Journal Le Sénat veut affirmer que l'adresse IP est une donnée personnelle

Posté par .
Tags : aucun
8
4
juin
2009
Remis à la fin du mois de mai par les sénateurs Yves Détraigne et Anne-Marie Escoffier, le rapport d'information relatif "au respect de la vie privée à l'heure des mémoires numériques" prénonise, parmi 15 propositions, d'affirmer dans la loi que l'adresse IP est une donnée à caractère personnel.

L'info : Le lien kivabien

Donc voila, maintenant, pour nous protéger et empêcher que les vilains commerciaux spammeurs ne collectent notre adresse ip, on en fait une donnée personnelle. Du coup, bien sûr, on légitime les moyens mis en place par Hadopi, avec l'idée qu'une adresse IP identifie une et une seule personne, sans erreur. Aberration technique.

Conclusion : il serait peut-être bien d'envoyer un mail d'explication aux deux sénateurs rapporteurs Yves Détraigne et Anne-Marie Escoffier. N'hésitez pas.

Voici leurs pages respectives sur le site du Sénat où il y a leurs mails :
Yves Détraigne
Anne-Marie Escoffier

Qu'en pensez-vous ?
  • # Qu'en pensez vous ?

    Posté par . Évalué à 7.

    Puisque c'est la question, j'en pense que c'est vraiment stupide, mais surtout je pense que le fait que ca soit rapport "au respect de la vie privée à l'heure des mémoires numériques" me fait sourire un peu amerement.
    Quand on voit le peu de cas qui est fait de l'avis de la CNIL, qui elle est REELLEMENT là pour assurer le respect de la vie privée....

    PS : j'en pense aussi que 'préconise' ne prend qu'un seul 'N', et ne peut donc pas s'ecrire 'prénonise'
    • [^] # Re: Qu'en pensez vous ?

      Posté par . Évalué à 1.

      Yep, amèrement est vraiment le mot-clé en ce moment :-/

      PS : prénonise est comme ça dans le texte d'origine. Je cite 'sic'.
  • # Déclaration

    Posté par . Évalué à 10.

    Je déclare être le possesseur de 127.0.0.1, c'est mon ip, elle est à personne d'autre, j'attaquerais donc en justice toute personne qui l'utilisera.
    • [^] # Re: Déclaration

      Posté par . Évalué à 7.

      Shotgun 192.168.1.1
    • [^] # Re: Déclaration

      Posté par (page perso) . Évalué à 10.

      J'attaque en justice le propriétaire de 127.0.0.1 car je reçois plein de spam en provenance de cette adresse et j'ai les logs pour le prouver. (avec des mots barbares genre cron, root, logrotate,…)
    • [^] # Gourmand

      Posté par . Évalué à 4.

      Moi je réserve
      10.0.0.1/8 à 10.254.254.254/8
      172.16.0.1/16 à 172.31.254.254/16
      192.168.0.1/24 à192.168.254.254/24
      • [^] # Re: Gourmand

        Posté par . Évalué à 7.

        Je suis tatillon mais je précise que tu n'avais pas besoin de dire jusqu'où tu réservais puisque tu précisais également le netmask.

        Ceci étant dit, je suis le propriétaire de 192.168.200.0/24 et de 192.168.69.0/24 depuis 1664. Tu ne peux donc pas d'octroyer toutes ces IPs.
      • [^] # Re: Gourmand

        Posté par . Évalué à 2.

    • [^] # Re: Déclaration

      Posté par . Évalué à 7.

      bon je viens de remarquer que 127.0.0.1 s'est connecté se matin sur mon serveur http et mon serveur ssh.

      Je vais porter plainte car il est parvenu à craquer les mot de passe de phpmyadmin et de mon serveur SSH, je ne sais pas comment il a fait car les mots de passe étaient sûr. Bizarrement il à fait ce que je comptais faire sur la machine : modifier la structure d'une table et lancé une commande de maintenance via ssh...

      je vous conseille de vérifier vos log car 127.0.0.1 semble être quelqu'un d'assez fort.

