L'adresse IP peut être collectée sans autorisation préalable de la CNIL car il s'agit d'une donnée à caractère personnelle indirecte

Sur le moyen unique de cassation, pris de la violation des articles 9, 25 de la loi (n°78-17) du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, tels que modifiés par la loi color=red](n°2004-801) [/color] du 6 août 2004, L331-2 du Code de la propriété intellectuelle, 593 du code de procédure pénale, défaut de motifs et manque de base légale ;

"En ce que l'arrêt attaqué a annulé le procès-verbal de constat du 5 janvier 2005, ses annexes et l'ensemble des actes subséquents d'enquête et de poursuite et, en conséquence, a relaxé Cyrille Y... des fins de la poursuite et débouté les parties civiles de leurs demandes, fins et conclusions ;

"Aux motifs que, sur l'absence d'autorisation de la CNIL, outre les procès-verbaux des officiers de police judiciaire, la preuve de la matérialité des infractions aux dispositions du code de la propriété intellectuelle et de l'article 52 de la loi n° 85-660 du 3 juillet 1985 peut résulter des constatations émanant d'agents assermentés, conformément aux dispositions de l'article L. 331-2 du code ; que tel est le cas des agents désignés par la SACEM, qui fait partie des organismes habilités à mettre en oeuvre, en vertu de l'article 9, 4°, de la loi 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés, "les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté" ; qu'il résulte cependant des dispositions combinées des articles 2, 9 et 25 de la loi susvisée que la mise en oeuvre des traitements automatisés ou non, portant sur les données relatives aux infractions, est soumise à autorisation préalable de la commission nationale de l'informatique et des libertés (CNIL) ; qu'il s'ensuit que, si l'article 9, 4°, de la loi permet à la SACEM, dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique, de rassembler des informations relatives à l'utilisation des réseaux d'échange "peer to peer" pour le téléchargement illicite des oeuvres protégées et de constituer ainsi des fichiers de données indirectement nominatives, la mise en oeuvre de ces traitements reste soumise, en raison de leur nature, à autorisation préalable de la CNIL" ;

"Que, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, l'agent assermenté a utilisé en l'espèce un logiciel de "peer to peer" et a sélectionné et saisi manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents ; qu'il a lancé une recherche qui lui a permis d'obtenir en réponse la liste de l'ensemble des fichiers correspondant à l'oeuvre sur laquelle portait la vérification, puis a sélectionné, parmi ces fichiers, l'un d'entre eux afin de recueillir ainsi différentes informations, dont l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage, le nom du fournisseur d'accès, le pays d'origine, etc., lesquelles informations ont été conservées et enregistrées afin d'être communiquées sous forme de "copies d'écran" ou de CD ROM lors du dépôt ultérieur de la plainte ; que le dispositif ainsi mis en oeuvre par l'agent constitue donc bien, au sens de l'article 2 de la loi du 6 janvier 1978, un traitement de données à caractère personnel dans la mesure où l'agent a procédé à la collecte, la consultation, la conservation et l'enregistrement de l'adresse IP de l'internaute, puis à la recherche et à l'identification de son fournisseur d'accès, conduisant directement à identifier le titulaire de l'abonnement à Internet ; que l'adresse IP de l'internaute constitue une donnée indirectement nominative car, si elle ne permet pas par elle-même d'identifier le propriétaire du poste informatique ni l'internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base de donnée détenue par le fournisseur d'accès à Internet ; qu'il n'est pas contestable, en conséquence, que l'ensemble des opérations mises en oeuvre par l'agent, dont l'utilisation de deux logiciels spécifiques : "Visual Route" et le parefeu "Kerio Personal Firewall", pour déterminer exactement le fournisseur d'accès correspondant à l'adresse IP, constituent un traitement automatisé de données à caractère personnel entrant dans les prévisions des articles 2 et 25 de la loi du 6 janvier 1978 modifiée, sans qu'il y ait lieu d'opérer une distinction, comme le prétendent les parties civiles, selon la nature des procédés et moyens auxquels l'agent a eu recours pour collecter ces informations ; qu'en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent et ayant pour finalité la constatation du délit de contrefaçon commis via les réseaux d'échanges de fichiers "peer to peer" portent atteinte aux droits et garanties des libertés individuelles que la loi du 6 janvier 1978 a pour but de protéger et aux intérêts du prévenu ; que l'exception de nullité du procès-verbal de constat servant de fondement aux poursuites sera donc accueillie ; que les actes subséquents d'enquête établis ultérieurement sur la plainte déposée par la partie civile, à savoir l'identification sur réquisition du titulaire de l'adresse IP, l'audition de Najat X... ainsi que du prévenu, Cyrille Y..., et les perquisitions et saisies opérées à son domicile, ont tous pour support nécessaire le procès-verbal de constat entaché d'irrégularité ;

