Accueil > Adresse IP et donnée personnelle : ce que dit le RGPD

Adresse IP et donnée personnelle : ce que dit le RGPD

8 min de lecture 1 520 mots Mis à jour 17 mai 2026

Une adresse IP est-elle une donnée personnelle au sens du RGPD ? La réponse, fixée par la jurisprudence européenne et confirmée par la CNIL, est oui : dès lors qu’elle peut servir à identifier indirectement une personne physique, l’IP relève du Règlement général sur la protection des données. Cette page détaille la qualification juridique, l’arrêt Breyer de 2016 qui fait référence, les bases légales pour la traiter, les durées de conservation et vos droits.

Le RGPD en deux mots

Le RGPD (Règlement général sur la protection des données, en anglais GDPR) est le règlement européen entré en application le 25 mai 2018. Il s’applique à toute organisation qui traite des données personnelles de personnes situées dans l’UE, qu’elle soit basée dans l’UE ou ailleurs.

Une donnée personnelle, d’après l’article 4 du RGPD, est « toute information se rapportant à une personne physique identifiée ou identifiable« . Le mot clé est identifiable : pas besoin que la donnée contienne le nom — il suffit qu’elle permette, directement ou par recoupement, de remonter à une personne.

L’adresse IP est-elle une donnée personnelle ?

Réponse courte : oui, dans la grande majorité des cas. Une adresse IP — qu’elle soit IPv4 ou IPv6, publique ou même privée croisée avec d’autres données — permet d’identifier indirectement une personne via son fournisseur d’accès à internet (FAI). C’est ce que prévoit explicitement le considérant 30 du RGPD, qui cite les « identifiants en ligne » parmi les exemples de données personnelles.

La distinction importante n’est pas « est-ce une donnée personnelle ? » mais « l’entité qui la traite a-t-elle les moyens raisonnables d’identifier la personne ?« . Pour un FAI : oui, il a la correspondance IP + abonné dans ses logs. Pour un site web : non en direct, mais le croisement avec d’autres données ou une réquisition judiciaire le permet — ce qui suffit, selon la jurisprudence, à rendre l’IP personnelle.

L’arrêt Breyer (CJUE, 19 octobre 2016) : la référence

L’arrêt qui fait jurisprudence en Europe s’appelle Patrick Breyer c. Allemagne (CJUE, C-582/14). Patrick Breyer, citoyen allemand, contestait la collecte de son adresse IP par des sites web administrés par l’État allemand. La Cour de justice de l’Union européenne a tranché :

  • Une IP dynamique (qui change régulièrement) est une donnée personnelle pour l’éditeur du site, dès lors qu’il dispose des moyens légaux raisonnables de l’associer à une personne — typiquement, en passant par le FAI.
  • L’identification ne doit pas nécessairement être directe ni effectuée par l’éditeur lui-même : la possibilité d’identification suffit.
  • Conséquence : tout site qui logue les IP de ses visiteurs traite des données personnelles et doit respecter le RGPD.

Cet arrêt s’applique a fortiori aux IP statiques ou aux IP croisées avec un compte utilisateur, qui sont alors associées à une personne identifiée. Voir notre fiche adresse IP : définition pour rappel des différences statique / dynamique.

Position de la CNIL en France

La CNIL (Commission Nationale de l’Informatique et des Libertés) considère depuis longtemps l’IP comme une donnée personnelle. Dans une délibération du 21 décembre 2006 déjà, elle indiquait que l’adresse IP doit être traitée comme telle, par analogie avec un numéro de téléphone : un identifiant qui, croisé avec les fichiers du FAI, permet de remonter à un abonné.

Depuis l’entrée en vigueur du RGPD en 2018, la CNIL applique l’arrêt Breyer et le considérant 30 du règlement. Concrètement, tout site web français qui collecte des IP (et tous le font dans les logs serveur) doit le faire dans le respect du RGPD.

Quelles obligations pour les sites qui collectent des IP ?

  • Base légale : l’intérêt légitime suffit pour les logs techniques de sécurité (durée raisonnable). Pour des usages publicitaires ou analytiques croisés, le consentement explicite est en général requis.
  • Information : mentionner dans la politique de confidentialité la collecte d’IP, la finalité (sécurité, analytique, fraude), la base légale et la durée de conservation.
  • Durée limitée : la CNIL recommande 6 mois à 1 an pour les logs serveur classiques, plus longtemps seulement si justifié (incident sécurité, obligation légale spécifique).
  • Sécurité : journaux protégés contre les accès non autorisés, anonymisés ou pseudonymisés si possible.
  • Droits des personnes : la personne peut demander l’accès, l’effacement (sauf intérêt légitime impérieux ou obligation légale), l’opposition au traitement à des fins commerciales.

Cas particulier : IP partagée (CGNAT, NAT d’entreprise)

En 4G/5G mobile et dans certaines fibres, les opérateurs utilisent le CGNAT (Carrier-Grade NAT) : une même IP publique est partagée entre des milliers d’abonnés. L’identification par IP seule devient impossible sans recouper l’horodatage et le port source dans les logs opérateur.