      Je vais mettre protéger mon serveur avec une règle de firewall : iptables -A INPUT -s 127.0.0.0 -j DROP
    • [^] # Re: Déclaration

      Posté par . Évalué à 10.

      Je déclare être le possesseur de 127.0.0.1

      Petit joueur !
      ::1, ça c'est l'avenir !
    • [^] # Re: Déclaration

      Posté par (page perso) . Évalué à 3.

      Je déclare être le propriétaire de 1.2.3.4/1, de 254.128.42.42/1 et de 2000::1/6.
  • # Tant mieux

    Posté par (page perso) . Évalué à 10.

    Je n'ai pas la même analyse du tout. Oui, l'adresse IP est une donnée personnelle (comme une plaque d'immatriculation, ou mon groupe sanguin). À ce titre, elle ne doit pas être collectée de façon abusive sans déclaration à la CNIL. De la même façon, quand tu loues, empruntes, voles une voiture ou mets des fausses plaques, tu changes d'immatriculation. Pour le groupe sanguin, par contre, je ne peux pas en changer, mais je peux le partager avec d'autres personnes, il n'en constitue pas moins une donnée fondamentalement personnelle.

    Du coup, bien sûr, on invalide les moyens mis en place par Hadopi en statuant que la collecte d'ip ne peut être faite par les ayant-droits tant que la CNIL ne leur a pas donné d'autorisation.
    • [^] # Re: Tant mieux

      Posté par (page perso) . Évalué à 3.

      Moi aussi j'ai une lecture un peu différente de celle du rédacteur du journal des propositions faites.

      Mais bon, l'association IP/personne me fait un peu peur tout de même.

      Et pour ta dernière phrase, il faut préciser que c'est la collecte automatique et informatisée qui est soumise à avis de la CNIL. à la main, ce n'est pas à déclarer. Mais la limite peut être dure à définir... et surtout les moyens de vérification limités.
    • [^] # Re: Tant mieux

      Posté par . Évalué à 5.

      Moi, je suis en ADSL non dégroupé et je change d'IP comme de chemise, alors bon courage la CNIL
      • [^] # Re: Tant mieux

        Posté par . Évalué à 2.

        Je dirais bon courage les webmestre (pour la déclaration et bonne gestion des logs de connexions en l'absence de dispense).

        A noter que caractère personnel ne veut pas forcément dire "une IP = une personne"

        Reste que le couple IP + heure permet d'identifier au moins un abonné.

        L'absence de caractère personnel à l'IP permet potentiellement de faire de jolies bases de l'activité, et sur demande au FAI de faire le lien avec l'abonné (le tout sans déclaration à la CNIL ou gestion saine des infos), en demandant certains logs que les FAI doivent maintenir 2 (3?) ans contenant la période de connexion, l'IP attribué et le nom de l'abonné.

        C'est le croisement d'information, en l'absence de caractère personnel de l'IP, qui permet potentiellement d'avoir des infos qui ne seraient pas toléré autrement.

        Il faudrait tout de même prévoir une dispense pour l'usage des logs à des fins de sécurité.

        Mais sinon, ça me semble bénéfique.

        (Il y a quand même un aspect qui ne me plait pas du tout dans la proposition : la taxe pour résoudre la faible allocation budgétaire, ça va créer un cout administratif supplémentaire et répartir différemment la charge plutôt que d'augmenter les impôts et le budget, ça demandera plus d'effort pour le même résultat (mais nos voisins européens font la même chose, le président de la CNIL l'a déjà demandé, puis ça évite d'avoir à rendre des comptes au parlement sur l'allocation attribué)).
    • [^] # Re: Tant mieux

      Posté par (page perso) . Évalué à 10.

      Pour te compléter, je dirais que si le téléphone ou l'adresse postal est une donnée personnelle alors l'adresse IP aussi. Mais c'est pas pour ça que si quelqu'un reçois une lettre avec mon adresse comme expéditeur que c'est moi qui l'ait écrite.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Tant mieux

        Posté par . Évalué à 4.

