Collecte et conservation des adresses IP : que dit le RGPD ?

15/01/2026

L’adresse IP : une donnée personnelle protégée par le RGPD

Les adresses IP (Internet Protocol) sont considérées comme des données à caractère personnel par la réglementation européenne sur la protection des données. En effet, il s’agit d’un identifiant en ligne pouvant permettre d’identifier, au moins indirectement, une personne physique.

Le RGPD inclut explicitement les « identifiants en ligne » (tels que les adresses IP) dans la définition des données personnelles, car ils peuvent révéler des informations sur une personne en particulier (par exemple sa localisation ou son fournisseur d’accès) lorsqu’ils sont croisés avec d’autres données.

Plusieurs décisions de justice ont confirmé que les adresses IP, qu’elles soient statiques ou dynamiques, doivent être traitées comme des données personnelles.

La Cour de justice de l’UE (CJUE), dans l’arrêt Breyer du 19 octobre 2016, a jugé qu’une adresse IP dynamique enregistrée par un site web est une donnée personnelle dès lors que le fournisseur d’accès internet détient des informations additionnelles permettant d’identifier l’utilisateur et que le site peut légalement accéder à ces informations si nécessaire.

De même, la Cour de cassation française a mis fin aux débats en affirmant que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel », et que leur collecte constitue donc un traitement soumis aux obligations légales.

→ En pratique, même une adresse IP locale (interne à un réseau privé) a été reconnue récemment comme donnée personnelle dès lors qu’elle permet de remonter jusqu’à un utilisateur particulier sur le réseau concerné.

Finalités légitimes et bases légales de la collecte d’IP

Comme pour toute donnée personnelle, la collecte et le traitement d’adresses IP doivent reposer sur une base légale valable du RGPD et poursuivre une finalité déterminée et légitime. Les cas d’usages légitimes d’IP par un responsable de traitement varient selon le contexte :

🌐 Fourniture de service en ligne et fonctions techniques nécessaires

Lorsqu’un utilisateur se connecte à un service web, son adresse IP doit être traitée pour lui retourner le contenu demandé. Ce traitement est généralement nécessaire à l’exécution du service (par exemple, affichage d’un site web) et peut relever de l’intérêt légitime du fournisseur.

Par ailleurs, beaucoup d’organisations conservent temporairement les IP dans des fichiers de logs techniques afin d’assurer le bon fonctionnement et la sécurité des systèmes (surveillance du trafic, détection des pannes, etc.), ce qui est reconnu comme un intérêt légitime du responsable du traitement.

La CJUE a d’ailleurs souligné qu’un site web peut avoir un intérêt légitime à conserver certaines données (comme les IP) après la navigation pour assurer la sécurité du site et prévenir les cyberattaques. Il est toutefois indispensable d’informer les utilisateurs de cette collecte (par exemple via une politique de confidentialité) et de ne pas détourner ces données à d’autres fins incompatibles.

🔒 Sécurité, lutte contre la fraude et obligations légales

Au-delà de la simple maintenance technique, de nombreux organismes collectent les IP pour des raisons de sécurité – par exemple identifier l’origine d’accès illégitimes, prévenir les intrusions ou les fraudes en ligne.

Cette finalité de sécurité peut généralement être fondée sur l’intérêt légitime du responsable de traitement, à condition de respecter un juste équilibre avec les droits des personnes.

Dans certains cas, une obligation légale impose la conservation des adresses IP. Par exemple, en France, les fournisseurs d’accès internet et les opérateurs offrant du wifi public doivent conserver les “données de trafic” (dont les adresses IP de connexion, dates et heures, etc.) pendant un an pour permettre la recherche d’infractions par les autorités.

Ce type de conservation est imposé par le Code des postes et communications électroniques et déroge au principe habituel d’effacement ou d’anonymisation immédiate des données de connexion.

⚠️ En dehors de ces cas spécifiques prévus par la loi, un responsable de traitement doit s’assurer que la conservation d’IP est nécessaire à sa finalité déclarée (principe de minimisation).

