L’adresse IP est-elle une donnée personnelle au sens du RGPD ? La question a été tranchée par la Cour de justice de l’Union européenne dans l’arrêt Breyer c/ Bundesrepublik Deutschland (C-582/14, 19 octobre 2016) : oui, une adresse IP dynamique constitue une donnée personnelle lorsque l’opérateur du site dispose de moyens légaux raisonnables pour identifier la personne physique derrière cette adresse. Cette qualification a des conséquences majeures pour tout organisme qui collecte des adresses IP, notamment via l’analytique web, les journaux de connexion ou les systèmes de sécurité.
Points Clés
- L’arrêt Breyer (CJUE, C-582/14) qualifie les adresses IP dynamiques de données personnelles lorsque l’opérateur peut raisonnablement identifier la personne.
- L’Art. 4(1) RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiable, directement ou indirectement.
- La CNIL considère systématiquement les adresses IP comme des données personnelles dans ses délibérations et contrôles.
- Les adresses IP statiques sont qualifiées de données personnelles de manière quasi unanime par les autorités européennes.
- La collecte d’adresses IP sans base légale valide expose à des sanctions au titre des Art. 5(1)(a) et 6(1) RGPD.
L’arrêt Breyer : la décision fondatrice
L’arrêt Patrick Breyer c/ Bundesrepublik Deutschland (CJUE, C-582/14, 19 octobre 2016) constitue la décision de référence sur la qualification des adresses IP. Les faits étaient simples : M. Breyer contestait la conservation d’adresses IP dynamiques par des sites web gouvernementaux allemands.
La CJUE a jugé qu’une adresse IP dynamique enregistrée par un fournisseur de services en ligne constitue une donnée personnelle au sens de la directive 95/46/CE (désormais remplacée par le RGPD) dès lors que ce fournisseur dispose de moyens légaux raisonnables permettant d’identifier la personne physique. En pratique, l’opérateur du site peut obtenir l’identité de l’internaute via le fournisseur d’accès à Internet (FAI), notamment dans le cadre d’une procédure judiciaire ou d’une réquisition légale.
La Cour a rejeté l’approche « absolue » qui aurait qualifié toute adresse IP de donnée personnelle quel que soit le contexte. Elle a également rejeté l’approche « relative » stricte qui aurait exigé que le responsable de traitement puisse identifier la personne par ses seuls moyens. Elle a retenu une approche intermédiaire : il suffit que le responsable de traitement dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne.
Ce que dit le RGPD : Art. 4(1) et considérant 30
L’Art. 4(1) du RGPD définit la donnée personnelle comme :
« Toute information se rapportant à une personne physique identifiée ou identifiable […] est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne […]. »
Le considérant 30 du RGPD est encore plus explicite :
« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP […] qui peuvent laisser des traces […] pouvant notamment être utilisées pour créer des profils. »
Le RGPD a donc clarifié la situation post-Breyer : les adresses IP sont explicitement mentionnées comme exemples d’identifiants en ligne susceptibles de constituer des données personnelles.
Position de la CNIL : une qualification constante
La CNIL adopte une position ferme et constante : les adresses IP sont des données personnelles. Cette position est antérieure à l’arrêt Breyer et a été confirmée dans de nombreuses décisions.
CNIL, Délibération n°SAN-2020-012 du 7 décembre 2020 : la CNIL a sanctionné Amazon Europe Core d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sans consentement préalable, les adresses IP étant traitées comme des données personnelles dans l’analyse de la conformité.
CNIL, Délibération n°SAN-2022-009 du 6 janvier 2022 : dans l’affaire Google Analytics, la CNIL a mis en demeure plusieurs gestionnaires de sites français de se mettre en conformité après avoir constaté que les adresses IP des visiteurs européens étaient transférées vers les États-Unis sans garanties adéquates post-Schrems II. La CNIL a qualifié ces transferts d’adresses IP de transferts de données personnelles au sens des Art. 44 à 49 RGPD.
La CNIL considère que même les adresses IP tronquées ou hachées restent des données personnelles dès lors qu’un recoupement avec d’autres données permet l’identification indirecte de la personne.
Adresses IP statiques vs dynamiques : des régimes différents ?
En droit, la distinction entre adresses IP statiques et dynamiques a perdu une grande partie de sa pertinence depuis l’arrêt Breyer et l’entrée en vigueur du RGPD.
Adresses IP statiques : attribuées de manière permanente à un appareil ou un abonné, elles permettent une identification plus directe et sont unanimement qualifiées de données personnelles. Le Groupe de travail Article 29 (remplacé par le CEPD) avait déjà adopté cette position dans son Avis 4/2007 sur le concept de données à caractère personnel.