        Oui, enfin, la petite différence, c'est que je ne change pas d'adresse postale à chaque fois que j'ouvre ma porte, ni de numéro de téléphone dès que je décroche le combiner.
    • [^] # Re: Tant mieux

      Posté par (page perso) . Évalué à 5.

      Je partage ton point de vue aussi, la seule chose qui me choque là dedans, c'est que ce débat qui a tout de même une incidence sur la collecte d 'IP n'a pas eu lieu avant HADOPI...
    • [^] # Re: Tant mieux

      Posté par . Évalué à -1.

      Mmmmh... Pas d'accord pour dire que l'adresse IP est une donnée fondamentalement personnelle. L'adresse IP fixe n'est pas un droit ni un principe juridique, juste une commodité actuelle des fournisseurs d'accès.

      On utilise tout le temps du NAT, de la translation d'adresse. C'est vrai dans les écoles, les familles, les entreprises, chez les fournisseurs d'accès.

      Pour moi, le droit doit se positionner sur le cas le plus ouvert : l'adressage dynamique. La collecte d'adresse ip deviendrait d'ailleurs un non-sens économique si on généralisant l'adressage dynamique.

      Je n'ai pas compris ton exemple de plaque d'immatriculation, dsl, tu peux préciser ?

      Dans le cas du projet Hadopi, la CNIL donnerait l'autorisation de collecter les adresses IP en restreignant son usage à uniquement collecter les ip dans le but de la procédure hadopi.

      Au final, je pense que l'ip est une donnée technique semi-privée, et qu'à ce titre elle ne doit être utilisée que pour défendre le citoyen, donc pas comme moyen de preuve à charge, ni comme joujou de commerciaux. En fait, elle ne doit pas être utilisée pour identifier quelqu'un, ni en droit (hadopi), ni en commerce (spam).
      • [^] # Re: Tant mieux

        Posté par (page perso) . Évalué à 2.

        Pour moi, le droit doit se positionner sur le cas le plus ouvert : l'adressage dynamique. La collecte d'adresse ip deviendrait d'ailleurs un non-sens économique si on généralisant l'adressage dynamique.

        Qu'est-ce que tu veux dire par généraliser l'adressage dynamique? Tu connais beaucoup de gens qui ont leur adresse fixe pour leur domicile?

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Tant mieux

          Posté par . Évalué à 0.

          Ben, je pense qu'il serait bien de généraliser l'adressage dynamique, et que l'adresse fixe soit une option à la demande, pas forcément payante.

          Je ne connais personne avec une adresse dynamique parmi mes proches ou mes collègues. On est tous en adresse fixe.
          • [^] # Re: Tant mieux

            Posté par (page perso) . Évalué à 2.

            A chaque fois que je me connecte, j'ai une adresse différente et même chose pour les gens que je connais.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Tant mieux

              Posté par . Évalué à 2.

              Chez certain FAI, il faut même payer pour avoir une adresse IP fixe.
        • [^] # Re: Tant mieux

          Posté par . Évalué à 2.

          Tous les abonnés Free ont une IP fixe.
      • [^] # Re: Tant mieux

        Posté par (page perso) . Évalué à 6.

        > Je n'ai pas compris ton exemple de plaque d'immatriculation, dsl, tu peux préciser ?

        On va essayer.

        Une immatriculation est (était) attribuée par la préfecture à un véhicule et une personne (autrefois, si tu changeais de véhicule, tu changeais d'immatriculation et ton véhicule aussi changeait d'immatriculation). Cette immatriculation est une donnée personnelle* car elle permet, croisée avec d'autres données éventuellement, d'identifier son possesseur. Pourtant, une immatriculation n'est pas suffisante : le véhicule peut avoir été prêté ou volé (parallèle avec un quelqu'un utilisant ton wifi et donc ayant ton adresse IP, que tu le saches ou non) ; ton immatriculation peut-être apposée sur une autre voiture à l'aide de fausses plaques (IP spoofing ou injection d'ip dans un tracker bittorrent) ; mais tu peux également ne pas avoir d'immatriculation fixe via un contrat de location qui te permet de changer régulièrement de véhicule par exemple (ip dynamique fournie par un loueurfai).