📈 Mesure d’audience et analytics

De nombreuses entreprises utilisent les adresses IP dans le cadre de la mesure d’audience de leur site web (statistiques de fréquentation, analyse d’origine géographique des visiteurs, etc.).

En principe, le dépôt de cookies ou traceurs pour des fins d’analyse nécessite le consentement préalable de l’utilisateur (directive ePrivacy).

Toutefois, la CNIL admettait que certains outils de statistique internalisés pouvaient être exemptés de consentement si les données collectées étaient strictement anonymisées ou fortement pseudonymisées et utilisées à des seules fins statistiques agrégées. Par exemple, les solutions conformes aux lignes directrices CNIL doivent masquer une partie de l’adresse IP (au moins le dernier octet) et ne pas la transférer à des tiers.

Dans ce cadre, la base légale retenue est l’intérêt légitime (pour des statistiques anonymes servant à améliorer le site) à condition d’offrir aux utilisateurs un droit d’opposition et de respecter des conditions strictes.

Si ces conditions ne sont pas remplies (ex : outil de tracking exhaustif, profilage marketing), alors le consentement explicite des personnes est requis avant de traiter leur adresse IP à ces fins.

En somme, pour des activités de publicité ciblée ou de profilage, l’adresse IP ne peut être collectée ou traitée qu’avec un consentement valide, car elle sert d’identifiant de suivi combiné à d’autres données.

💼 Contexte professionnel (employeurs)

Les employeurs peuvent être amenés à traiter les adresses IP dans le cadre de la surveillance raisonnable de l’usage des outils informatiques (par ex. journalisation des connexions des salariés sur le réseau de l’entreprise, enquête interne en cas d’incident).

Ces traitements doivent être fondés sur un motif légitime (protection des systèmes de l’entreprise, protection des actifs informationnels) et respecter le droit du travail (information préalable des employés, proportionnalité du contrôle).

La jurisprudence française récente a toutefois créé la surprise en avril 2025 : la Cour de cassation, saisie d’une affaire où un employeur avait identifié un salarié fraudeur via l’adresse IP interne de son poste, a reconnu que cette IP identifie indirectement une personne (donnée personnelle) mais a estimé que seul le consentement du salarié aurait permis de la réutiliser à une autre finalité que celle initialement prévue.

→ Autrement dit, dans cette affaire l’adresse IP collectée à des fins techniques ne pouvait, selon la Cour, servir de preuve disciplinaire sans consentement.

Cette position a été très critiquée par les spécialistes, car jugée contraire au RGPD (qui permet normalement d’autres bases légales comme l’intérêt légitime pour ce type de traitement sécuritaire).

Il convient donc de rester prudent : en l’état du droit, un employeur devrait déclarer clairement dans sa charte informatique la finalité de sécurité/contrôle et pourrait invoquer son intérêt légitime, mais la décision de 2025 jette une incertitude sur l’utilisation d’IP en entreprise sans consentement. Ce point méritera d’être clarifié à l’avenir.

Anonymisation, troncature et minimisation des adresses IP

Le principe de minimisation des données impose de limiter la collecte et la précision des informations personnelles aux stricts besoins de la finalité poursuivie.

→ Ainsi, il est recommandé de ne pas conserver l’intégralité des adresses IP si cela n’est pas nécessaire.

En pratique, de nombreuses organisations mettent en place des techniques de tronquage/anonymisation partielle des IP : par exemple, masquer le dernier octet (ou les deux derniers) d’une adresse IPv4 avant enregistrement.

Ce masquage d’une partie de l’IP réduit la précision (on ne peut plus identifier un appareil unique, seulement un groupe d’adresses) et donc le risque pour la vie privée.

💡 La CNIL préconise par exemple que les outils de mesure d’audience « exemptés de consentement » enregistrent uniquement les trois premiers octets de l’IP et suppriment le dernier. De même, Google Analytics propose une option d’« anonymisation IP » qui tronque l’adresse reçue.

⚠️ Il faut noter que tronquer une IP ne la rend pas totalement anonyme au sens juridique, mais la pseudonymise. En effet, même avec un octet en moins, l’adresse reste indirectement identifiable (par recoupement ou via le FAI sur la plage d’adresses).