"1) - Alors que l'agent assermenté de la SACEM qui, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, utilise un logiciel de peer to peer, sélectionne et saisit manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents de la SACEM, lance une recherche, sélectionne parmi la liste des nombreux résultats affichés un fichier proposé par un internaute, relève l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage et le nom du fournisseur d'accès et conserve ou enregistre ces informations afin qu'elles puissent être communiquées sous forme de copies d'écran ou de CD ROM lors du dépôt ultérieur de la plainte, se contente, conformément à sa mission, au moyen de démarches et opérations personnelles et choisies et non de façon automatisée, de rechercher et constater l'existence de données figurant sur Internet et ne met pas en oeuvre un traitement automatisé de ces données ; qu'en retenant au contraire que "le dispositif ainsi mis en oeuvre" par l'agent constituerait un traitement "automatisé" de données à caractère personnel, au sens de l'article 2 de la loi du 6 janvier 1978 modifiée, la cour d'appel a violé par fausse application ledit texte ;

"2) - Alors que l'identité de l'internaute à partir de son adresse IP ne peut être requise auprès du fournisseur d'accès que par l'autorité judiciaire ; que ce ne sont pas les relevés de l'adresse IP d'un internaute et l'identité de son fournisseur d'accès, librement accessibles à tous sur Internet, qui permettent l'identification dudit internaute mais les réquisitions de l'autorité judiciaire ; que ces données ne présentent donc pas, en elles-mêmes, de caractère personnel ; qu'en retenant que l'agent assermenté de la SACEM aurait procédé à un traitement automatisé de données à caractère personnel parce qu'il aurait recherché et constaté l'adresse IP de l'internaute et l'identité de son fournisseur d'accès, la cour d'appel a violé les textes susvisés " ;

Vu les articles 2, 9, 25 et 50 de la loi (n°78-17) du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée, ensemble les articles 226-19 et 226-23 du code pénal ;

Attendu qu'il résulte de la combinaison de ces articles que constitue un traitement de données à caractère personnel relatives aux infractions toute opération automatisée ou tout ensemble d'opérations automatisées portant sur de telles données ainsi que toute opération non automatisée ou tout ensemble d'opérations non automatisées portant sur de telles données contenues ou appelées à figurer dans des fichiers ;