        Les seules instances autorisées à collecter automatiquement des immatriculations sont assermentées par l'état, leurs listes ont été autorisées par la CNIL. Dans le cas d'hadopi, les collecteurs se trouvent être les ayant-droits et il est moins justifiable de les laisser collecter automatiquement que la gendarmerie ou la préfecture (si tu relèves le numéro de la voiture garée devant ton garage, il n'y a pas de problème ; si tu mets en place un dispositif automatique qui relève les immatriculations de toutes les voitures qui s'y arrêtent, la CNIL devrait te tomber dessus)

        * : http://www.cnil.fr/index.php?id=1686 la définition de la cnil de ce qu'est une donnée à caractère personnel.
        • [^] # Re: Tant mieux

          Posté par . Évalué à 3.

          (autrefois, si tu changeais de véhicule, tu changeais d'immatriculation et ton véhicule aussi changeait d'immatriculation).

          Sauf si le véhicule que tu viens de racheter etait déja immatriculé dans ton département (dans ce cas la il suffisait de refaire la carte grise - ou "certificat d'immatriculation")
    • [^] # Re: Tant mieux

      Posté par (page perso) . Évalué à -1.

      Moi je me connecte à internet au boulot (un collège) et quand je me connecte, il se trouve rien d'autre que des liens sociaux (le fait que des gens soit présent dans la même salle que moi à cette heure là) ne peut prouver que c'est bien 'moi' qui est en liaison via cette ip à un quelconque serveur web/service internet. L'ip est partagée dans ce collège par environ 100 postes... je ne vois pas en quoi on peut dire que cette ip est est une donnée personnelle. Le décréter ne suffit pas. Elle est associée à quelle personne ? L'abonné ? Un établissement scolaire, comme personne morale peut-être, mais bon, dans ce cas, une personne physique fait une connerie sous couvert de la personne morale 'établissement scolaire' on identifie parfaitement la personne 'morale' responsable des faits mais peut-on la sanctionner ? On prive dans ce cas une communauté scolaire entière d'accès à internet ?

      C'est tellement con, que même si cet amendement/loi/que sais-je passe, il sera juste sans aucune valeur dans les faits.

      Pour le coup, la technique est ce qu'elle est, le sénat ne peut pas la changer par un vote. C'est juste une connerie proposée par un mec qui n'y connaît rien. C'est la sarkosyte poussée dans ses plus stupides excès. Un problème => une loi et hop on n'en parle plus.

      Moi ça me plaît : ils vont juste passer pour des cons auprès des gens qui savent et aucun effet auprès des gens ne savent pas.

      Si l'ip est une donnée personnelle, alors cela signifie qu'il existe un lien univoque au moins dans un sens entre moi et l'ip, il se trouve qu'il n'en existe aucun. Une personne peut se connecter à un site web avec l'ip de mon poste sans être moi. Mais je peux aussi me connecter à un site wev avec une ip ne pouvant pas simplement (autrement que par une enquête) m'être associée. Alors la comparaison avec le groupe sanguin est bonne et infirme le fait que l'ip est une donnée personnelle. J'ai UN groupe sanguin (pas deux). Il y a un lien univoque. Fred => A+. Ce n'est pas le cas de l'ip que j'utilise en ce moment. Le sénat peut voter ce qu'il veut, ce ne sera pas le cas.
      • [^] # Re: Tant mieux

        Posté par (page perso) . Évalué à 5.

        Moi je téléphone à partir de [n'importe quel salle d'entreprise/de collège/...], il se trouve rien d'autre que des liens sociaux (le fait que des gens soit présent dans la même salle que moi à cette heure là) ne peut prouver que c'est bien 'moi' qui est en liaison via cette communication téléphonique...

        Pourtant le numéros de téléphone est une donnée personnelle

        Une entreprise qui loue des voitures ne commet toutes les infractions qui sont faites avec, pourtant la plaque d'immatriculation est une données personnelle.

