Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP. La Cour précise les exigences entourant les modalités de conservation de ces données et d’accès à celles-ci.
Dans un arrêt du 30 avril 2024 (affaire C-470/21), la Cour de justice de l'Union européenne, réunie en assemblée plénière, juge que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux.
Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.
La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet.
Néanmoins, les Etats membres doivent garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés. Cela implique qu’il doit être interdit aux agents disposant de cet accès de divulguer des informations sur le contenu des fichiers consultés, d’opérer un traçage du parcours de navigation à partir des adresses IP et d’utiliser ces adresses à des fins autres que l’identification de leurs titulaires en vue de l’adoption d’éventuelles mesures.
Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave.
Toutefois, ce contrôle doit être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.
Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation, tout en préservant l’efficacité de cette procédure en permettant en particulier d’identifier les cas de nouvelle réitération possible du comportement infractionnel en cause.
