L'évolution du cadre législatif concernant la protection des données personnelles a marqué un tournant décisif avec l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD). Ce nouveau paradigme a substitué une logique déclarative ou d'autorisation par une approche axée sur la responsabilité des acteurs traitant des données. Dans ce contexte, la Commission Nationale de l'Informatique et des Libertés (CNIL) a joué un rôle central dans l'élaboration de recommandations visant à clarifier les obligations des sites web et applications concernant l'utilisation des cookies et autres traceurs, y compris l'exploitation des adresses IP.
Le Cadre Réglementaire des Traceurs et du Consentement
Avant le RGPD, la législation reposait souvent sur une logique d'autorisation préalable. Cependant, l'article 82 de la loi Informatique et Libertés, tel qu'interprété par la CNIL, impose désormais une approche plus stricte. Il stipule que tout utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, par le responsable du traitement, de la finalité de toute action tendant à accéder à des informations déjà stockées dans son équipement terminal ou à y inscrire des informations. De plus, l'utilisateur doit être informé des moyens dont il dispose pour s'y opposer. Il est crucial de noter que pour la CNIL, cet article s'applique indépendamment du fait que les données concernées soient à caractère personnel ou non. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement.
Les Modalités de Recueil du Consentement : Un Acte Positif Clair
La CNIL est catégorique : les traceurs nécessitant un recueil de consentement ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. Cette exigence a des implications majeures pour la plupart des sites web.
Le caractère libre du consentement implique que la personne concernée doit être en mesure d'exercer valablement son choix sans subir d'inconvénients majeurs. La CNIL rappelle la position du Comité européen de la protection des données (CEPD) de mai 2018 : bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi n'est pas conforme au RGPD. Par conséquent, même un refus de dépôt de cookies et autres traceurs ne pourra empêcher la poursuite de la navigation.
Le consentement doit être spécifique pour chaque finalité distincte. Offrir une possibilité de consentement global est acceptable, mais uniquement en complément d'une option de consentement spécifique par finalité.
Le caractère éclairé du consentement exige une information rédigée en termes simples, compréhensibles pour tous, et permettant aux utilisateurs d'être parfaitement informés des différentes finalités des traceurs utilisés. Cette information doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d'utilisation est insuffisant. Les informations minimales à fournir incluent l'identité du ou des responsables de traitement, la finalité des opérations de lecture ou écriture des données, et l'existence du droit de retirer son consentement. L'utilisateur doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir, une liste exhaustive et régulièrement mise à jour devant être mise à disposition.
Le caractère univoque du consentement signifie qu'il doit se manifester par une action positive. La CNIL a souligné qu'une position nouvelle et importante est que le fait de continuer à naviguer sur un site web, d'utiliser une application mobile, ou de faire défiler la page, ne constituent pas des actions positives claires assimilables à un consentement valable. L'immense majorité des sites internet français devront modifier leur solution de gestion de cookies en ne permettant pas la navigation sans action sur les boutons accepter ou refuser. L'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair.
2 MIN POUR COMPRENDRE LE RGPD : GALÈRE OU OPPORTUNITÉ ? | Animation Whiteboard
La Preuve du Consentement et la Facilité de Retrait
Les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes permettant de démontrer qu'ils ont valablement recueilli le consentement des utilisateurs. Cette obligation ne peut être remplie par la seule présence d'une clause contractuelle. Il doit être aussi facile de refuser ou de retirer son consentement que de le donner. Les personnes ayant donné leur consentement doivent pouvoir le retirer à tout moment.
La CNIL abroge sa délibération n° 2013-378 du 5 décembre 2013, modifiant ainsi sa doctrine sur les cookies et autres traceurs. Une période d'adaptation de six mois est généralement laissée aux acteurs après la publication de la recommandation définitive pour intégrer les nouvelles règles.
L'Adresse IP : Une Donnée Personnelle Protégée par le RGPD
L'adresse IP (Internet Protocol) est considérée comme une donnée à caractère personnel par la réglementation européenne sur la protection des données. Il s'agit d'un identifiant en ligne pouvant permettre d'identifier, au moins indirectement, une personne physique. Le RGPD inclut explicitement les « identifiants en ligne » dans la définition des données personnelles, car ils peuvent révéler des informations sur une personne (localisation, fournisseur d'accès) lorsqu'ils sont croisés avec d'autres données.
