Dans un arrêt du 19 octobre 2016, la Cour de justice de l’Union Européenne (CJUE) s’est prononcée sur la licéité de la conservation par l’éditeur d’un site internet des données de connexion au site, telles que les dates et heures des connexions ou l’adresse IP des utilisateurs.

Cette pratique est fréquente : les éditeurs de sites internet conservent souvent ce types d’informations dans des journaux de connexion, historiques ou fichiers logs, afin notamment de pouvoir engager des poursuites suite à des accès non autorisés, publications de contenus illicites, extraction systématiques de données ou contenus du site et autres infractions commises par des internautes.

Dans cette affaire, une personne contestait la possibilité pour des services fédéraux allemands de conserver son adresse IP et l’historique de ses connexions à des sites web édités par ces services.

La Cour de justice confirme tout d’abord que les adresses IP, même dynamiques, sont des données à caractère personnel, avec les obligations que cela implique.

La seule condition posée par la Cour, pour être en présence d’une donnée personnelle, est qu’il doit exister des moyens raisonnables pouvant être mis en oeuvre par le responsable du traitement (éditeur du site) lui permettant d’identifier la personne correspondant à l’adresse IP. Tel est le cas lorsqu’il existe des voies légales lui permettant d’obtenir cette identification grâce aux informations complémentaires dont dispose le fournisseur d’accès à internet de cette personne.

Ensuite, la Cour indique que la législation d’un Etat membre ne peut pas interdire aux éditeurs de site internet, de manière générale, toute possibilité de conservation des adresses IP et données de connexion à leurs sites après la fin de la session de l’utilisateur.

La CJUE rappelle qu’en vertu de la directive européenne relative aux données personnelles, la collecte et la conservation de données personnelles sont autorisées lorsque ces opérations (considérées comme un traitement de données à caractère personnel) sont nécessaires à la réalisation d’un « intérêt légitime » poursuivi par le responsable du traitement, à savoir l’éditeur du site, ou par un tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux des personnes concernées.

D’après la Cour, l’éditeur d’un site internet peut avoir un intérêt légitime à conserver les données de connexion à son site, notamment pour garantir la continuité du fonctionnement du site.

* * *

Pour aller plus loin, consulter l’arrêt de la CJUE du 19 octobre 2016 sur le site de la Cour curia.europa.eu.