François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Communication de données personnelles par un FAI, notamment l'adresse IP

03/10/2012 15 Min. lecture Droit François Charlet

Il y a plusieurs jours, @MlleFunambuline m’a demandé ce qu’il en était au sujet de la “protection des données concernant les accès au web en Suisse”, en particulier si une adresse IP peut être divulguée par un fournisseur d’accès à Internet (FAI), par exemple si ses clients violent la loi sur le droit d’auteur. Je vais tenter d’y apporter une réponse détaillée.

Le cadre juridique international

En ce qui concerne la protection des données à l’échelon européen et/ou international, plusieurs textes doivent être pris en compte.

Tout d’abord la Convention européenne des droits de l’homme (CEDH) qui, à son article 8, protège la vie privée et familiale, le domicile et la correspondance. La CEDH ne consacre pas expressément la protection des données, mais on a intégré celle-ci à l’art. 8 CEDH.

Le Pacte international de l’ONU relatif aux droits civils et politiques (abrégé : Pacte ONU II) ne protège que la vie privée, sans mentionner la protection des données à son art. 17. Toutefois, l’Assemblée générale de l’ONU a adopté une résolution le 14 décembre 1990 qui fixe certains principes généraux en matière de fichiers personnels informatisés.

En Europe, la Convention de 1981 (appelée : Convention 108) protège l’individu en obligeant les États parties à la Convention à adopter certains principes minimaux de protection dans leur législation concernant la transmission de données à d’autres États parties à la Convention.

Toujours en Europe, la Charte des droits fondamentaux de l’Union européenne consacre expressément la protection des données à caractère personnel à son art. 8.

Enfin, la Directive 95/46/CE, adoptée avant la Charte, traite de la protection des données et fixe les grands principes applicables dans l’Union européenne. La Suisse a repris ces principes dans sa législation.

Le cadre juridique suisse

Trois textes sont particulièrement importants en Suisse.

Premièrement, la Constitution fédérale (Cst) de 1999 qui consacre à son art. 13 le droit à la protection de la sphère privée ainsi que la protection des données. Cette disposition qui protège le “droit à l’autodétermination informationnelle” a au moins deux fonctions : une “corrective” qui permet de repousser une atteinte à ce droit fondamental, et une “préventive” qui attire l’attention des autorités quant au respect des données personnelles des citoyens. Comme c’est un droit fondamental, celui-ci peut être restreint moyennant que les conditions de l’art. 36 de la Constitution fédérale soient remplies. De plus, ce droit s’adresse aux autorités et n’a pas un effet horizontal, ce qui signifie qu’un citoyen ne peut invoquer ce droit fondamental à l’encontre d’un autre citoyen.

Ensuite, la loi fédérale sur la protection des données (LPD) qui concrétise le droit fondamental de l’art. 13 Cst. De par sa terminologie neutre technologiquement, la LPD concerne toute forme de traitement de données. Elle institue également de nouveaux organes, notamment le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Enfin, l’ordonnance d’application de la LPD, l’OLPD. Son rôle est essentiellement de nature administrative et ne concerne pas vraiment l’aspect privé de la protection des données qui est essentiellement régi par la LPD.

(Un quatrième texte existe, l’ordonnance sur les certifications en matière de protection des données, OCPD, mais comme l’OLPD, il ne nous intéressera pas ici.)

Quelques définitions

La LPD cherche notamment à protéger la personnalité, de la même manière que le font les art. 28 et suivants du Code civil suisse (CC). Pour que la personnalité soit atteinte, il faudra un traitement de données illicite qui ne peut pas être justifié pour une raison particulière. Par “traitement de données”, on entend le traitement de données automatisé et manuel, autrement dit tout traitement de données. La LPD protège les données des personnes physiques et des personnes morales (art. 3 lit. b LPD).

Un traitement de données réalisé par une personne physique et destiné à un usage strictement personnel sans qu’aucune communication des données ne soit faite à des tiers n’est pas soumis à la LPD (art. 2 al. 2 lit. a LPD).

La notion de données personnelles est très large et englobe toutes les données faisant référence à une personne (art. 3 lit. a LPD). La LPD distingue entre les données ordinaires et sensibles (art. 3 lit. c LPD), et traite aussi des profils de la personnalité (art. 3 lit. d LPD). Une donnée personnelle doit se rapporter à une personne identifiée ou identifiable.

Un traitement de données consiste en toute opération relative à des données personnelles (art. 3 lit. e LPD), que l’opération soit active (comme la collecte) ou passive (comme la conservation).