Plusieurs décisions de justice ont confirmé que les adresses IP, qu'elles soient statiques ou dynamiques, doivent être traitées comme des données personnelles. La Cour de justice de l’UE (CJUE), dans l’arrêt Breyer du 19 octobre 2016, a jugé qu’une adresse IP dynamique enregistrée par un site web est une donnée personnelle dès lors que le fournisseur d’accès internet détient des informations additionnelles permettant d’identifier l’utilisateur et que le site peut légalement accéder à ces informations si nécessaire. La Cour de cassation française a également affirmé que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel ». Même une adresse IP locale (interne à un réseau privé) a été reconnue comme donnée personnelle dès lors qu’elle permet de remonter jusqu’à un utilisateur particulier sur le réseau concerné.
Finalités Légitimes et Bases Légales de la Collecte d'IP
Comme pour toute donnée personnelle, la collecte et le traitement d'adresses IP doivent reposer sur une base légale valable du RGPD et poursuivre une finalité déterminée et légitime.
Fourniture de service en ligne et fonctions techniques nécessaires : Le traitement de l'adresse IP est nécessaire pour retourner le contenu demandé par l'utilisateur et assurer le bon fonctionnement et la sécurité des systèmes (surveillance du trafic, détection des pannes). Ce traitement peut relever de l'intérêt légitime du fournisseur. La CJUE a souligné qu'un site web peut avoir un intérêt légitime à conserver certaines données (comme les IP) après la navigation pour assurer la sécurité du site et prévenir les cyberattaques, à condition d'informer les utilisateurs et de ne pas détourner ces données.
Sécurité, lutte contre la fraude et obligations légales : De nombreux organismes collectent les IP pour identifier l'origine d'accès illégitimes, prévenir les intrusions ou les fraudes. Cette finalité peut généralement être fondée sur l'intérêt légitime, à condition de respecter un juste équilibre avec les droits des personnes. Dans certains cas, une obligation légale impose la conservation des adresses IP, comme en France où les fournisseurs d'accès internet doivent conserver les « données de trafic » pendant un an pour permettre la recherche d'infractions. Ce type de conservation déroge au principe habituel d'effacement immédiat.
Mesure d’audience et analytics : L'utilisation des adresses IP pour la mesure d'audience (statistiques de fréquentation, analyse géographique) nécessite en principe le consentement préalable de l'utilisateur. Toutefois, la CNIL admet que certains outils de statistique internalisés peuvent être exemptés de consentement si les données collectées sont strictement anonymisées ou fortement pseudonymisées et utilisées à des fins statistiques agrégées. Les solutions conformes aux lignes directrices CNIL doivent masquer une partie de l'adresse IP et ne pas la transférer à des tiers. La base légale retenue est alors l'intérêt légitime, à condition d'offrir un droit d'opposition et de respecter des conditions strictes. Pour des activités de publicité ciblée ou de profilage, l'adresse IP ne peut être collectée qu'avec un consentement valide.
Contexte professionnel (employeurs) : Les employeurs peuvent traiter les adresses IP dans le cadre de la surveillance de l'usage des outils informatiques. Ces traitements doivent être fondés sur un motif légitime et respecter le droit du travail. Cependant, une jurisprudence française récente (avril 2025) a semé le doute en estimant qu'une IP interne collectée à des fins techniques ne pouvait servir de preuve disciplinaire sans consentement, ce qui a été critiqué comme potentiellement contraire au RGPD.
Anonymisation, Troncature et Minimisation des Adresses IP
Le principe de minimisation des données impose de limiter la collecte et la précision des informations personnelles aux stricts besoins. Il est recommandé de ne pas conserver l'intégralité des adresses IP si cela n'est pas nécessaire.
En pratique, de nombreuses organisations mettent en place des techniques de tronquage ou d'anonymisation partielle des IP, par exemple en masquant le dernier octet d'une adresse IPv4. Ce masquage réduit la précision et donc le risque pour la vie privée. La CNIL préconise, par exemple, que les outils de mesure d'audience « exemptés de consentement » enregistrent uniquement les trois premiers octets de l'IP.
