L'adresse IP est bien une donnée personnelle. Il semble que certaines entreprises aient quelque peu oublié ce principe et les règles qui en découlent. Au regard du Règlement général sur la protection des données personnelles, le 2 août 2019, le tribunal de grande instance de Paris a refusé d'obliger Orange à fournir des informations permettant d'identifier des contrefacteurs présumés. A contrario, cela porterait "une atteinte illégitime et disproportionnée (…) aux données à caractère personnel".

La société canadienne Mile High Distribution, productrice d'œuvres audiovisuelles vendues sur Internet accusait des personnes de les offrir gratuitement sur des plates-formes sans son autorisation. En bref, une affaire de contrefaçon numérique. Pour récupérer les adresses IP de ces malfaiteurs présumés, elle a mandaté une société allemande, Media Protector. Entre novembre 2017 et décembre 2018, plus de 900 adresses ont été récupérées. Mais comment conserver ces informations dans le temps pour les utiliser lors d'un procès ?

La collecte des adresses IP viole le RGPD

La société canadienne a donc exigé d'Orange, en tant que fournisseur d'accès internet, qu'il conserve ces données indispensables pour l'identification des personnes en cause. Le tribunal de grande instance de Paris a accédé à cette demande le 8 avril 2019. Mais l'opérateur français s'est opposée à cette requête en arguant que la collecte et le traitement des adresses IP, faites par la société américaine, violaient le RGPD. Et il avait raison.

Dans son ordonnance du 2 août 2019, le juge des référés a tout d'abord rappelé que l'adresse IP était bien une "donnée à caractère personnel", une qualification forte de sens. En effet, la collecte et le traitement "doivent avoir être opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel", ce qui n'a pas été le cas en l'espèce.

Mile High Distribution aurait dû désigner un délégué à la protection des données

De plus, en application du RGPD, la société canadienne en tant que "responsable du traitement" aurait du répondre à plusieurs obligations telles que la désignation d'un représentant en Europe et d'un délégué à la protection des données (DPO), la mise en place d'un registre des traitements ou encore "prévoir un encadrement juridique particulier pour leur transfert de la France vers le Canada".

Le juge rappelle que même si la société allemande mandatée avait procédé à une déclaration de conformité auprès de la Commission nationale de l'informatique et des libertés (CNIL), cela ne "suffit pas à démontrer le caractère licite du traitement mis en œuvre".

Le RGPD s'applique également en dehors de l'UE

Cette décision ne fait que mentionner des principes juridiques déjà ancrés. Mais elle a l'avantage de rappeler que le RGPD ne s'applique pas qu'au sein de l'Union Européenne. En effet, cette législation s'applique à toute entreprise qui gère des donnés de citoyens, de résidents ou d'entreprises européennes ou si le "responsable du traitement" est établi sur le territoire de l'UE. Plus globalement, cette législation permet de "promouvoir les flux de données fondées sur des normes élevées entre pays partageant les valeurs de l'UE", comme l'a exprimé Vera Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, le 24 juillet 2019.