L’adress IP est-elle un renseignement personnel?

Analyse et rédaction – Cours de droit et commerce électronique (11-15)

Définition d’un renseignement personnel  

Pour bien répondre à cette question, il faut premièrement définir qu’est-ce qu’un renseignement personnel selon la loi. Au niveau provincial, la Loi sur la protection des renseignements personnels et les documents électroniques indique simplement que le renseignement personnel signifie « Tout renseignement concernant un individu identifiable ».[1] Au niveau fédéral, elle définit les renseignements personnels comme « des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable ».[2] Cette précision concernant « leur forme et leur support » se conjugue bien avec la réalité des nouvelles technologies qui nécessite de gérer l’information, et par le fait même les renseignements personnels, durant l’ensemble de leur « cycle de vie ».[3] Ce nouveau concept du droit a été inséré dans la Loi concernant le cadre juridique des technologies de l’information relativement au maintien de l’intégrité.19 La définition de « renseignement personnel » mérite d’être revue et plus détaillée, puisqu’elle ne concerne pas seulement une personne physique, mais aussi l’information qui circule pour l’identifier en ligne. Son utilisation en commerce électronique nécessite une définition plus précise puisqu’elle concerne aussi la sécurité des échanges en ligne et des transactions.

Définition de l’adresse IP

Avant de définir l’adresse IP, et d’analyser son potentiel à constituer un renseignement personnel, il faut spécifier qu’elle fait partie du TCP/IP (Transmission Control Protocol / Internet Protocol), soit le protocole de base d’Internet sur lequel reposent tous les autres.

Ce protocole prend en charge l’organisation et le transport des données sur le réseau. Le TCP s’occupe de l’organisation en morcelant l’information en paquets et l’IP, pour sa part, permet le transport des paquets d’un ordinateur à un autre grâce à un système d’adressage. Chaque ordinateur connecté à Internet possède donc sa propre adresse IP.[4]

L’adresse IP est « un numéro d’identification d’un équipement réseau directement connecté à Internet. Cette adresse doit être unique, afin que chaque machine connectée puisse être adressée de manière non équivoque. »[5] Elle indique la provenance des données et leur destination. Une adresse IP consiste en un numéro de 32 bits, soit quatre octets séparés par des points. Ce type de numéro est connu sous l’acronyme IPv4. En mai 2014, l‘Internet Corporation for Assigned Names and Numbers (ICANN) a annoncé avoir entamé le processus d’allocation des derniers blocs d’adresses du Protocole Internet version 4 (IPv4) parmi les cinq registres Internet régionaux (RIR). En raison d’un nombre croissant de dispositifs connectés, l’IPv4 n’est plus capable de fournir un nombre suffisant d’adresses et L’ICANN encourage les opérateurs de réseaux à adopter le protocole IPv6, capable de permettre une croissance rapide de l’Internet.[6] Le protocole IPv6 a été développé par The Internet Engineering Task Force (IETF®)[7]. Il permet d’allonger l’adresse IP de 32 à 128 bits et de multiplier le nombre d’adresses disponibles de façon exponentielle.

L’adresse IP statique ou dynamique

Les adresses IP peuvent être statiques ou dynamiques. Pour pouvoir associer un nom de domaine à une adresse IP dans les DNS (Domain Name System ou Système de Nom de Domaine en français), il faut faire la demande d’une adresse IP fixe (statique) à un fournisseur d’accès Internet. L’adresse IP statique est attribuée à un appareil relié à un réseau qui doit avoir une adresse permanente attribuée. En consultant son fichier journal, le fournisseur d’accès Internet peut alors faire la correspondance entre l’adresse IP et l’identité véritable de l’usager. Par contre, cette identité peut être associée, avec plus de certitude, à un ordinateur utilisé, en considérant que plus d’un usager peut utiliser le même appareil identifié avec la même adresse IP.

