Trois sociétés faisant partie du même groupe ont constaté la connexion, sur leur réseau informatique interne, dordinateurs extérieurs au groupe, mais faisant usage de codes daccès réservés aux administrateurs du site internet du groupe.
Elles ont obtenu une ordonnance rendue sur requête faisant injonction à divers fournisseurs daccès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire lobjet dune déclaration auprès de la Commission nationale de linformatique et des libertés (Cnil) et invoquant, par suite, lillicéité de la mesure dinstruction sollicitée, une société exerçant une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe, a saisi le président du tribunal de commerce en rétractation de son ordonnance.
Le 28 avril 2015, la cour dappel de Rennes a rejeté la demande de rétractation formée par la société de conseil, retenant que ladresse IP, constituée dune série de chiffres, se rapporte à un ordinateur et non à lutilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative. Elle en a déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de lentreprise, ne constitue pas un traitement de données à caractère personnel.
Le 3 novembre 2016, la Cour de cassation a cassé larrêt de la cour dappel, au visa des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés.
Elle a précisé quaux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro didentification ou à un ou plusieurs éléments qui lui sont propres. La Cour de cassation a ajouté que constitue un traitement de données à caractère personnel toute opération ou tout ensemble dopérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction. Enfin, elle a précisé que, selon le second, les traitements automatisés de données à caractère personnel font lobjet dune déclaration auprès de la Cnil.
En lespèce, la Cour de cassation a estimé quen statuant ainsi, alors que les adresses IP, qui permettent didentifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire lobjet dune déclaration préalable auprès de la Cnil, la cour dappel a violé les textes susvisés.