Réponse donnée par Mme Reding au nom de la Commission
12.3.2013
Une adresse IP (Internet Protocol) est un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l'internet. Il est attribué par les fournisseurs d'accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l'internet, car ils enregistrent systématiquement dans un fichier la date, l'heure, la durée et l'adresse IP dynamique de chaque connexion.
Ces adresses IP peuvent être considérées comme des données à caractère personnel au sens de l'article 2, point a), de la directive 95/46/CE sur la protection des données (la «directive»)[1],[2]: elles sont susceptibles de constituer des données à caractère personnel si elles laissent des traces qui, associées à d'autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils et identifier ainsi, directement ou indirectement, les personnes concernées. Ce principe découle de la définition des données à caractère personnel figurant dans la directive. Il est développé plus largement dans le règlement général sur la protection des données proposé par la Commission[3].
Tout traitement de données relatives aux clients, telles que les adresses IP, doit respecter les dispositions nationales qui mettent en œuvre les exigences de la directive 95/46/CE; ainsi, les données à caractère personnel doivent être traitées pour des motifs légitimes et dans un but spécifique, et le traitement doit être proportionné à l'objectif poursuivi. Les clients des opérateurs de transport doivent en être informés.
Sans préjudice des compétences de la Commission en tant que gardienne du traité, les autorités de contrôle nationales chargées de la protection des données sont les organes compétents pour le suivi de l'application des mesures nationales de transposition de la directive 95/46/CE.
- [1] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.
- [2] Cour de justice de l'Union européenne, arrêt du 24 novembre 2011 dans l'affaire C-70/10, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), (Recueil 2011, p. 00000, point 51). Texte; voir également l'avis 4 du groupe de travail «article 29» sur le concept de données à caractère personnel, adopté le 20 juin 2007, p. 16.
- [3] Considérant 24 de la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012)11 du 25.1.2012.
JO C 361 E du 11/12/2013