans un débat dans lequel deux points de vue existent quant à la notion d'identification. Un premier point de vue est fondé sur un critère objectif selon lequel des données sont des données personnelles, même si seulement un tiers est en mesure de déterminer l'identité de l'individu. Ce point de vue donne une interprétation très large à la notion de données personnelles afin que les adresses IP dynamiques des visiteurs soient aussi considérées comme des données personnelles pour le fournisseur de site web. L'autre point de vue suppose un critère relatif où les données ne sont considérées comme des données personnelles que dans le cas où la personne qui a accès aux données est capable d'identifier la personne en utilisant ses propres ressources. Dans ce cas, les adresses IP dynamiques des visiteurs du site ne sont pas des données personnelles pour le fournisseur du site web.
La Cour rejoint le premier point de vue. Elle a jugé que des adresses IP dynamiques sont des données personnelles pour le fournisseur d'un site web étant donné que, grâce aux informations supplémentaires qu'il peut demander au FAI, le fournisseur du site web a des moyens légaux pour identifier le visiteur. La Cour a ajouté que ce n'est pas le cas lorsque (i) l'identification d'une personne est interdite par la loi, ou (ii) irréalisable en pratique en raison par exemple du fait qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main-d'œuvre, de sorte que le risque d'une identification paraît en réalité insignifiant.
Des sites web peuvent traiter des adresses IP dynamiques pour se protéger contre les cyber-attaques
La législation européenne de protection des données permet aux sites web de traiter des données sans le consentement de la personne concernée dans un nombre de cas limité. Ceci est entre autre possible, lorsque cela est nécessaire pour protéger un intérêt légitime du fournisseur du site ou d'un tiers à qui ces données sont confiées et, à condition que ce ne soit pas une ingérence disproportionnée dans les droits fondamentaux et les libertés du visiteur.
Breyer a estimé que les autorités allemandes ont violé son droit à la protection de ses données personnelles de manière disproportionnée en conservant ses données à d'autres fins que la simple réparation de défauts. Breyer faisait référence à une loi allemande qui permettait aux fournisseurs de sites web de stocker uniquement des données si et aussi longtemps que nécessaire à l'utilisation pratique de ce service par le visiteur ou sa facturation lorsqu'il n'y a pas de consentement du visiteur.
Le gouvernement allemand a répondu que la législation empêchait ainsi le traitement des données pour d'autres intérêts légitimes. Un exemple d'un autre intérêt légitime, selon le gouvernement allemand, est le maintien du bon fonctionnement du site web.
Ce fonctionnement est à risque si le site devient la victime de cybercriminalité. Nous pensons aux nombreuses attaques DDoS qui sont monnaie courante dans les médias. Lors d'une attaque DDoS un grand nombre d'ordinateurs se connecte en même temps sur un site web de sorte que ce site web s'engorge. Le site ne sera alors plus accessible. A ce moment, la sécurité du site s'affaiblit et les pirates pénètrent du coup plus facilement dans la base de données sous-jacente et volent des données.
La Cour européenne de justice a donné raison au gouvernement allemand et a opté pour une vision large de l'intérêt du responsable du traitement des données (le fournisseur du site dans ce cas). Elle a confirmé que la protection d'un site contre des cyber-attaques peut être un intérêt légitime. Cela est certainement une décision importante en vue d'une meilleure sécurité cybernétique dans l'Union européenne.