Juridiquement, l’IP reste une donnée personnelle car l’identification redevient possible avec la collaboration de l’opérateur. Mais en pratique, cela renforce l’anonymisation côté visiteur. Voir notre fiche NAT et CGNAT.

VPN, Tor, IP privée : impact sur la qualification RGPD

  • VPN : l’IP vue par le site est celle du serveur VPN, pas celle de l’utilisateur. La traçabilité dépend alors des logs du fournisseur VPN (politique no-log, juridiction). Voir notre page fonctionnement d’un VPN.
  • Tor : l’IP de sortie est celle d’un nœud de relais Tor, anonyme par construction. L’identification reste théoriquement possible par corrélation d’attaques, en pratique très difficile.
  • IP privée (192.168.x.x, 10.x.x.x) : voir IP publique vs privée. Sur le LAN seul, son caractère personnel dépend de qui contrôle ce réseau (employeur, particulier). Sur internet, elle n’apparaît pas.
  • Masquer son IP : guide complet sur comment masquer son adresse IP.

Et les cookies, traceurs, fingerprinting ?

L’IP combinée à un user-agent, une résolution d’écran, une langue système peut suffire à fingerprinter un visiteur avec un haut degré d’unicité, même sans cookie. Le RGPD couvre ces identifiants en ligne au même titre que l’IP isolée.

La directive ePrivacy (loi Informatique et Libertés en France) ajoute une obligation de consentement préalable pour la pose de cookies non strictement nécessaires, mais ça reste un sujet distinct du RGPD : les deux réglementations se cumulent.

Mes droits si un site collecte mon IP

  • Droit d’accès : demander au site ce qu’il a sur vous (logs, IP enregistrées, finalités).
  • Droit d’effacement (« droit à l’oubli ») : demander la suppression, sauf base légale impérative qui s’oppose (sécurité, contentieux en cours).
  • Droit de rectification : peu pertinent pour une IP mais existe.
  • Droit d’opposition : refuser le traitement à des fins de marketing direct (toujours opposable).
  • Droit à la portabilité : récupérer ses données dans un format réutilisable.
  • Plainte à la CNIL : si l’éditeur ne répond pas ou répond mal sous 1 mois.

FAQ : IP et RGPD

Une IP dynamique est-elle vraiment une donnée personnelle ?

Oui. L’arrêt Breyer de 2016 a tranché clairement : une IP dynamique relève des données personnelles dès lors que des moyens raisonnables d’identification existent (notamment via le FAI). Le fait qu’elle change au cours du temps n’enlève rien à ce statut.

Mon site doit-il demander un consentement pour logger les IP ?

Pour de simples logs serveur à fin de sécurité, l’intérêt légitime suffit comme base légale — pas besoin de consentement, mais il faut informer dans la politique de confidentialité. Pour de l’analytique ou de la publicité, le consentement explicite est en général requis (cookies / ePrivacy).

Combien de temps peut-on conserver une IP ?

La CNIL recommande une durée proportionnée à la finalité : 6 à 12 mois typiquement pour des logs serveur de sécurité. Au-delà, il faut une obligation légale spécifique (LCEN en France impose la conservation par les hébergeurs et FAI pendant un an pour les besoins de l’autorité judiciaire) ou une justification documentée.

Un VPN protège-t-il du RGPD ?

Un VPN masque votre IP réelle aux sites visités. Si le fournisseur VPN ne logue rien (politique no-log auditée), la traçabilité devient extrêmement difficile. Mais le VPN lui-même est soumis au RGPD s’il opère depuis l’UE ou pour des résidents de l’UE.

Mon IP peut-elle être communiquée à la police ?

Oui, sur réquisition judiciaire dans le cadre d’une enquête. Les FAI conservent légalement une trace des attributions IP / abonné. Les hébergeurs et éditeurs en France doivent collaborer avec les autorités dans le cadre fixé par la LCEN.

Et l’IP d’un serveur ou d’un site web, est-elle personnelle aussi ?

Non, dans la grande majorité des cas. L’IP d’un serveur web est attribuée à une organisation, pas à une personne physique. Sauf cas particulier (auto-hébergement chez soi), elle ne relève pas du RGPD. Pour identifier le propriétaire d’un serveur, voir notre outil whois IP.

Pour aller plus loin sur les fondamentaux : encyclopédie IP et adresse IP : définition complète.

Voir aussi dans l'encyclopédie

Autres fiches qui pourraient vous intéresser

Port forwarding

Port forwarding (ouverture de ports) : exposer un service local sur internet. Configuration Freebox/Livebox/Bbox/SFR, ports célèbres, sécurité, UPnP, CGNAT.

Lire la fiche

Modèle OSI : les 7 couches expliquées

Lire la fiche

Enregistrements DNS

Les enregistrements DNS (records) sont les briques d'un nom de domaine : A, AAAA, CNAME, MX, TXT, NS, PTR. Fonctions, exemples, configuration…

Lire la fiche
Voir toute l'encyclopédie
Copyright © 2026 Trouver IP — Tous droits réservés