Dans son arrêt du 19 octobre 2016 la Cour de justice de l’UE a tranché le débat : « une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne. ». Ainsi cette adresse IP sera considérée comme une donnée à caractère personnel, même si les données d’identification de la personne concernée sont détenues par un tiers, à savoir le fournisseur d’accès qui la lui a fournie, et qu’il existe des moyens légaux pour autoriser le FAI à communiquer ces éléments d’identification.
Dans cette affaire, un internaute reprochait à la République fédérale d’Allemagne d’enregistrer et de collecter son adresse IP sans son consentement lors de la consultation de ses sites. La cour suprême allemande s’est tournée vers la CJUE pour savoir si une adresse IP dynamique est une donnée à caractère personnel, bénéficiant de la protection de la directive de 1995 et si, dans l’affirmative, un site peut se passer du consentement de la personne concernée dans le cas où la conservation de cette donnée est nécessaire au fonctionnement du site.
La CJUE s’était déjà prononcée en faveur du statut de donnée personnelle de l’adresse IP dans la mesure où celle-ci permet l’identification précise de la personne. Mais cet arrêt Scarlet Extended portait sur la conservation des adresses IP par un fournisseur d’accès. Or, dans le présent arrêt le site qui stocke ces informations ne dispose pas des éléments d’identification, mais c’est le FAI qui délivre cette adresse IP, en l’occurrence dynamique. Cette donnée ne révèle donc pas directement l’identité de la personne propriétaire de l’ordinateur qui s’est connectée au site. La directive s’applique, quant à elle, à des données se rapportant à une « personne physique identifiable », directement ou indirectement. Par ailleurs, le considérant 26 de la directive demande de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. La Cour en conclut que le fait que les données soient détenues par un tiers au site n’exclut pas qu’elles soient considérées comme des données à caractère personnel. D’autant qu’il existe des moyens légaux permettant aux sites collecteurs de telles informations de s’adresser au FAI, par le biais de l’autorité compétente, pour obtenir les données d’identification.
La seconde question portait sur le fait de savoir si le consentement de la personne concernée était nécessaire pour la conservation d’une telle donnée, alors que la loi allemande ne prévoit que la seule exception de la facturation. Le site en question invoquait la nécessité de garantir la capacité générale de fonctionnement des services, notamment pour se défendre contre des cyberattaques et éventuellement engager des poursuites pénales. La directive prévoit notamment, comme exceptions au consentement, la nécessaire réalisation de l’intérêt légitime poursuivi par le responsable du traitement. Or, il apparaît que la loi allemande est plus restrictive que l’article 7 de la directive qui, selon la Cour, « doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci. »

Voir la décision