        Ce n'est pas parce que c'est une données personnelle que ça d'identifie directement.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Uh

    Posté par (page perso) . Évalué à 5.

    Le fait d'avoir une information personne n'implique pas qu'elle ne puisse pas être falsifiée, utilisée par un tiers, ou que l'identification est valable, ça n'a rien à voir.

    C'est comme une carte d'identité sans photo. Si quelqu'un me la vole et l'utilise, ça ne veut pas dire pour autant qu'il est moi.
    • [^] # Re: Uh

      Posté par (page perso) . Évalué à 2.

      Ou un chéquier volé...
    • [^] # Re: Uh

      Posté par . Évalué à 0.

      Ben oui, mais le fait d'avoir une information personnelle implique que cette information identifie une personne et une seule, c'est ce qu'il me semble comprendre de l'article, non ?
  • # logique absurde

    Posté par (page perso) . Évalué à 4.

    une solution simple est IPv6 et un monopole d'état dans la fourniture de services en ligne ( mobile et fixe ).

    apres, il suffit de faire une bijection entre le numero INSEE et la plage d' IPv6 allouée à la France.

    après, yaka faire les applis qui vont bien !

    il faut suggèrer l'idée à M. Lefebvre car il risque de l'aimer et de proposer une loi en ce sens ;)
  • # c'est personnel mais ça appartient aux FAI

    Posté par (page perso) . Évalué à 3.

    J'espère qu'il ne leur a pas échappé que les IP ne nous appartiennent pas. Elles sont attribuées (par plages) aux FAI et aux hébergeurs qui eux-mêmes les ré-attribuent à leurs clients. Et encore devrait-on plutôt dire qu'ils les attribuent aux modems ou aux serveurs web, lesquels, modems et serveurs, ne nous appartiennent pas souvent.

    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Re: c'est personnel mais ça appartient aux FAI

      Posté par (page perso) . Évalué à 8.

      ton adresse postale est personnelle même si tu es locataire ...
      • [^] # Re: c'est personnel mais ça appartient aux FAI

        Posté par . Évalué à 1.

        La différence est qu'on ne change pas souvent d'adresse postale. L'adresse IP serait plutot comparable à une chambre d'hôtel. Tu descends dans un hôtel et on te donne la chambre 128. Si tu reviens deux jours plus tard on te donnera peut être la 73 ou la 25. Le gérant peut retrouver dans son registre qui avait loué telle chambre tel jour mais de là à dire que mon numéro de chambre est une donnée personnelle, c'est peut être un peu exagéré. Ca dépend beaucoup de la façon dont l'adresse est attribuée (IP fixe ou pas). Une IP fixe serait comparable à une chambre louée à l'année, et donc là, oui c'est comme une adresse postale.
  • # Et l'Europe ?

    Posté par . Évalué à 4.

    Que dit l'Europe sur ce point ?

    Parce que si l'Europe dit déjà le contraire, l'affaire est close, leur proposition ne sert à rien.
    • [^] # Re: Et l'Europe ?

      Posté par . Évalué à 3.

      RTFA ?

      Une jurisprudence française floue dans un cadre européen clair

      La France suivrait alors la recommandation du G29, qui rassemble les différentes "CNIL européennes". Dans un avis du 20 juin 2007 (un mois après la décision du Conseil d'Etat), elle avait en effet affirmé que l'IP devait être regardée comme une donnée personnelle. Un avis d'ailleurs suivi par la Cour de Justice des Communautés Européennes dans l'arrêt Promusicae du 29 janvier 2008, et conforme à la révision de la directive de 2002, intervenue en 2006.
  • # Définition

    Posté par . Évalué à 4.

    Dans ce contexte il faut peut-être faire un rappel à la loi et à la définition qu'elle fait d'une donnée à caractère personnel. Il s'agit de "toute information permettant d'identifier directement ou indirectement une personne physique".

    L'adresse IP est donc bel est bien une donnée à caractère personnel, tout comme l'est un n° de téléphone, une plaque d'immatriculation, etc. même si certaines personnes prétendent ou veulent faire croire le contraire.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.