Victime d’intrusion sur son réseau informatique, une entreprise identifie les intrus au moyen de leurs adresses IP. Pour faire valoir ses droits à réparation, l’entreprise conserve les adresses IP sans faire de déclaration auprès de la CNIL. Une erreur, semble-t-il…
L’adresse IP est une donnée à caractère personnel !
Une société se rend compte que des personnes extérieures à l’entreprise se connectent sur son réseau informatique mais en utilisant des codes d’accès réservés aux administrateurs de l’entreprise.
Avec l’autorisation du juge, la société obtient alors des fournisseurs d’accès à Internet qu’ils lui communiquent les adresses IP utilisées pour se connecter à son réseau. Cette communication lui permet d’identifier la personne qui s’est connectée sur son réseau et se rend compte qu’il s’agit d’une entreprise concurrente.
Cette dernière agit alors en justice, estimant que la procédure ayant permis de l’identifier est illégale : les adresses IP étant des données à caractère personnel, elle considère que la société aurait dû faire une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) pour pouvoir conserver les adresses IP sous forme de fichiers.
Ce que conteste la société : pour elle, une adresse IP se rapporte à un ordinateur et non à son utilisateur. Elle ne constitue donc pas une donnée nominative, même indirectement.
Mais pour le juge, les adresses IP sont bien des données à caractère personnel, de sorte que leur collecte doit faire l’objet d’une déclaration auprès de la CNIL. Ce que n’a pas fait la société victime de l’intrusion de son réseau informatique…
Source : Arrêt de la Cour de cassation, 1ère chambre civile, du 3 novembre 2016, n° 15-22595
Faut-il l’accord de la CNIL pour conserver une adresse IP ? © Copyright WebLex – 2016