Attendu qu'il appert de l'arrêt attaqué et des pièces de procédure que, le 4 janvier 2005, un agent assermenté de la société des auteurs, compositeurs et éditeurs de musique (SACEM) et de la société pour l'administration du droit de reproduction mécanique des auteurs, compositeurs et éditeurs (SDRM) a procédé, conformément à l'article L331-2 du code de la propriété intellectuelle, à la constatation d'actes de contrefaçon d'oeuvres musicales commis sur le réseau internet, par téléchargement et mise à disposition d'oeuvres protégées sans l'autorisation des titulaires des droits sur celles-ci ; qu'a cet effet, en se livrant à des opérations que tout internaute peut effectuer, après avoir ouvert une session sur un logiciel de pair à pair et s'être connecté à un réseau, l'agent verbalisateur a lancé, sur internet, une requête portant sur une oeuvre musicale du répertoire de la SACEM avant de sélectionner, dans la liste des nombreux résultats affichés, l'offre émanant d'un internaute puis de lire, dans la rubrique " parcourir l'hôte ", son adresse IP (Internet Protocol) qui s'est affichée spontanément ainsi que le nombre total d'oeuvres musicales mises à disposition des autres internautes dans le dossier de partage de l'internaute concerné ; que l'agent a, ensuite, procédé, à titre d'échantillon, au téléchargement de dix-neuf de ces oeuvres musicales, encodées au format Mp3, avant de déterminer les coordonnées du fournisseur d'accès correspondant à l'adresse IP susvisée et de s'assurer de l'exactitude de cette adresse ; que, sur la base du procès-verbal ensuite dressé, la SACEM a porté plainte auprès des services de gendarmerie ; que ces services ont, après autorisation du parquet, adressé une réquisition au fournisseur d'accès pour identifier l'abonné utilisant l'adresse IP relevée par l'agent assermenté ; que les vérifications effectuées ont révélé que l'ordinateur portable de cet abonné était utilisé par Cyrille Y... qui a reconnu qu'il avait procédé au téléchargement de nombreuses oeuvres musicales avant de les mettre à disposition d'autres internautes ; que Cyrille Y..., poursuivi pour contrefaçon par reproduction d'une oeuvre de l'esprit au mépris des droits de l'auteur, n'a pas comparu devant le tribunal ;

Attendu que, par conclusions régulièrement déposées en cause d'appel, l'avocat du prévenu a, avant toute défense au fond, excipé de la nullité du procès-verbal de constat et de tous les actes subséquents en soutenant qu'il avait été identifié et donc son nom révélé, à cause de son adresse IP et du nom du fournisseur d'accès, c'est à dire par les informations recueillies par l'agent assermenté lors de ses sessions sur internet ;

Attendu que, pour prononcer l'annulation sollicitée, renvoyer le prévenu des fins de la poursuite et débouter par voie de conséquences les parties civiles de toutes leurs demandes, l'arrêt prononce les motifs repris au moyen ;

Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L331-2 du Code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés ;

D'où il suit que la cassation est encourue ;

Par ces motifs : Casse et annule, en toutes ses dispositions, l'arrêt susvisé de la cour d'appel de Rennes, en date du 22 mai 2008, et pour qu'il soit à nouveau jugé, conformément à la loi,
Renvoie la cause et les parties devant la cour d'appel de Paris, à ce désignée par délibération spéciale prise en chambre du conseil ;

M. Pelletier, Président

L'article 9-4° de la loi Informatique et libertés permet aux agents assermentés de la Sacem d'effectuer des traitements de données à caractère personnel, consistant à collecter les adresses IP des internautes présents sur les réseaux peer-to-peer et se livrant à des téléchargements illicites d'oeuvres protégées. Jusqu'à présent, la CNIL estimait que l'adresse IP était une donnée sensible et exigeait que la mise en place de ces traitements soient soumis à autorisation préalable.
Un internaute va se servir de cette position pour obtenir de la Cour d'appel de Rennes sa relaxe dans une affaire où il était poursuivi pour contrefaçon par reproduction d'oeuvres de l'esprit au mépris des droits de l'auteur, mais la Cour de cassation casse la décision et n'approuve pas l'interprétation faite par les juges du fond de la loi.