Une donnée réellement anonymisée est une donnée irrémédiablement rendue non identifiable. Pour qu’une adresse IP soit considérée comme anonymisée, il faudrait qu’aucune personne (ni le responsable de traitement ni un tiers) ne puisse raisonnablement la relier à un individu.

En pratique, cela nécessiterait soit de la supprimer purement et simplement après usage, soit de la convertir en une information agrégée (par exemple, stocker uniquement une localisation approximative non identifiable). Le RGPD autorise les traitements visant à anonymiser des données : une fois l’anonymisation effective, les données résultantes ne sont plus soumises au RGPD.

En attendant d’atteindre une anonymisation complète, les responsables de traitement doivent protéger les IP comme des données personnelles sensibles.

Cela implique : sécuriser strictement les fichiers de logs contenant des IP, restreindre leur accès, et le cas échéant chiffrer ou hacher les adresses IP stockées. Le hachage (avec sel secret) peut empêcher la lecture en clair d’une IP tout en permettant de reconnaître des occurrences identiques, mais attention : un simple hachage sans sel n’est pas une anonymisation fiable (des tiers pourraient retrouver l’IP originale par force brute).

En résumé, il est souhaitable d’anonymiser ou au minimum de tronquer les adresses IP dès que la précision intégrale n’est plus nécessaire, et de n’exploiter que les données indispensables.

Durée de conservation des adresses IP

Le principe de limitation de la conservation (RGPD art. 5) exige de ne pas conserver les données personnelles plus longtemps que nécessaire à la finalité du traitement. Les adresses IP, en particulier, ne doivent pas être stockées indéfiniment “juste au cas où”.

La durée dépend du but poursuivi :

• Pour des logs techniques et de sécurité (journalisation des connexions, historiques de serveurs…), une durée de rétention de quelques mois à un an maximum est généralement considérée comme raisonnable. Par exemple, la CNIL – dans une mise en demeure adressée à Facebook en 2017 – a exigé que les adresses IP associées aux comptes utilisateurs ne soient pas conservées plus de 6 mois après la connexion. Au-delà, la finalité (sécurité du compte, lutte contre l’usurpation) pouvait être atteinte sans garder plus longtemps ces données nominatives. De même, dans le secteur public, le référentiel général de sécurité recommande de purger ou anonymiser les journaux passé un certain délai (quelques mois) sauf incident particulier. L’idéal est de définir, dès la mise en place du traitement, une politique d’effacement automatique des IP arrivées en fin de vie (par exemple suppression ou anonymisation après X jours).
• Pour la mesure d’audience web ou des statistiques anonymes, il est possible de conserver les données brutes très peu de temps. Par exemple, certaines solutions de web analytique conformes aux recommandations CNIL ne gardent les données détaillées que 24 heures avant de les agréger irrémédiablement. Une fois les statistiques globales calculées (nombre de visites, répartitions géographiques approximatives…), les adresses IP individuelles n’ont plus à être conservées.
• Lorsque la loi impose une conservation (par exemple pour les fournisseurs d’accès internet, les données de connexion doivent être gardées un an), on applique ces délais légaux spécifiques. Passé ces délais, les données doivent être supprimées ou rendues anonymes. À noter que ces obligations légales de rétention font l’objet de débats au niveau européen quant à leur compatibilité avec le droit à la vie privée, et sont susceptibles d’évoluer selon la jurisprudence de la CJUE.

En résumé, chaque responsable de traitement doit donc évaluer la durée strictement nécessaire : quelques secondes ou minutes si l’IP sert juste à acheminer une requête, quelques jours si elle sert à analyser un problème technique, quelques mois si elle sert à la sécurité ou à la lutte antifraude. En tout état de cause, conserver des adresses IP “au cas où” sans limite de temps serait contraire au RGPD.

