La protection des données personnelles est un sujet très sensible actuellement, notamment dans le cadre des moteurs de recherche. Dans cet article, nous tentons de poser les bases de ce domaine : la notion de "donnée à caractère personnel" s'applique-t-elle à une adressse IP ? Qui est responsable du traitement de données à caractère personnel : la technologie de recherche ou le portail qui propose une "search box" dans ses pages ? Quel est le rôle de la CNIL ? Quels sont ses pouvoirs en France face aux moteurs ?  Quelles sont les orientations futures prévues dans ce domaine ? Un article pour faire le point sur un sujet qui divise de nombreuses personnes à l'heure actuelle...

La loi « CNIL » n° 78-17 du 6 janvier 1978 régit la mise en œuvre des « fichiers » ou des « traitements de données à caractère personnel ». Cette loi de 1978 a, pour une fois, inspiré le législateur européen qui a édicté une directive communautaire (la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données). A partir de 1995, la réflexion sur les données personnelles est devenue européenne (voire continentale avec le Conseil de l'Europe qui travaille beaucoup sur le sujet) et non plus franco-française.

Ainsi, l'Union européenne a promulgué plusieurs directives dont les plus connues sont la Directive 2002/58/CE du 12 juillet 2002 concernant la vie privée et les communications électroniques et la Directive 2006/24/CE du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques.

Modifiée par la loi 2004-801 du 6 août 2004 pour des motifs d'harmonisation européenne avec la Directive vie privée, la loi de 1978 a fait l'objet d'une refonte du régime procédural des formalités préalables auprès de la CNIL assorties de sanctions pénales (amendes et peines d'emprisonnement). De manière générale, la réforme de cette loi impacte profondément la gestion de la relation client, les rapports avec les fournisseurs et sous-traitants, la politique marketing de toute entreprise.

Les notions-clé de la réglementation française et européenne

La notion de « donnée à caractère personnel »

La réglementation française et européenne définit de manière très large la notion de donnée à caractère personnel. Il s'agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » (art. 2 loi de 1978).

En conséquence, tout élément d'identification directe ou indirecte d'une personne (ex : adresse e-mail, n° de sécurité sociale, identifiant quelconque) est une donnée à caractère personnel dont l'utilisation est régie par cette réglementation, même si celui qui détient un élément d'identification est, à lui seul, incapable de faire le lien entre cet élément et une personne déterminée.

Certains tribunaux français se sont demandé récemment si l'adresse IP pouvait être considérée comme une donnée personnelle. Certains considèrent que l'IP ne permet de retrouver que le PC et non la personne. D'autres relèvent que, précisément, le fait de pouvoir retrouver le PC permet indirectement de retrouver la personne. A ce titre, la cour d'appel de Paris a considéré que les adresses IP collectées à l'occasion de la recherche et de la constatation des actes de contrefaçon sur Internet ne permettent pas d'identifier, même indirectement, des personnes physiques et que, dès lors, elles ne constituent pas des données à caractère personnel (CA Paris, 27 avril 2007 et 15 mai 2007). Une notion essentielle pour les moteurs de recherche qui fonctionnent en grande partie (mais pas uniquement, notons-le) sur la collecte de cette donnée...


Fichier PDF téléchargeable ici (la lettre Réacteur n'était à cette époque-là disponible que sous cette forme).