Adresse IP : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

L'adresse IP (Internet Protocol address) désigne l'identifiant numérique attribué à chaque appareil connecté à un réseau utilisant le protocole internet.

L'adresse IP (Internet Protocol address) désigne l'identifiant numérique attribué à chaque appareil connecté à un réseau utilisant le protocole internet. Elle se présente sous deux formats principaux : IPv4 (quatre nombres entre 0 et 255 séparés par des points, par exemple 192.168.1.1) et IPv6 (huit groupes de quatre caractères hexadécimaux séparés par des deux-points, par exemple 2001:0db8:85a3:0000:0000:8a2e:0370:7334).

L'enjeu pratique de la qualification juridique de l'adresse IP est central pour les acteurs du numérique. La CJUE a tranché par l'arrêt Breyer du 19 octobre 2016 (C-582/14) que les adresses IP, y compris dynamiques, constituent des données à caractère personnel au sens du RGPD lorsqu'elles peuvent être combinées avec d'autres informations permettant l'identification d'une personne. Cette qualification soumet le traitement des adresses IP à l'ensemble des exigences du règlement.

L'adresse IP joue un rôle multiforme dans l'écosystème numérique. Elle constitue à la fois un identifiant technique indispensable au fonctionnement du réseau, un élément de traçabilité essentiel pour les services de sécurité informatique et la lutte contre la fraude, et une donnée personnelle soumise aux protections juridiques applicables. Cette pluralité de fonctions impose un cadre juridique nuancé qui articule efficacité technique et protection des droits.

Vous souhaitez sécuriser le traitement des adresses IP dans votre activité ? Le Cabinet Aurore Bonavia accompagne la conformité juridique du traitement des adresses IP. → Voir l'accompagnement en droit du numérique

La qualification de donnée personnelle

L'arrêt CJUE Breyer du 19 octobre 2016 (C-582/14) a tranché une question débattue de longue date en consacrant la qualification de donnée personnelle des adresses IP :

« Une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l'occasion de la consultation par une personne d'un site Internet que ce fournisseur rend accessible au public constitue, à l'égard dudit fournisseur, une donnée à caractère personnel, lorsqu'il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d'accès à Internet de cette personne. »

Cette qualification couvre :

  • les adresses IP statiques : attribuées de manière permanente à un appareil ou un abonné, elles permettent l'identification directe lorsqu'elles sont liées à un titulaire connu ;
  • les adresses IP dynamiques : attribuées temporairement par les fournisseurs d'accès, elles peuvent être identifiantes lorsque le responsable de traitement dispose des moyens légaux d'obtenir l'identification du titulaire (typiquement par requête à un fournisseur d'accès dans le cadre d'une procédure judiciaire) ;
  • les adresses IPv6 : leur structure permet généralement une identification plus précise que les adresses IPv4, particulièrement lorsque les fournisseurs d'accès attribuent des plages stables.

Cette qualification implique que le traitement des adresses IP doit respecter l'ensemble des exigences du RGPD : base légale, information des personnes concernées, droits d'accès et d'opposition, mesures de sécurité, durées de conservation limitées.

Les bases légales applicables au traitement

Les bases légales invocables pour le traitement des adresses IP varient selon les finalités poursuivies :

  • pour la fourniture du service technique (résolution DNS, routage des paquets, fonctionnement du réseau), la base contractuelle (article 6 paragraphe 1 b) du RGPD) ou les intérêts légitimes (article 6 paragraphe 1 f) sont généralement mobilisés ;
  • pour la mesure d'audience et l'analyse du trafic non anonymisée, la base du consentement (article 6 paragraphe 1 a) est privilégiée, particulièrement pour les outils tiers (Google Analytics, autres outils analytiques) ;
  • pour la lutte contre la fraude et la sécurité informatique, les intérêts légitimes du responsable de traitement (article 6 paragraphe 1 f) constituent la base la plus fréquente ;
  • pour la conservation imposée par la loi (article 6 paragraphe 1 c) : conservation des logs de connexion par les opérateurs de communications électroniques au titre des obligations de lutte contre le terrorisme et la criminalité organisée.

L'arrêt CJUE La Quadrature du Net du 6 octobre 2020 (C-511/18, C-512/18 et C-520/18) a fortement restreint les obligations de conservation généralisée des adresses IP par les opérateurs. La Cour a retenu que la conservation généralisée et indifférenciée des données de connexion (incluant les adresses IP) à des fins de lutte contre la criminalité grave est en principe contraire au droit de l'Union, sauf circonstances exceptionnelles. Cette jurisprudence a imposé une révision substantielle des dispositifs nationaux de conservation des logs.

La conservation des adresses IP

Les durées de conservation des adresses IP varient selon les finalités :

  • pour les logs de sécurité et la prévention des incidents informatiques : généralement entre 6 mois et 1 an, durée jugée nécessaire pour la détection et l'instruction des incidents ;
  • pour la mesure d'audience anonymisée : conservation limitée à la durée nécessaire pour produire les statistiques agrégées, suivie de l'anonymisation effective ou de la suppression ;
  • pour la lutte contre la fraude : conservation pendant la durée pertinente pour l'analyse comportementale, généralement entre 6 mois et 13 mois selon les contextes ;
  • pour les opérateurs de communications électroniques : conservation des données de trafic et de localisation pendant une durée maximale d'un an au titre du Code des postes et des communications électroniques (article L34-1), réduite et encadrée par la jurisprudence La Quadrature du Net ;
  • pour les fournisseurs de services en ligne : conservation des données d'identification permettant l'identification de l'auteur d'un contenu, dans le cadre des obligations issues de la LCEN article 6 II.