L’adresse IP statique n’est habituellement pas fournie gratuitement et différents forfaits sont offerts chez les principaux fournisseurs. Par exemple, elle coûte 25 $ par mois en utilisant les services de Vidéotron.[8]

Une adresse IP dynamique est attribuée à un appareil relié temporairement à un réseau, ce qui est généralement le cas dans l’espace des consommateurs. L’attribution de cette adresse IP est effectuée par un serveur DHCP de manière aléatoire. Pour les fournisseurs d’accès Internet, elle permet, entre autres, d’économiser sur le nombre d’adresses nécessaires en les partageant entre de nombreux usagers.5 Une adresse différente à chaque connexion est alors attribuée aux usagers, ce qui rend leur identification difficile. Les fournisseurs de services de télécommunication appliquent aussi des frais pour l’utilisation qui dépasse la limite des forfaits de leurs clients. À cette fin, ils doivent pouvoir associer avec précision l’achalandage de téléchargement à un abonné, et cela est possible en conservant un registre de l’adresse ou des adresses IP attribuées à cet abonné pendant cette période. Le temps de conservation de ce registre dépend des exigences législatives ou réglementaires pertinentes ou de ses pratiques d’affaires particulières.

Identification par l’adresse IP

L’adresse IP, jumelée à d’autres données telles qu’un numéro de téléphone ou une adresse courriel, peut permettre d’identifier un usager ou un réseau en ligne. Par exemple, l’affaire Petraeus, médiatisée aux États-Unis, démontre bien que l’adresse IP a servi de point de départ à une enquête sur des courriels de harcèlement qui a mené à la révélation d’une aventure extraconjugale du directeur de la CIA, David Petraeus.[9] Plusieurs étapes ont servi à résoudre cette enquête. En premier lieu, le FBI connaissait la provenance des adresses IP sources figurant dans l’en-tête des courriels de harcèlement, ce qui a permis d’identifier l’organisation à laquelle elles avaient été attribuées.

Sur réception d’assignations administratives, le ou les fournisseurs de services de télécommunication ont ensuite transmis les renseignements sur l’abonné correspondant aux adresses IP utilisées pour accéder au compte de courriel d’origine, ainsi qu’à tout autre compte de courriel consulté à partir des mêmes adresses IP. Google a fourni au FBI de l’information sur chaque adresse IP utilisée pour avoir accès au compte. Le fournisseur de services Internet a associé les adresses IP à divers endroits, y compris des hôtels.

Un nom revenait constamment dans la liste des personnes présentes pendant les périodes où les messages ont été envoyés, si bien que cette personne est devenue le suspect le plus probable. C’est alors que le FBI a demandé et obtenu un mandat pour avoir accès au contenu du compte de courriel anonyme. Comme le démontre cet exemple, le fait de posséder des renseignements sur un abonné, comme son numéro de téléphone et son adresse IP, peut servir de point de départ pour dresser un tableau des activités en ligne de celui-ci, notamment les services en ligne auxquels il est abonné, ses intérêts personnels, en fonction des sites web visités, les organisations auxquelles il appartient.[10] Nous pouvons donc considérer que l’adresse IP ne peut constituer un renseignement personnel, qui permet d’identifier un individu, sans être combinée à d’autres informations.

Statut de l’adresse IP à l’étranger

Seulement quelques pays d’Europe ont adopté une approche réglementaire précisant le statut des adresses IP : c’est le cas de l’Autriche, de Chypre, de l’Italie et du Luxembourg. Pour la Bulgarie et l’Estonie, seule une certaine combinaison de données qui contient des adresses IP constitue un ensemble de données personnelles. Les juridictions nationales ont tendance à considérer ces adresses IP comme des données personnelles (Autriche, France, Allemagne, Italie, Pologne, Espagne, Suède, Royaume-Uni), et seuls quelques tribunaux ont jugé le contraire, car les adresses ont permis l’identification d’un ordinateur, mais pas de son utilisateur.[11] Aux États-Unis, légalement, une adresse IP ne constitue pas un renseignement personnel identifiable.[12]

L’utilisation de l’adresse IP

L’adresse IP est malheureusement un outil à la portée du piratage et des cybercriminels. Même si elle ne constitue pas un renseignement personnel, à elle seule, elle peut être volée et par le fait même, occasionner des ennuis judiciaires à un utilisateur. Les commerçants profitent d’une autre utilisation moins grave, mais très fréquente, de l’adresse IP, pour faire de la collecte de données qui leur permet de connaître davantage les intérêts des consommateurs. Les informations obtenues sont ensuite utilisées pour des fins publicitaires.

