E-Commerce en Allemagne : L’interdiction stricte de sauvegarde des données IP en Allemagne n’est pas conforme au droit européen
Il est fréquent que les exploitants de sites web sauvegardent les adresses IP des utilisateurs. La loi allemande sur les télémédias (Telemediengesetz, en abrégé « TMG ») y voit là, dans beaucoup de cas, une sauvegarde illicite de données personnelles. Sur cette question, la Cour de Justice de l’Union Européenne (CJUE) a jugé que si les adresses IP constituaient bien des données personnelles, celles-ci pouvaient néanmoins être sauvegardées, sous certaines conditions, car la loi allemande sur les télémédias, dont les dispositions sont strictes sur la question, est susceptible de ne pas être conforme au droit de l’Union Européenne.
Les adresses IP dynamiques, qui changent à chaque nouvelle connexion internet, sont-elles des données personnelles et quand peuvent-elles être sauvegardées ? Voilà les questions cruciales que pose un litige qui dure depuis près de 10 ans en Allemagne et qui a toute son importance pour nombre d’exploitants de sites web.
Les juges de la CJUE saisis du litige ont considéré, dans un premier temps, que les données en question avaient un caractère personnel, mais uniquement dans la mesure où l’exploitant du site internet avait la possibilité juridique de faire rechercher l’identité de l’utilisateur qui se cache derrière l’adresse IP.
En Allemagne, il est loisible aux fournisseurs de services de médias en ligne, notamment en cas de cyberattaques, de s’adresser aux autorités compétentes afin d’obtenir du fournisseur d’accès internet la communication d’informations IP en vue de poursuites pénales. De par cette possibilité même, les adresses IP constituent des données personnelles.
Or, en Allemagne, les données personnelles bénéficient d’une protection particulière prévue par les dispositions de l’article 15 de la loi allemande sur les télémédias (TMG) :
- leur sauvegarde n’est autorisée qu’aux fins de facturation
- et pour garantir l’utilisation concrète et courante d’un service en ligne.
La CJUE considère la stricte interdiction de sauvegarde des adresses IP, sauf à des fins de facturation, prévue par le droit allemand comme non conforme au droit européen et non compatible avec la directive européenne sur la protection des données personnelles dans la mesure où, aux termes de la directive 95/46/CE, tout exploitant peut avoir un « intérêt légitime » à garantir le « maintien du fonctionnement » des données d’identification même après la fin de la session de l’utilisateur (CJUE, communiqué de presse en date du 19.10.2016, C 582/14).
Si de tels intérêts légitimes existent, un exploitant peut collecter et traiter des données personnelles. Les exploitants de sites web peuvent avoir cet intérêt légitime, mais il convient toutefois de mettre cet intérêt en balance avec l’intérêt ou les droits fondamentaux des internautes. Aux yeux de la CJUE, les bases et règles permettant d’effectuer une telle mise en balance des intérêts et droits respectifs font défaut dans la loi allemande sur les télémédias.
L’affaire a donc été renvoyée au BGH, la Cour fédérale de justice. Les juges doivent maintenant dire si la loi allemande sur les télémédias peut être interprétée comme le réclame la CJUE.