La communication des données est le fait de rendre ces données accessibles à des tiers (art. 3 lit. f LPD). La communication est une forme de traitement de données ; elle est spécialement définie, car c’est une phase extrêmement dangereuse puisque les données vont quitter la maîtrise d’une personne pour aller chez un tiers. Une simple mise en ligne de données constitue une communication, même si l’accès aux données est limité à certaines personnes déterminées. De plus, dans cette situation, le récipiendaire de la communication va choisir quelles données “se communiquer”.

Un fichier est un ensemble structuré de données personnelles contenant des données sur deux personnes au moins (art. 3 lit. g LPD). Au vu du développement de l’informatique, on peut raisonnablement admettre que toutes les données se trouvent actuellement dans des fichiers ; toutefois, le terme “fichier” dans la LPD doit être compris au sens général, il ne désigne pas nécessairement un fichier informatique.

Le maitre de fichier est la personne privée (ou l’organe fédéral) qui décide de la création, du but et du contenu du fichier ainsi que les traitements de données qu’on y fera (art. 3 lit. i LPD). C’est auprès de lui qu’on fait valoir le droit d’accès aux données personnelles (art. 8 LPD). Le fait de simplement mettre à disposition une infrastructure technique n’est pas suffisant pour être qualifié de maitre de fichier.

Les principes de la LPD

La LPD pose une série de principes fondamentaux qui s’appliquent tant aux personnes privées qu’aux organes fédéraux.

Le traitement de données doit respecter la loi (principe de licéité ; art. 4 al. 1 LPD).

Il doit également respecter le principe de la bonne foi (art. 4 al. 2 LPD et art. 2 CC). Ce principe implique notamment qu’un intérêt raisonnable doit exister pour le traitement des données et que les assurances données au moment de la collecte sont et seront respectées.

Le principe de proportionnalité (art. 4 al. 2 LPD) implique que le traitement doit être adéquat, apte et nécessaire pour atteindre le but recherché. Si un traitement moins intrusif ou plus léger permet d’atteindre ce but, il doit être appliqué. Il faut impérativement choisir le traitement portant l’atteinte la moins grave.

Le principe de finalité (art. 4 al. 3 LPD) cherche à s’assurer que les données récoltées seront traitées conformément au but indiqué lors de la collecte. Une fois le but de la collecte fixé, il ne peut plus être modifié ou remplacé sauf si la loi l’impose ou si un motif justificatif existe (par exemple le consentement des personnes touchées). La finalité du traitement peut être prévue par la loi (par exemple, art. 330a du Code des obligations, concernant le certificat de travail pour un employé).

La collecte et le but du traitement doivent être reconnaissables (art. 4 al. 4 LPD), c’est-à-dire qu’on doit s’en rendre compte. De plus, il faut qu’on sache qui sera le maitre de fichier, à qui les données collectées seront communiquées, si les données demandées sont obligatoires ou facultatives, etc. L’étendue de ce principe dépend surtout des circonstances. La LPD n’oblige pas l’auteur du traitement à informer expressément les individus concernés, bien qu’il ait tout intérêt à le faire.

Enfin, le consentement est en général requis pour justifier un traitement de données (art. 4 al. 5 LPD). Ce consentement doit être libre et éclairé : la personne doit comprendre et accepter le traitement de données, ainsi que posséder toutes les informations nécessaires pour consentir. Le consentement peut être tacite, oral, écrit, etc., mais il doit impérativement être explicite quand le traitement touche des données sensibles. Le consentement peut en principe être révoqué en tout temps (art. 27 CC).

L’adresse IP est-elle une donnée personnelle ?

Une adresse IP constitue une ressource d’adressage au sens de l’art. 3 lit. f de la loi fédérale sur les télécommunications (LTC). Tout ordinateur se connectant à Internet se voit attribuer et est identifié par une adresse IP sans laquelle aucun échange de données ne serait possible sur Internet. Il existe deux types d’adresses IP : statiques et dynamiques. De manière générale, un utilisateur qui se connecte à Internet au moyen d’un FAI tel que Cablecom ou Swisscom se verra attribuer une adresse IP dynamique. Celle-ci lui sera donc attribuée durant une période limitée et sera attribuée à un autre utilisateur à la fin de cette période, et ainsi de suite. Ce procédé autorise une rotation des adresses puisque les réserves d’adresse IPv4 sont épuisées. L’adresse IP statique est attribuée pour une période beaucoup plus longue, voire “une fois pour toutes” pour les infrastructures DNS.

