L'adresse IP, l'adresse numérique qui identifie chaque dispositif connecté à un réseau (sous la forme “213.251.178.122”), est-elle une donnée personnelle et privée ? Oui, a répondu un groupe de travail européen. Auditionné hier par le Parlement Européen, ce «groupe de l'article 29» a rendu les conclusions de son rapport sur la protection des données, notamment sur la compatibilité des politiques sur la vie privée des moteurs de recherche (Google, Yahoo, Microsoft, etc.) aux lois européennes.
Le commissaire allemand, Peter Scharr a ainsi affirmé que l'adresse IP devait «être regardée comme une donnée personnelle» , au même titre qu'une adresse postale, et donc protégée comme telle. Même s'il reconnaît par ailleurs qu'il existe des exceptions. En effet avec l'IPv4, une adresse identifie un dispositif et non un ordinateur unique (ce qui ne sera plus le cas avec l'IPv6). Donc, aujourd'hui, dans de nombreux lieux (espaces publics, cybercafés, sociétés, etc.) des personnes sont connectées sur différents ordinateurs au même réseau et partagent donc la même IP. Ce qui pourrait poser un problème d'identification en cas d'affaire juridique. De même, si ces conclusions sont adoptées, les responsabilités pénales en cas de piratage d'adresses IP mériteront probablement d'être révisées.
Malgré ces exceptions, le groupe a considéré qu'il y avait urgence à agir.
La décision s'adresse principalement aux moteurs de recherche, et surtout à Google. Jusqu'en mars dernier, le géant américain stockait les données personnelles, dont les adresses IP, pendant une durée illimitée. Depuis, sous la pression de ce même groupe 29, il a accepté d'harmoniser ses pratiques avec la directive européenne en anonymisant les données au bout de 18 mois. Aujourd'hui, le fait de définir l'adresse IP comme une donnée privée pourrait générer de nouvelles règles en matière de récolte, de traitement et de rétention de ces données.
Google s'est déclaré en désaccord avec cette décision. Peter Fleischer, conseiller à la protection de la vie privée, s'est défendu en déclarant utiliser ces adresses pour offrir un meilleur service, par exemple pour connaître la langue des utilisateurs, et pour fournir aux annonceurs des preuves que les utilisateurs cliquent sur les publicités en lignes et éviter la «fraude de clic». Selon lui, «il n'y pas de réponse blanche ou noire: parfois l'adresse IP peut être considérée comme une donnée personnelle, parfois non, cela dépend du contexte.» . Au contraire, Marc Rotenberg, du groupe d'intérêt public EPIC, s'est réjoui de la décision comme un pas vers l'IPv6 et l'adressage unique des ordinateurs, et comme «une prise en compte nécessaire de la protection des données» à l'heure où la Commission Européenne examine l'acquisition par Google de DoubleClick, le leader de la publicité en ligne.
Pour que cette règle entre en vigueur, elle doit être adopté soit par le Parlement Européen, soit par la Commission Européenne. A noter qu'en France, si selon une loi de 1978, l'adresse IP constitue «une donnée à caractère personnel » , dans les faits, ce n'est pas systématique.