L’arrêt rendu par la Cour d’Appel de Rennes le 23 juin 2008 apporte une contribution intéressante quant au rôle joué par la CNIL dans le processus de répression des auteurs d’infraction sur internet. Rappelons que l’article 25-1-3° de la loi Informatique et Liberté du 6 février 1978 dispose que la CNIL doit donner son autorisation concernant « les traitements, automatisés ou non, portant sur des données relatives aux infraction, condamnation ou mesure de sûreté ». En l’espèce, la société civile des producteurs phonographiques avait déposé une plainte contre un internaute qui avait téléchargé illégalement un très grand nombre de titres musicaux et d’œuvres cinématographiques. La SCPP alléguait que ces enregistrements étaient, en outre, mis à la disposition du public.
Or l’identité de cet internaute a été identifiée grâce à son adresse « Internet Protocol » dite adresse IP qui est l’identifiant unique d’un ordinateur connecté à internet. La Cour d’Appel a donc considéré que le fait de consulter les fichiers partagés de cet internaute ainsi que son adresse IP et de collecter ses données de connexion étaient des opérations soumises à l’autorisation préalable de la CNIL.
Cette dernière n’ayant pas été sollicitée, la Cour a retenu que les agents assermentés « se sont livrés à un traitement irrégulier et illicite des données à caratère personnel, pénalement sanctionné ».L’adresse IP est une donnée personnelle :