Les faits :
En l'espèce, dans le cadre de ses investigations ayant pour finalité la recherche et la constatation des infractions, un agent assermenté de la Sacem a utilisé un logiciel de "peer to peer", sélectionné et saisi manuellement le titre d'une oeuvre appartenant au catalogue de l'un des adhérents. Il a lancé une recherche qui lui a permis d'obtenir en réponse la liste de l'ensemble des fichiers correspondant à l'oeuvre sur laquelle portait la vérification, puis a sélectionné, parmi ces fichiers, l'un d'entre eux afin de recueillir ainsi différentes informations, dont l'adresse IP de l'internaute, le nombre d'oeuvres musicales mises à disposition par celui-ci dans le dossier de partage, le nom du fournisseur d'accès (FAI), le pays d'origine, etc.
Ces informations ont été conservées et enregistrées afin d'être communiquées sous forme de "copies d'écran" ou de CD ROM lors du dépôt ultérieur de la plainte.
En effet, sur la base du procès-verbal dressé, la Sacem a porté plainte auprès des services de gendarmerie, lesquels ont, après autorisation du parquet, adressé une réquisition au FAI pour identifier l'abonné utilisant l'adresse IP relevée par l'agent assermenté. Les vérifications effectuées ont constaté que l'ordinateur portable de cet abonné était utilisé par M. Y, lequel a d'ailleurs reconnu qu'il avait procédé au téléchargement de nombreuses oeuvres musicales avant de les mettre à disposition d'autres internautes.
Lors de la procédure judiciaire, l'avocat du défenseur a demandé l'abandon des poursuites et invoqué la nullité du procès verbal de constat, ce qu'il a obtenu en appel.

La décision de la Cour de cassation :
Les constatations visuelles effectuées sur internet et les renseignements recueillis - en l'espèce en exécution de l'article L331-2 du Code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son FAI en vue de la découverte ultérieure de l'auteur des contrefaçons - rentrent dans les pouvoirs conférés à cet agent. Ils "ne constituent pas un traitement de données à caractère personnel relatives à ces infractions" estime la Cour de cassation.
Si la Cour ne se positionne pas directement sur la nature juridique de l'adresse IP, elle refuse en tout cas, d'admettre la qualification retenue par le juge du fond, à savoir qu'il s'agit d'une donnée à caractère personnel dont la collecte est soumise, au préalable, à autorisation de la CNIL.

Conséquences :
Par cet arrêt, la Cour de cassation approuve l'argument selon lequel ce ne sont pas les relevés de l'adresse IP d'un internaute et l'identité de son FAI, librement accessibles à tous sur Internet, qui permettent l'identification dudit internaute, mais bien les réquisitions de l'autorité judiciaire faites au moyen d'une réquisition au FAI (dans les conditions prévues par loi) et destinées à identifier l'abonné utilisant l'adresse IP.
Comme le souligne Maître Muriel Cahen - dans son article à propos du statut de l'adresse IP, concernant des affaires précédentes rendues dans le même sens que la Cour de cassation par la Cour d'appel de Paris - l'adresse IP ne permet pas d'identifier le ou les personnes qui ont utilisé l'ordinateur à partir duquel un téléchargement illicite à eu lieu, car seule l'autorité légitime pour poursuivre l'enquête peut obtenir du FAI l'identité de l'utilisateur.
L'adresse IP n'est donc pas une donnée à caractère personnel, car elle n'identifie pas une personne mais un ordinateur. Par contre il s'agit bien, au même titre que le numéro de la plaque d'immatriculation d'un véhicule, d'une donnée à caractère personnel indirecte.

Selon l'article 2 alinéa 2 de la loi "informatique et libertés" modifiée une donnée à caractère personnelle recouvre toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou non, par référence à un numéro d'identification ou d'autres éléments qui lui sont propres.

A l'heure de la traque des internautes qui téléchargent illégalement des oeuvres protégées par le droit d'auteur, l'assimilation de l'adresse IP à une donnée à caractère personnelle revêt une importance capitale.

A l'origine la loi du 6 janvier 1978 "informatique et libertés" visait les informations nominatives. Le terme avait pour avantage d'être assez clair sur ce qui ne devait pas entrer dans le champ d'application de la loi. La loi du 6 août 2004 a procédé à une extension du champ d'application de la loi "informatique et libertés". En effet elle remplace le terme "information nominative" par celui de "donnée à caractère personnelle". Or cette notion est plus vaste.

La question s'est donc posée de savoir si l'adresse IP devait être considérée comme une information permettant d'identifier une personne indirectement, donc comme étant une donnée à caractère personnelle.

