Adresses IP: fondements et RGPD

Généralement

L'adresse IP désigne l'Internet Protocol Address et constitue un élément fondamental du protocole qui est à la base de l'appel des sites Web.

Une adresse IP est un donnée à caractère personnel. C'est ce que le juge de l'Union européenne a décidé dans son arrêt du 19.10.2016 – C-582/14, et c'est également la position du Bundesgerichtshof (Cour fédérale allemande) dans son arrêt du 16.05.2017 – VI ZR 135/13. Même les adresses IP dynamiques, qui changent par exemple tous les jours, entrent dans cette catégorie.

Lors de chaque appel à un site web via un navigateur, l'adresse IP de l'utilisateur, c'est-à-dire son adresse réseau, est transmise au site web appelé. Puisque les adresses IP sont des données personnelles, le l'appel d'un site web est toujours une opération pertinente pour la RGPD.

En outre, les adresses IP sont potentiellement toujours liées à une personne pour des entreprises opérant dans le monde entier et couvrant la vie quotidienne comme Google, quel que soit le pays. Même l'arrêt du TJCE n'est pas nécessaire pour argumenter en faveur de la personnalisation des adresses IP pour Google.

Quels sont les données personnelles ?

On entend par là tous les données qui sont à même de déterminer une identité. Cependant, on y inclut également celles qui s'attachent à une personne, comme par exemple les préférences pour des roses rouges.

Pendant que l'on peut facilement se représenter un nom, une adresse et un numéro de téléphone comme étant liés à une identité, cela devient plus difficile avec les adresses IP pour le commun des mortels. Puisque la Cour suprême allemande (BGH) a décidé ainsi, les adresses IP sont maintenant considérées comme personnelles. Dès que l'utilisateur accède à une page web, son adresse IP est transmise au serveur où se trouve la page web. Si des outils de tiers sont intégrés sur la page web, l'adresse IP de l'utilisateur est également transmise au tiers. De tels outils peuvent être par exemple des vidéos, des cartes ou des formulaires.

Partage avec des tiers en intégrant des services/outils/scripts/fichiers

Lorsque une page Web X intègre un service comme par exemple Google Maps, il se produit, en raison du protocole Internet précité, inévitablement toujours ce qui suit:

• Un utilisateur avec l'adresse IP 4711 accède à la page web
• Site Web X intègre _Google Maps
• L'adresse IP 4711 est transmise à Google par le site Web X

Il est responsable du fait que les données personnelles de l'utilisateur transmises via le site Web sont transmises à Google, c'est le propriétaire du site Web X.

Chaîne d'appel

Généralement, les noms symboliques sont utilisés pour les sites web et les services au lieu d'adresses IP. Par exemple, une variante du script à intégrer dans Google Analytics est google-analytics.com/analytics.js

Grâce à un serveur de noms (Service de Nom de Domaine, abrégé en DNS), ce nom est résolu en une adresse IP. Pour chaque adresse IP, il existe des informations sur les zones géographiques auxquelles elles appartiennent, stockées dans des bases de données avec des plages d'adresses. Ces plages peuvent théoriquement changer. Dans la pratique, ils sont particulièrement stables pour les adresses IP très fréquentées. Les bases de données d'adresses sont également régulièrement mises à jour. Une répartition des charges pour de grands entreprises comme Google s'assure que l'adresse IP utilisée pour une domaîne comme google.com n'est pas toujours la même. Au cours d'une semaine, j'ai observé que 72 x 256 adresses IP ont disparu des zones géographiques américaines et quelques autres sont venues s'ajouter. Avec plus d'un milliard d'adresses IP attribuées aux États-Unis, les 72 x 256 = 18.432 ne constituent pas une taille notable.