Une fois qu’une adresse IP est saisie, plusieurs outils peuvent être utilisés pour retracer le détendeur : les bases de données d’enregistrement d’adresses IP, la « recherche inversée » qui permet de déterminer si un ordinateur fait partie d’un domaine Internet enregistré, le « traceroute » pour connaître l’emplacement physique de l’adresse IP, le fournisseur d’accès Internet et les informations relatives à l’enregistrement du nom de domaine (avec la fonction « WHOIS »). Les affichages publics, par la participation à des forums ou d’autres sites en ligne, permettent aussi de laisser une trace d’une adresse IP.[13]

Conclusion

L’analyse du fonctionnement d’une identification d’une personne physique en ligne, démontre bien que l’adresse IP ne peut à elle seule constituée un renseignement personnel, car elle n’est pas associée à un individu spécifique. De plus, l’adresse IP, assignée à un ordinateur, peut être une autre journée assignée à un ordinateur différent. Les adresses IP dynamiques font en sorte que l’adresse IP peut changer à chaque utilisation. Une adresse IP peut demeurer identique, même si l’ordinateur est partagé avec un autre utilisateur. Tel que mentionné sur le site de Google, nous pouvons considérer que « les adresses IP enregistrées par chaque site web sur la planète, sans informations supplémentaires, ne devraient pas être considérées comme des données personnelles, parce que ces sites ne peuvent généralement pas identifier les êtres humains derrière ces chaînes numériques. »[14] Pour qu’une adresse IP soit considérée légalement acceptable à titre de renseignement personnel, elle devrait être associée à plusieurs autres éléments décrivant plus spécifiquement un individu, par exemple sa date de naissance, sa nationalité et son numéro d’assurance sociale.

Sources:

[1] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5.

[2] Loi sur la protection des renseignements personnels, LRC, 1985, c P-21.

[3] Vincent Gautrais et Pierre Trudel, Circulation des renseignements personnels et web 2.0, Montréal, Thémis, février 2010

[4] Guide juridique du commerçant électronique, Montréal, 2001 – http://bit.ly/1SdOpan

[5] Dictionnaire du Web – http://www.dictionnaireduweb.com/adresse-ip/

[6] ICANN – https://www.icann.org/news/announcement-2-2014-05-20-fr

[7] The Internet Engineering Task Force (IETF®) – http://www.ietf.org

[8] www.affaires.videotron.com, « Services optionnels, Adresse IP statique »http://bit.ly/1M1KYzg

[9] Chris Soghoian, « Surveillance and Security Lessons From the Petraeus Scandal », 13 novembre 2012,

ACLU American Civil Liberties Union – http://bit.ly/1M7tipl

[10] Rapport préparé par la Direction de l’analyse des technologies du Commissariat à la protection de la vie privée du Canada,

« Ce qu’une adresse IP peut révéler à votre sujet », mai 2013 – http://bit.ly/1itpClQ

[11] République Française, Ministère de la Justice, « La protection des données personnelles en Europe » – http://bit.ly/1KMEwdy

[12] JD SARTAIN, Network World, « Can your IP address give away your identity to hackers, stalkers and cybercrooks? », Jul. 16, 2013, http://bit.ly/1jZsKHW

[13] National Telecommunications & Information Administration, United States Department of Commerce – http://1.usa.gov/1PWEp73

[14] Google Public Policy Blog, « Are IP addresses personal? » – http://bit.ly/1MzeBxB

 

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s