Types de données

Adresse IP

L'adresse IP est un identifiant numérique unique attribué à un équipement connecté, considérée comme une donnée à caractère personnel par le RGPD.

Définition complète

L'adresse IP (Internet Protocol) est une suite de chiffres qui permet d'identifier un appareil (ordinateur, smartphone, serveur) sur un réseau. Bien qu'elle puisse paraître technique et anonyme, la jurisprudence de la CJUE et les orientations de la CNIL confirment qu'elle constitue une donnée à caractère personnel au sens de l'article 4(1) du RGPD. En effet, même si l'entreprise ne connaît pas l'identité réelle de la personne, l'adresse IP permet d'isoler un utilisateur ou de le recouper avec d'autres données (via un fournisseur d'accès) pour l'identifier. En conséquence, tout traitement d'adresses IP — qu'il s'agisse de logs de connexion, de statistiques de visite ou de gestion de sécurité — doit reposer sur une base légale valide (article 6 du RGPD). Le plus souvent, les PME s'appuient sur l'intérêt légitime pour la sécurité du réseau ou sur le consentement pour le tracking marketing. Le responsable de traitement doit alors informer l'utilisateur de la collecte de ces données dans sa politique de confidentialité et en limiter la durée de conservation. Il est important de distinguer l'adresse IP dynamique (qui change régulièrement) de l'adresse IP statique. Dans les deux cas, dès lors que l'on peut remonter à une personne physique, les obligations de protection des données s'appliquent pleinement, incluant la sécurisation du stockage et la gestion des droits d'accès des personnes concernées.

Exemple concret en PME

Une PME installant un outil d'analyse d'audience sur son site web collecte les adresses IP de ses visiteurs. Pour être conforme, elle doit : 1) mentionner cette collecte dans sa politique de cookies, 2) anonymiser les adresses IP (en masquant les derniers octets) dès que possible, et 3) définir une durée de conservation courte (ex: 13 mois) pour les logs de connexion, conformément aux recommandations de la CNIL.

L'erreur fréquente à éviter

L'erreur classique est de croire que l'adresse IP est une donnée anonyme. Beaucoup de dirigeants pensent qu'en l'absence de nom ou d'email, le RGPD ne s'applique pas. C'est faux : l'adresse IP est une donnée 'pseudonymisée'. L'ignorer conduit à une absence de mention dans les mentions légales et à un défaut de sécurisation des logs, exposant l'entreprise à des sanctions en cas de contrôle.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site