Un bon réflexe consiste à documenter dans le registre RGPD de l’organisme la durée de conservation prévue pour les journaux contenant des IP, en justifiant pourquoi cette durée est nécessaire. On veillera également à ce que les personnes concernées soient informées de la durée de conservation (généralement via la politique de confidentialité).

Jurisprudences marquantes sur l’utilisation des adresses IP

Plusieurs décisions judiciaires ont jalonné la question de l’utilisation des IP, clarifiant leur statut ou les conditions de leur traitement :

• CJUE, arrêt Breyer (19 oct. 2016) – Patrick Breyer c/ Allemagne : Cet arrêt fondateur de la Cour de justice de l’UE a établi qu’une adresse IP dynamique, même si elle n’est pas directement nominative pour le propriétaire d’un site web, constitue une donnée personnelle pour ce dernier dès lors qu’il existe des “moyens raisonnables” de l’identifier en coopération avec un tiers (en l’occurrence, via les fournisseurs d’accès internet). La CJUE a aussi affirmé qu’un site peut avoir un intérêt légitime à conserver temporairement des IP après la fin de la navigation afin d’assurer la sécurité et l’intégrité de son service en ligne. Cette décision a harmonisé au niveau européen la qualification des adresses IP en données personnelles et a invalidé les interprétations nationales trop restrictives.
• Cour de cassation (France), 3 nov. 2016, n°15-22595 – Affaire Logisneuf : La plus haute cour française a cassé un arrêt d’appel qui refusait de voir dans les IP des données personnelles. Elle a rappelé que toute adresse IP identifiant indirectement un individu est une donnée personnelle, dont la collecte sans respect des formalités était illicite. Cet arrêt a mis fin aux hésitations des tribunaux français : depuis lors, le caractère personnel des IP est incontestable en droit français, en accord avec la position constante de la CNIL et du Groupe de travail “Article 29”.
• Cour de cassation (France), 9 avril 2025, n°21-15.025 – Affaire IP interne en entreprise : Plus récemment, un arrêt concernant l’utilisation d’une adresse IP interne pour identifier un employé a fait grand bruit. La Cour a confirmé que même une IP locale est une donnée personnelle, mais a jugé que l’employeur ne pouvait pas la réutiliser dans le cadre disciplinaire car cette finalité était différente de celle initialement annoncée, et qu’en l’absence de consentement explicite du salarié, le traitement était illicite. Cette exigence de consentement, jugée contraire à l’esprit du RGPD par de nombreux experts, illustre l’importance du principe de finalité : des données collectées pour un but ne doivent pas être utilisées pour un autre sans base légale appropriée.
• Autres décisions et positions notables : Le Conseil Constitutionnel français (2009), lors du débat sur la loi Hadopi, a confirmé que la collecte d’IP par des acteurs privés constituait bien un traitement de données personnelles. De plus, la CJUE, dès 2011 (arrêt Scarlet c. SABAM), avait déjà qualifié les adresses IP de données à caractère personnel dans le contexte du filtrage sur internet. Enfin, la CNIL rappelle que, par défaut, les données de connexion doivent être effacées ou anonymisées, sauf obligations légales strictes de conservation.

Conclusion

Les adresses IP sont plus qu’une simple suite de chiffres : ce sont des informations personnelles dont l’utilisation légitime exige le respect des principes du RGPD.

Un responsable de traitement peut collecter et exploiter des IP si cela répond à une finalité précise, déclarée et légitime (sécurité, fourniture d’un service, mesure d’audience anonymisée, etc.), et à condition de s’appuyer sur une base légale adéquate (intérêt légitime, obligation légale, consentement…).

Il doit en outre minimiser cette collecte (par exemple en tronquant ou anonymisant l’IP si possible) et limiter la conservation dans le temps.

Les jurisprudences récentes soulignent l’importance de la transparence et du respect des finalités annoncées : une adresse IP collectée doit être utilisée conformément à l’objectif initial, sans quoi son réemploi pourrait être sanctionné. En suivant ces principes et les recommandations des autorités (CNIL, CEPD), les responsables de traitement peuvent utiliser les adresses IP de manière légitime et conforme, tout en garantissant la protection des personnes concernées.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus