Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP (30 avril)
Arrêt La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) (Assemblée plénière), aff. C-470/21
Saisie d’un renvoi préjudiciel par le Conseil d’Etat (France), la Cour de justice de l’Union européenne a interprété le règlement 2016/679 (dit « RGPD »). En l’espèce, la réglementation nationale permettait la collecte d’adresses IP par des organismes représentant les auteurs, qui auraient été utilisées par des personnes soupçonnées d’être responsables de contrefaçon. Elle autorisait également la mise en correspondance, sur ordre d’une autorité administrative, de ces adresses IP avec les données d’identité civile de son titulaire. Dans un 1er temps, la Cour rappelle que la conservation généralisée et indifférenciée d’adresses IP est autorisée lorsque la réglementation nationale garantit une séparation étanche entre les différentes catégories de données à caractère personnel, excluant ainsi la possibilité de tirer des conclusions précises sur la vie privée de la personne concernée. Dans un 2ème temps, elle précise que le RGPD ne s’oppose pas à une réglementation nationale autorisant une autorité publique compétente à accéder aux données d’identité civile correspondant à une adresse IP. Toutefois, une telle action ne peut être menée que dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, et ces données doivent être conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. De leur côté les Etats membres doivent garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés. Enfin, dans un 3ème temps la Cour ajoute qu’un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé, dans la mesure où l’accès ne porte pas gravement atteinte aux droits fondamentaux. Cependant, celui-ci doit être prévu lorsque la mise en relation des données collectées au fur et à mesure d’une procédure permet de tirer des conclusions précises sur la vie privée de la personne concernée. (CZ)