L'adresse IP est le numéro qui permet d'identifier chaque ordinateur sur le réseau Internet. Elle se décompose dans version 4 en une série de 4 nombres allant de 0 à 255.

C'est là que réside tout le noeud du problème. En effet l'adresse IP ne renvoie pas à une personne directement mais à une machine, or cette dernière peut être utilisée par une pluralité de personnes.

Dès l'origine la CNIL a considéré que l'adresse IP devait être considérée comme une donnée à caractère personnelle. Cela correspond à la volonté affichée de la CNIL d'élargir au maximum le champ d'application de la loi "informatique et libertés".

Le foyer du contentieux est lié à la traque des internautes téléchargeant via les réseaux Peer To Peer des oeuvres protégées par le droit d'auteur. En effet l'article 9, 4° de la loi "informatique et libertés" permet désormais aux agents assermentés des sociétés de perception des droits d'auteur d'effectuer des traitements de données à caractère personnelle relatifs aux infractions. Il faut cependant obtenir l'autorisation de la CNIL.

Ces agents ont alors opéré des traitements visant à collecter les adresses IP des internautes présents sur ces réseaux et se livrant à des téléchargements illicites d'oeuvres protégées. Pour la CNIL ces traitements nécessitaient une autorisation de sa part, l'adresse IP étant une donnée à caractère personnelle.

Cette affirmation de la CNIL a été désavouée pat deux arrêts de la cour d'appel de Paris.

Dans un arrêt rendu le 15 mai 2007 les juges énoncent en effet, à propos de l'adresse IP : "Que cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon".

Les juges affirment ici clairement que l'adresse IP ne se rapportant qu'à une machine elle ne peut pas être considérée comme une donnée nominative, même indirecte. Cette affirmation doit être mise en relation avec le premier arrêt rendu par cette même cour afin de comprendre pourquoi elle ne considère pas qu'il s'agit d'une donnée à caractère personnelle indirecte.

Dans son arrêt du 27 avril 2007, dans une affaire similaire, les juges énoncent que : "L'adresse IP ne permet pas d'identifier le ou les personnes, qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur l'accès d'identité de l'utilisateur.". Ici les juges considèrent que l'adresse IP n'est pas une donnée à caractère personnelle car elle n'identifie pas une personne mais un ordinateur, et que ce n'est que l'intervention de l'autorité légitime, c'est-à-dire lors d'une procédure judiciaire, qui permet l'identification de la personne ayant utilisé la machine à des fins illicites.

Dans ces deux arrêts la cour d'appel de Paris affirme que l'adresse IP ne doit pas être considérée comme une donnée à caractère personnelle, même indirecte, car elle n'aboutit à l'identification d'une personne que par l'intervention de la police ou de la gendarmerie dans le cadre d'une procédure judiciaire.

Cela a pour conséquence de permettre aux agents assermentés des sociétés de perception des droits d'auteur de mettre en place des traitements informatiques visant à collecter les adresses IP sans avoir à demander l'autorisation de la CNIL.

Cette position de la cour d'appel de Paris doit être critiquée sur plusieurs points.

En premier lieu cette jurisprudence semble aller contre la volonté du législateur. En effet dans l'article 9 de la loi "informatique et libertés" (cité plus haut) le législateur a souhaité permettre aux agents assermentés des sociétés de perception d'effectuer des traitements relatifs aux infractions sous réserve qu'ils obtiennent l'autorisation de la CNIL. Or il est clair que pour que ce traitement ait une finalité utile, la poursuite judiciaire de l'auteur du téléchargement illicite, il est nécessaire de l'identifier sur le réseau, ce qui ne peut se faire qu'en commençant par collecter son adresse IP, puis par son identification en tant que personne. En considérant que l'adresse IP n'est pas une donnée personnelle la cour d'appel permet aux agents assermentés de contourner les obligations imposées par la loi.

Cette solution est en fait une décision d'opportunité prise par la cour car dans les deux arrêts elle utilise cet argument afin d'écarter l'exception de nullité avancée par l'auteur du téléchargement illicite.

