Saisie d’un renvoi préjudiciel par le Bundesgerichtshof (Allemagne), la Cour de justice de l’Union européenne a interprété, le 19 octobre dernier, les articles 2, sous a), et 7, sous f), de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lesquels sont relatifs, respectivement, à la définition des données à caractère personnel et aux conditions à remplir pour effectuer un traitement de ces données (Breyer, aff. C-582/14). Dans l’affaire au principal, le requérant a introduit un recours pour faire interdire aux services fédéraux allemands, dont il consulte les sites Internet, d’enregistrer et de conserver son adresse de protocole Internet (« adresse IP »). Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour sur le point de savoir, d’une part, si une adresse IP dynamique enregistrée lors de la consultation d’un site Internet par une personne constitue, à l’égard du fournisseur du site, une donnée à caractère personnel, alors que seul le fournisseur d’accès Internet de la personne dispose des informations supplémentaires nécessaires pour identifier celle-ci et, d’autre part, si la directive s’oppose à une réglementation nationale, telle que celle en cause au principal, qui ne permet l’utilisation et la collecte des données à caractère personnel d’un utilisateur, sans son consentement, que lorsque cela est nécessaire pour permettre et facturer l’utilisation du site, sans que l’objectif visant à garantir la capacité générale de fonctionnement du site puisse justifier l’utilisation desdites données après sa consultation. S’agissant de la première question, la Cour relève que les adresses IP dynamiques, qui ont un caractère provisoire et sont modifiées à chaque nouvelle connexion à Internet, ne permettent pas, à elles seules, d’identifier les utilisateurs. Toutefois, combinées à des informations supplémentaires détenues par le fournisseur d’accès à Internet, ces adresses peuvent permettre d’identifier les utilisateurs concernés. Dès lors, la Cour conclut qu’une adresse IP dynamique enregistrée lors de la consultation d’un site Internet constitue, à l’égard de l’exploitant du site, une donnée à caractère personnel, lorsque cet exploitant dispose des moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet. S’agissant de la deuxième question, la Cour rappelle qu’en vertu de la directive, un traitement de données à caractère personnel est licite, sans le consentement de la personne concernée, s’il est, notamment, nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Or, la Cour considère que le fait de conditionner le traitement des données, sans le consentement des personnes concernées, à des nécessités de facturation réduit le principe prévu par la directive, alors même que l’exploitant de sites Internet pourrait avoir un intérêt légitime à garantir la continuité du fonctionnement des sites qui peut être pondéré avec l’intérêt ou les droits fondamentaux des visiteurs. Ainsi, la Cour conclut que la directive s’oppose à une réglementation nationale en vertu de laquelle l’exploitant de sites Internet ne peut collecter et utiliser des données à caractère personnel d’un utilisateur, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète des sites, sans que l’objectif visant à garantir la capacité générale de fonctionnement des sites puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci. (MS)