Une personne est-elle identifiée ou identifiable du seul fait de l’utilisation d’une adresse IP ? À n’en pas douter, l’adresse IP (statique ou dynamique) est une donnée personnelle pour un FAI puisqu’il l’attribue à l’un de ses clients au sujet duquel il détient d’autres informations servant notamment à la facturation. Pour un tiers privé, si l’adresse IP est statique, il ne fait pas de doute que l’utilisateur est au moins identifiable, ce qui implique que l’adresse IP statique est une donnée personnelle. Par contre, l’identification d’une personne utilisant des adresses IP dynamiques sera beaucoup plus difficile en utilisant ce seul paramètre. L’aide du FAI ou le recoupement avec d’autres données sera en principe indispensable pour identifier une personne. Ainsi, prise individuellement, l’adresse IP dynamique n’est pas une donnée personnelle pour un tiers privé. Mais conjuguée à d’autres données complémentaires (cookies, compte utilisateur, etc.), elle devient une donnée personnelle.

Cette distinction n’aura sûrement plus lieu d’être lorsque les appareils du monde entier (en tout cas, de Suisse) seront tous passés en IPv6. L’utilisation d’un adressage dynamique ne devrait plus être nécessaire, ce qui posera certainement un problème pour la protection des données puisque l’IPv6 sonnerait le glas des adresses IP temporaires.

En résumé, une adresse IP constitue une donnée personnelle pour les FAI, ainsi que pour les autorités puisqu’elles peuvent exiger l’identification de l’individu selon les art. 14 et 15 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Pour un tiers privé, l’adresse IP statique seule est une donnée personnelle à l’inverse de l’adresse IP dynamique prise isolément.

Dans l’affaire Logistep, le Tribunal fédéral a été bien plus souple et a considéré que l’adresse IP dynamique est une donnée personnelle pour un tiers privé, car il est possible d’identifier un individu a posteriori, soit après la collecte de l’adresse IP, via une procédure lourde et longue (dépôt d’une procédure pénale contre X, enquête des autorités de poursuite pénale, consultation du dossier par les ayants droit pour identifier l’individu, mais pas forcément l’utilisateur effectif au moment de la collecte de l’adresse IP, etc.).

Communication de l’adresse IP à des tiers ?

Un FAI a-t-il le droit de communiquer une adresse IP à un tiers ? En principe, non. De la même manière que les données personnelles collectées par le FAI à notre sujet pour établir les factures ou pour nous fournir ses services, les adresses IP ne peuvent être communiquées à des tiers qu’à des conditions strictes. En tant que maitre de fichier, le FAI est soumis aux obligations de la LPD.

Tout d’abord, si le but de la récolte était de communiquer ces données à des tiers, il a nécessairement dû être annoncé comme tel au moment de la récolte, et être reconnaissable (art. 12 al. 2 lit. a LPD). Si c’était le cas, le FAI n’a pas besoin du consentement de ses clients pour communiquer leurs données personnelles (sous réserve qu’elles contiennent des données sensibles ou des profils de la personnalité).

Si ce n’était pas le cas, seuls des motifs justificatifs peuvent autoriser le FAI à communiquer des données personnelles (art. 13 LPD). Ces motifs justificatifs sont au nombre de trois.

Premièrement, le consentement de l’individu. Comme mentionné plus haut, celui-là doit être libre et éclairé (art. 4 al. 5 LPD). Pour rappel, l’opposition à un traitement rend celui-ci illicite (par exemple, la liste Robinson). L’opposition peut être faite sans justification : c’est un droit inconditionnel, sous réserve de l’abus de droit (art. 2 al. 2 CC) et d’éventuelles pénalités financières dues à la fin prématurée d’un contrat. L’absence d’opposition ne légitime pas un traitement de données (surtout si la finalité du traitement exclut la communication à des tiers).

Deuxièmement, l’intérêt prépondérant public ou privé. En principe, à la place d’un intérêt public prépondérant, il y a une loi. L’exemple le plus parlant de l’intérêt public prépondérant – conjugué ici avec un intérêt privé prépondérant – est celui des assurés surveillés par des détectives privés pour éviter des fraudes, le versement de prestations indues par les assurances (intérêt privé) et garantir des primes moins élevées pour tout le monde (intérêt public ; ATF 136 III 410).

L’affaire Logistep constituait précisément un cas de litige sur la (non-)justification de traitements de données personnelles (en l’occurrence des adresses IP) au moyen d’un intérêt privé prépondérant (ici, la surveillance de réseaux Peer-to-Peer par des titulaires de droit d’auteur afin d’obtenir l’identité des utilisateurs au moyen d’une procédure pénale).

