La chambre criminelle de la Cour de cassation vient de rendre un arrêt, le 6 février 2009, qui pose que les adresses IP ne sont pas des données personnelles, car elles ne présentent pas en elles-mêmes de caractère personnel. La Cour déclare que l'identification de l'internaute nécessite de consulter les fichiers détenus par le fournisseur d'accès, la seule adresse IP n'étant pas suffisante pour cela.
Elle assoit sa position sur le fait que la consultation du fichier du fournisseur d'accès ne peut se faire que sur réquisition de l'autorité judiciaire, ce qui présente une garantie forte, permettant de déclasser l'adresse IP en elle-même.
À partir du moment où ce verrou du juge judiciaire n'existe plus, ou est amoindri, c'est tout l'équilibre de cette décision qui se trouve mis en cause.
L'article 9 de ce texte ouvre la possibilité d'identifier les internautes par leur adresse IP, en autorisant la nouvelle autorité indépendante, qui, je le rappelle, n'a pas le statut de juridiction, à y procéder, en permettant que cela se fasse non seulement pour la poursuite des infractions pénales, mais également pour le manquement à l'obligation définie à l'article L 336-3, qui n'a pas le statut d'infraction pénale.
Il apparaît donc essentiel de rétablir un équilibre en soumettant au contrôle de la CNIL les traitements automatisés ou non permettant de collecter et de traiter des adresses IP en vue d'identifier les internautes.