Quelle IP-Adresse est actuellement en cours, cela peut être déterminé à l'aide du commandement DOS tracert, avec l'outil mentionné ci-dessous CountryTraceRoute ou lors de la consultation d'une page web via la console des développeurs du navigateur. Voici un exemple après avoir appelé une page web, tel qu'il est affiché dans le Firefox Browser dans sa console des développeurs (accessible en appuyant sur la touche F12):

La page web appelée intègre un plugin de médias sociaux de Twitter, comme on peut le deviner à partir des noms de fichiers. Le domaine pbs.twimg.com a à ce moment-là l'adresse IP 23.1.106.237 (la post-notation :443 désigne le port, qui est ici sans importance).

La plupart du temps, il n'y a pas de lien direct entre l'appelant d'une page web et l'adresse d'un service intégré comme Google Analytics. C'est analogue aux liaisons ferroviaires entre deux villes: pour certaines itinéraires, il faut changer de train (d'une autre adresse). En revanche, les chaînes d'appel (itinéraires) pour les adresses IP ne sont pas rares à l'échelle mondiale.

Référence géographique

Avec un outil librement disponible comme CountryTraceRoute (téléchargement gratuit sur https://www.nirsoft.net/utils/country_traceroute.html), il est possible de déterminer la chaîne d'appel pour n'importe quel nom de domaine. Pour chaque adresse IP visitée, le pays correspondant est directement indiqué.

Pour l'adresse IP précédemment mentionnée du Twitter-Plugin, on obtient comme sortie (partiellement anonymisée):

Lors de l'appel d'une fichier du Twitter Plugins , les pays visités sont donc l'Allemagne, les Pays-Bas, les États-Unis et le Royaume-Uni, enfin à nouveau les États-Unis.

Voici un autre exemple pour google-analytics.com (partiellement anonymisé):

Lors de l'appel d'une fichier depuis le domaine google-analytics-com , il sera donc (probablement) visité les pays Allemagne, Pays-Bas ainsi que les États-Unis.

Que une domaine n'est pas sans cookies, cela se voit dans mon enquête sur le Google Tag Manager.

Lorsqu'une domaine est juridiquement attribué, on peut le déterminer grâce à une recherche WHOIS.

Déclaration sur la transmission de données à caractère personnel

Pour toutes les données personnelles que vous collectez, transmettez et traitez via un site Web, vous devez rendre aux utilisateurs une explication appropriée. Cela se fait dans la Déclaration sur la protection des données.

Pour certaines procédures de ce type, cette explication doit même être accessible avant que les données des utilisateurs soient transmises. Un exemple en est le bouton d'aimer Facebook comme plugin pour les sites web. Puisque l'extraction antérieure d'un accord est souvent impossible ou peu pratique, l'utilisation de tels outils crée une grande incertitude juridique.

Le problème du Privacy Shield

Le Privacy Shield était un accord informel de protection des données entre l'Europe et l'Amérique. Il devait garantir que le traitement des données aux États-Unis se déroule selon des normes aussi élevées que celles de la réglementation européenne sur la protection des données (RGPD). Le Tribunal de justice de l'Union européenne a rendu une décision le 16 juillet 2020, selon laquelle le Privacy Shield est invalide. Les conséquences sont particulièrement graves pour les sites Web: tous les outils de Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest, etc. ne peuvent plus être utilisés sur des sites Web sans consentement. La raison en est que les adresses IP constituent des données personnelles, comme indiqué ci-dessus. Les outils suivants sont concernés:

• Google Maps
• Google reCAPTCHA
• Google Polices Externes
• Fast Fonts (Fonts.com)
• Typekit d'Adobe
• Omniture Analytics (Adobe Analytics)
• OpenStreetMap (via MapBox etc.)
• Vidéos YouTube
• Vidéos Vimeo
• SoundCloud Player

Comme on peut le voir dans la liste, le nombre de outils populaires dont l'utilisation directe semble illégale est très important ou le nombre de sites web concernés. Heureusement, il y a une solution, par exemple au lieu de Google Maps, une carte interactive conforme à la protection des données . Les plugins critiques peuvent être détectés grâce à mon check de site web.