Il faut noter qu'une IP tronquée n'est pas totalement anonyme au sens juridique, mais pseudonymisée. Une donnée réellement anonymisée est une donnée irrémédiablement rendue non identifiable. Pour qu'une adresse IP soit considérée comme anonymisée, il faudrait qu'aucune personne ne puisse raisonnablement la relier à un individu. Le RGPD autorise les traitements visant à anonymiser des données ; une fois l'anonymisation effective, les données résultantes ne sont plus soumises au RGPD.
En attendant d'atteindre une anonymisation complète, les responsables de traitement doivent protéger les IP comme des données personnelles sensibles, en sécurisant strictement les fichiers de logs, en restreignant leur accès, et le cas échéant en chiffrant ou hachant les adresses IP stockées.
Durée de Conservation des Adresses IP
Le principe de limitation de la conservation exige de ne pas conserver les données personnelles plus longtemps que nécessaire à la finalité du traitement.
- Pour les logs techniques et de sécurité, une durée de rétention de quelques mois à un an maximum est généralement considérée comme raisonnable. L'idéal est de définir une politique d'effacement automatique.
- Pour la mesure d'audience web ou des statistiques anonymes, il est possible de conserver les données brutes très peu de temps avant de les agréger.
- Lorsque la loi impose une conservation (par exemple, pour les fournisseurs d'accès internet), ces délais légaux spécifiques sont appliqués.
Conserver des adresses IP « au cas où » sans limite de temps serait contraire au RGPD. Il est souhaitable de documenter dans le registre RGPD la durée de conservation prévue pour les journaux contenant des IP, en justifiant pourquoi cette durée est nécessaire.
Jurisprudences Marquantes sur l'Utilisation des Adresses IP
Plusieurs décisions judiciaires ont clarifié le statut et le traitement des adresses IP :
- CJUE, arrêt Breyer (19 oct. 2016) : A établi qu'une adresse IP dynamique constitue une donnée personnelle dès lors qu'il existe des « moyens raisonnables » de l'identifier en coopération avec un tiers.
- Cour de cassation (France), 3 nov. 2016, n°15-22595 (Affaire Logisneuf) : A rappelé que toute adresse IP identifiant indirectement un individu est une donnée personnelle, dont la collecte sans respect des formalités est illicite.
- Cour de cassation (France), 9 avril 2025, n°21-15.025 (Affaire IP interne en entreprise) : Un arrêt concernant l'utilisation d'une adresse IP interne pour identifier un employé a soulevé des questions sur l'utilisation de ces données sans consentement pour des finalités autres que techniques.
La Distinction entre Cookies Internes et Tiers
La distinction entre cookies « tiers » (ou « third party ») et cookie « internes » (ou « first-party ») est technique. Lorsqu'un utilisateur visite un site web, il consulte un « domaine ». Les contenus peuvent être transmis depuis ce domaine ou via d'autres domaines appartenant à des tiers. Chaque cookie est associé à un domaine. Les cookies « internes » sont déposés par le site consulté par l'internaute, sur le domaine du site.
Bien que cette distinction soit technique, elle n'a pas de conséquence directe sur l'obligation de demander ou non le consentement. Dans la pratique, une grande majorité des cookies « tiers » ont des finalités nécessitant le consentement (par exemple, publicitaire), mais certains cookies « tiers » peuvent être strictement nécessaires à une fonctionnalité expressément demandée par l'utilisateur et donc exemptés de consentement.
Bonnes Pratiques au-delà de la Réglementation
La recommandation de la CNIL n’a pas vocation à être prescriptive ; elle vise à proposer des exemples concrets de mise en œuvre de la réglementation. Les bonnes pratiques vont au-delà des exigences posées par la réglementation. La CNIL souhaite favoriser ces pratiques car elles permettent d’offrir une protection renforcée aux utilisateurs. Les cookies et autres traceurs feront l’objet d’actions de mise en conformité au cours de l’année suivant la publication des lignes directrices et recommandations, avec une première étape où les actions de la CNIL seront limitées au respect des principes antérieurs.
L'utilisation des traceurs doit être strictement cantonnée à la production de statistiques anonymes, et l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. Les traceurs utilisés ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements ni transmises à des tiers.
En résumé, la CNIL, à travers ses recommandations et ses actions, renforce la protection des utilisateurs face aux technologies de traçage, plaçant la responsabilité des acteurs au cœur du dispositif et exigeant un consentement libre, spécifique, éclairé et univoque pour toute utilisation de données personnelles, y compris les adresses IP, au-delà des strictes nécessités techniques et de sécurité.