Cette solution contribue tout de même a donné moins d'obligation aux agents assermentés, ce qui n'était pas le but du législateur même si l'article 9 de la loi vise à améliorer la lutte contre le téléchargement illicite.

La solution mérite d'être critiquée en second lieu car la cour d'appel de Paris ne semble pas tirer les conséquences de ses constatations. En effet, elle énonce que si l'adresse IP ne doit pas être considérée comme une donnée nominative, même indirecte, c'est parce qu'elle ne donne lieu à indentification de la personne ayant utilisée la machine identifiée sur le réseau que grâce à l'intervention de l'autorité légitime. Il faut donc que la police ou la gendarmerie, dans le cadre d'une procédure judiciaire obtienne du fournisseur d'accès Internet qu'il communique l'identité de la personne correspondant à l'adresse IP collectée.

Or il s'agit bien là d'une identification indirecte permise par l'adresse IP, ce qui correspond tout à fait à la lettre de la loi. En effet dans sa définition de la donnée à caractère personnelle, la loi parle bien de toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou indirectement. Ce n'est pas parce que l'autorité légitime doit intervenir dans le cas de l'adresse IP qu'il ne s'agit pas d'une donnée à caractère personnelle. Bien au contraire c'en est une qui permet l'identification indirecte, c'est-à-dire après recoupement avec d'autres informations, d'une personne physique.

Il est vrai que dans la plupart des cas l'adresse IP renvoie à un ordinateur qui sera utilisé par une pluralité de personnes et donc que son caractère de donnée personnelle est de ce point de vue fragilisé. Cependant il ne faut pas exagérer cette fragilité. En effet il faut distinguer deux cas dans lesquels il y aura une pluralité de personnes pouvant utiliser la machine.

Il y a tout d'abord le cas ou l'ordinateur appartient à un particulier et où il sera utilisé par une pluralité des membres du foyer familial. Dans ce cas effectivement l'adresse IP en tant que donnée à caractère personnelle sera fragilisée. Cependant les foyers familiaux ne contiennent généralement qu'un nombre limité d'individus, ce qui permet d'affirmer que l'adresse IP restera, dans ce cas, une donnée personnelle indirecte car après recoupement d'informations il sera souvent possible d'identifier la personne auteur de l'infraction.

Le deuxième cas correspond aux ordinateurs présents sur les lieux de travail. La discussion est permise. On peut avancer que l'adresse IP qui renvoie à un ordinateur appartenant à une personne morale (l'entreprise) n'est pas une donnée personnelle car la loi parle expressément dans son article 9 d'informations relatives à des "personnes physiques identifiée...". Cependant il ne paraît pas souhaitable de faire jouer ici le voile de la personnalité morale car une entreprise est composée, avant tout, de personnes physiques.

Dans ce cas l'adresse IP pourra être considérée comme une donnée personnelle indirecte car elle renvoie au lieu de travail d'une personne physique qui pourra être identifiée par recoupement avec d'autres informations (notamment le poste informatique qu'elle occupe habituellement).

Nous voyons donc que pour toutes ces raisons l'adresse IP doit être considérée comme une donnée à caractère personnelle. Les arrêts de la cour d'appel de Paris ne doivent pas être considérés comme la volonté des juges d'aller contre l'avis de la CNIL. Il ne s'agissait que de solutions ayant pour finalité l'écartement de l'exception de nullité mise en avant par le prévenu, dans le but de favoriser la répression des téléchargements illicites.

C'est ce que confirme l'arrêt rendu par la cour d'appel de Paris le 12 décembre 2007 à propos des informations permettant l'identification de l'auteur d'un contenu devant être communiquées par les hébergeurs. A cette occasion les juges considèrent que l'adresse IP n'est pas suffisante mais ils énoncent que l'adresse IP "même s'il elle ne constitue une donnée personnelle, ne permet d'identifier qu'un ordinateur.".

La cour d'appel de Paris reconnaît donc que l'adresse IP est une donnée à caractère personnelle indirecte (CQFD).