Pour juger si un intérêt privé est prépondérant et donc propre à légitimer une atteinte aux droits de la personnalité d’un individu, il faudra faire une pesée des intérêts en présence : d’un côté, l’atteinte et les droits de la personnalité de l’individu, de l’autre, l’intérêt privé d’une autre personne.

L’art. 13 al. 2 LPD affiche une liste exemplative des intérêts privés prépondérants qu’il est en tout cas possible d’invoquer. Cette liste ne signifie pas que les intérêts affichés ont obligatoirement plus de poids que l’intérêt à la protection des données. Il revient au juge de décider, seul, si un intérêt a la prééminence sur l’autre.

Troisièmement, la loi. Cela peut tomber sous le sens, mais si une loi prévoit expressément un motif justificatif, l’atteinte est justifiée. Ainsi, dans le cadre d’une procédure judiciaire et pour autant que la loi l’y autorise, l’autorité peut demander la levée du secret des télécommunications.

Que faire en cas de communication illicite à des tiers ?

Une personne privée comme un FAI ne peut donc pas communiquer de données personnelles, dont une adresse IP, à des tiers à moins d’être au bénéfice d’un motif justificatif de l’art. 13 LPD. Dans le cas contraire, la communication sera considérée comme une atteinte illicite à la personnalité et pourra faire l’objet d’une action en justice selon les art. 28 et suivants CC. Ces dispositions prévoient plusieurs moyens de défense.

Premièrement, l’interdiction (art. 28a al. 1 lit. a CC), qui vise à empêcher que l’atteinte ne survienne, et elle nécessite l’existence d’une menace sérieuse et concrète d’atteinte.

Deuxièmement, la cessation (art. 28a al. 1 lit. b CC) qui interviendra dans le cas où l’atteinte a eu lieu et dure encore.

Troisièmement, la constatation (art. 28a al. 1 lit. c CC), qui sera utilisée quand “le mal est fait” afin de faire constater que l’atteinte était bel et bien illicite. Cela permettra aussi d’interdire une communication future.

La personne physique ou morale qui ne se conformerait pas aux décisions de l’autorité dans ces trois cas risquerait une condamnation pénale pour insoumission à une décision de l’autorité (art. 292 du Code pénal suisse).

Communication d’une adresse IP en cas de violation de la loi sur le droit d’auteur ?

Un FAI n’a pas le droit de communiquer des données personnelles, adresses IP comprises, à des tiers, même si ceux-ci sont des titulaires de droit d’auteur qui peuvent apporter la preuve qu’un de leur client a enfreint la loi sur le droit d’auteur (LDA).

On pourrait se demander s’il n’existe pas un intérêt privé prépondérant à la divulgation de ces données. En effet, un FAI pourrait décider de communiquer des données personnelles pour préserver l’intérêt privé des ayants droit. C’est précisément cette question que le Tribunal fédéral a éludée dans l’arrêt Logistep. Logistep poursuivait à l’évidence un but de nature économique, puisqu’elle était rémunérée par les ayants droit pour ses prestations. Les intérêts de ces derniers n’ont pas été pris en considération, seul l’intérêt pécuniaire de Logistep a été mis dans la balance avec, de l’autre côté, la protection des données, le droit à pouvoir naviguer de manière “anonyme” sur Internet, la possibilité d’obtenir gratuitement des copies d’oeuvres artistiques, entre autres.

Si l’arrêt Logistep a laissé un peu de répit aux internautes suisses en leur garantissant une quasi-immunité légale – exception pour l’usage privé à des fins personnelles, art. 19 LDA, et maintenant le renvoi par le TF de la patate chaude au Parlement concernant la pesée d’intérêt ci-dessus –, il n’en reste pas moins décevant sur la question fondamentale de savoir si un tiers privé (par exemple un FAI) peut invoquer l’intérêt privé de titulaires de droits d’auteur pour communiquer des données personnelles.

Conclusion

Après ce long exposé, la réponse n’est pas très nuancée. À moins d’un motif justificatif, un FAI ou tout autre tiers soumis au droit suisse et donc à la LPD ne peut communiquer à des tiers des données personnelles, dont des adresses IP (avec l’exception pour l’adresse IP dynamique).

La grosse incertitude réside dans la confrontation d’intérêts privés qui pourraient justifier une telle communication. À moins qu’un FAI ou une autre personne n’invoque un tel motif et, éventuellement, ne se retrouve devant le Tribunal fédéral afin qu’il tranche la controverse qu’il a lui-même créée, il faudra se satisfaire de cette incertitude…

Pour aller plus loin sur le motif justificatif de l’intérêt privé, l’affaire Moneyhouse est un bon exemple. J’en ai parlé ici, en détail également.