Adresses IP dynamiques : attribuées temporairement à chaque session de connexion, elles constituent des données personnelles dès lors que le responsable de traitement dispose de moyens raisonnables pour identifier l’utilisateur (arrêt Breyer). En pratique, la quasi-totalité des opérateurs de sites web remplissent cette condition, car ils peuvent solliciter le FAI par voie judiciaire.
La distinction n’a donc qu’un intérêt théorique limité : dans la très grande majorité des cas, toute adresse IP collectée par un organisme constitue une donnée personnelle soumise au RGPD.
Conséquences pratiques pour les organismes
La qualification de l’adresse IP comme donnée personnelle impose aux organismes de respecter l’ensemble des obligations du RGPD pour tout traitement impliquant des adresses IP :
Base légale (Art. 6(1) RGPD) : la collecte d’adresses IP doit reposer sur une base légale valide. Pour l’analytique web, la CNIL exige le consentement (Art. 6(1)(a)) sauf si l’outil est configuré pour ne pas permettre le suivi individuel. Pour la sécurité des systèmes d’information, l’intérêt légitime (Art. 6(1)(f)) peut être invoqué après un test de mise en balance.
Information des personnes (Art. 13 et 14 RGPD) : les mentions d’information doivent préciser que les adresses IP sont collectées, pour quelles finalités et sur quelle base légale.
Durée de conservation : les adresses IP doivent être soumises à une politique de conservation conforme à l’Art. 5(1)(e) RGPD. Le décret n°2021-1362 impose aux hébergeurs et FAI une conservation d’un an maximum pour les données techniques de connexion.
Transferts hors UE : comme l’a démontré l’affaire Google Analytics, le transfert d’adresses IP vers des pays tiers doit respecter le chapitre V du RGPD (Art. 44 à 49). L’utilisation de clauses contractuelles types ou d’une décision d’adéquation est requise.
Minimisation (Art. 5(1)© RGPD) : les organismes doivent évaluer si la collecte de l’adresse IP complète est nécessaire ou si une troncation est suffisante pour la finalité poursuivie.
L’impact sur l’analytique web en France
L’affaire Google Analytics a eu un impact majeur sur les pratiques des organisations françaises. En février 2022, la CNIL a estimé que l’utilisation de Google Analytics dans sa configuration standard constituait un transfert illégal de données personnelles (adresses IP incluses) vers les États-Unis.
Depuis, la CNIL recommande :
- L’utilisation de solutions d’analytique exemptées de consentement (comme Matomo configuré conformément aux recommandations CNIL) qui ne transfèrent pas de données hors UE.
- La mise en place d’un proxy qui tronque l’adresse IP avant tout envoi vers un outil tiers.
- L’obtention d’un consentement explicite si l’outil utilisé implique un transfert de données vers un pays tiers sans garanties adéquates.
FAQ
Une adresse IP dynamique est-elle toujours une donnée personnelle ?
Depuis l’arrêt Breyer (CJUE, C-582/14, 2016), une adresse IP dynamique constitue une donnée personnelle dès lors que l’opérateur du site dispose de moyens légaux raisonnables pour identifier la personne, par exemple en sollicitant le FAI. En pratique, cette condition est remplie pour la quasi-totalité des opérateurs de sites web, ce qui rend la distinction théorique dans la majorité des cas.
Google Analytics est-il conforme au RGPD en France ?
La CNIL a jugé en 2022 que l’utilisation de Google Analytics dans sa configuration standard impliquait un transfert illégal de données personnelles (dont les adresses IP) vers les États-Unis. Google a depuis lancé Google Analytics 4 avec un traitement des données dans l’UE, mais la CNIL recommande de vérifier la configuration précise et, en cas de doute, d’utiliser une solution d’analytique hébergée en Europe.
Quelles sanctions pour la collecte d’adresses IP sans base légale ?
La collecte d’adresses IP sans base légale constitue un manquement aux Art. 5(1)(a) et 6(1) RGPD, passible d’amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a) RGPD). La CNIL a sanctionné Amazon de 35 millions d’euros (Délibération n°SAN-2020-012) et mis en demeure plusieurs sites pour leurs pratiques liées à Google Analytics.
Faut-il recueillir le consentement pour collecter des adresses IP ?
Cela dépend de la finalité. Pour la sécurité des systèmes (journaux de connexion), l’intérêt légitime (Art. 6(1)(f)) peut suffire après un test de mise en balance. Pour l’analytique web impliquant un suivi individuel ou un transfert hors UE, la CNIL exige le consentement préalable (Art. 6(1)(a)). Les solutions d’analytique exemptées par la CNIL (comme Matomo en configuration conforme) ne nécessitent pas de consentement.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