L'article 226-22 du Code pénal sanctionne la conservation des données personnelles au-delà des durées autorisées par la loi ou par les déclarations effectuées (jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende). Cette sanction pénale renforce les exigences administratives du RGPD et impose une vigilance opérationnelle.

L'accès des autorités aux adresses IP

L'accès des autorités publiques aux adresses IP fait l'objet d'un régime juridique encadré, qui distingue :

  • l'accès judiciaire dans le cadre d'enquêtes pénales : sur réquisition du procureur ou commission rogatoire d'un juge d'instruction, les opérateurs et fournisseurs de services doivent communiquer les éléments d'identification permettant de remonter à un titulaire d'adresse IP (articles 60-1 et suivants du Code de procédure pénale) ;
  • l'accès administratif des services de renseignement : encadré par la loi n° 2015-912 du 24 juillet 2015 relative au renseignement, qui prévoit des conditions strictes (autorisation préalable, contrôle par la Commission nationale de contrôle des techniques de renseignement) ;
  • l'accès des autorités fiscales : prévu par le Livre des procédures fiscales pour les besoins de contrôle de la fraude fiscale, sous des conditions limitées ;
  • l'accès des autorités administratives indépendantes : la CNIL, l'ARCOM et d'autres autorités peuvent obtenir l'accès aux adresses IP dans le cadre de leurs enquêtes, sous le contrôle du juge en cas de contestation.

L'arrêt CJUE La Quadrature du Net précité a précisé que l'accès des autorités aux adresses IP doit respecter les principes de nécessité et de proportionnalité, et faire l'objet d'un contrôle préalable par une autorité indépendante (juge ou autorité administrative équivalente). Cette jurisprudence a conduit à plusieurs réformes du droit français pour conformer les procédures d'accès aux exigences européennes.

Spécificité juridique sur l'anonymisation des adresses IP

L'anonymisation des adresses IP constitue une mesure technique privilégiée pour réduire les risques liés à leur traitement. Plusieurs techniques sont couramment mises en œuvre :

  • la troncation de l'adresse IP : suppression du dernier octet (pour IPv4) ou des derniers groupes (pour IPv6) avant stockage, ce qui rend l'identification individuelle impossible tout en préservant l'utilité analytique géographique ;
  • la pseudonymisation par hachage avec sel : remplacement de l'adresse IP par une empreinte cryptographique non réversible, permettant les analyses de fréquence sans identification individuelle ;
  • l'agrégation par plages d'adresses : substitution de l'adresse individuelle par la plage d'adresses d'origine (région géographique, fournisseur d'accès), préservant l'utilité statistique ;
  • la suppression rapide des adresses IP brutes après traitement, avec conservation uniquement des données dérivées non identifiantes.

La CNIL recommande systématiquement la troncation des adresses IP pour les outils de mesure d'audience non soumis au consentement (recommandation 2020 sur les cookies et autres traceurs). Cette technique permet de bénéficier d'une exemption de consentement pour les outils analytiques anonymisés, sous réserve du respect des conditions techniques précisées par la CNIL.

L'arrêt Cass. 1ère civ. 3 novembre 2016 (n° 15-22.595) a confirmé que les adresses IP traitées dans le cadre d'actions civiles en contrefaçon (notamment par les ayants droit musicaux ou cinématographiques) doivent respecter les principes du RGPD, et notamment celui de minimisation. Cette jurisprudence limite les pratiques de collecte massive d'adresses IP par les ayants droit à des fins de lutte contre le piratage.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière d'adresse IP

  • la qualification juridique du traitement des adresses IP dans votre activité ;
  • la rédaction des bases légales et des mentions d'information adaptées ;
  • la mise en place des durées de conservation conformes aux obligations légales ;
  • la sécurisation des dispositifs d'anonymisation et de pseudonymisation des adresses IP ;
  • la gestion des demandes d'accès aux adresses IP par les autorités judiciaires et administratives ;
  • la défense face aux contrôles CNIL portant sur le traitement des adresses IP ;
  • les actions civiles utilisant les adresses IP pour identifier les auteurs de contenus illicites ;
  • la conformité avec les obligations sectorielles des opérateurs de communications électroniques ;
  • la formation des équipes techniques et juridiques aux enjeux des adresses IP.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.1, art. 6, jurisprudence CJUE 19 octobre 2016 (Breyer C-582/14), 6 octobre 2020 (La Quadrature du Net C-511/18, C-512/18, C-520/18), Code des postes et des communications électroniques (art. L34-1), loi n° 2004-575 du 21 juin 2004 (LCEN art. 6 II), Code pénal (art. 226-22), Code de procédure pénale (art. 60-1 et suivants), recommandations CNIL sur les cookies. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.