Il découle de la jurisprudence de la CJCE, par exemple C ‑ 70/10 (28 janvier 2010) et C-582/14 (19 octobre 2016), que les adresses IP sont des données à caractère personnel.
Étant donné que mon interprétation de la jurisprudence diffère de l'interprétation offerte par @Greendrake, je vais entrer dans la jurisprudence pertinente un peu plus en détail que dans ma réponse initiale.
TL; DR : Oui, les adresses IP dans le serveur les journaux sont des données personnelles et vous devez déclarer l'enregistrement de l'adresse IP dans votre politique de confidentialité.
Comme je l'ai dit, nous devons examiner la jurisprudence que j'ai mentionnée dans l'introduction pour savoir si les adresses IP sont personnelles données.
Le premier d'entre eux est CJCE C-70/10. En cela, le tribunal conclut que toutes les adresses IP sont des "données personnelles protégées":
Il est constant, premièrement, que l'injonction exigeant l'installation du Le système de filtrage impliquerait une analyse systématique de tous les contenus et la collecte et l'identification des adresses IP des utilisateurs à partir desquelles le contenu illégal sur le réseau est envoyé. Ces adresses sont des données personnelles protégées car elles permettent d'identifier précisément ces utilisateurs. (c'est moi qui souligne)
Puis, en 2016, la CJUE a statué dans une affaire plus étroite CJCE C-582/14 statuant spécifiquement sur la propriété intellectuelle dynamique- adresses :
La cour procède à un certain nombre de délibérations, puis conclut:
Compte tenu de toutes les considérations qui précèdent, la réponse à la première question est que l'article 2, point a), de la directive 95/46 doit être interprété en ce sens qu'une adresse IP dynamique enregistrée par un fournisseur de services de médias lorsqu'une personne accède à un site Web que le fournisseur rend accessible au public constitue des données à caractère personnel au sens de cette disposition, vis-à-vis de ce fournisseur, lorsque ce dernier dispose des moyens juridiques lui permettant d'identifier la personne concernée avec des les données que le fournisseur d'accès Internet possède à propos de cette personne.
Il ressort clairement de ce texte que le tribunal ne conteste ou n'invalide pas la CJCE C-70/10 sur les adresses IP statiques . Le tribunal est très prudent, dans sa décision de souligner que sa décision porte spécifiquement sur les adresses IP dynamiques .
La décision de la CJCE C-70/10 vaut donc toujours adresses IP statiques , ce sont toujours des données personnelles protégées.
Je pense que cette jurisprudence est résumée dans le considérant 30 du RGPD. Ce considérant énumère les identifiants qui peuvent rendre des personnes physiques identifiables:
Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications , des outils et des protocoles, tels que des adresses de protocole Internet , des identifiants de cookies ou d'autres identifiants tels que des balises d'identification par radiofréquence. (je souligne).
Puisqu'il découle de la jurisprudence que les adresses IP statiques toujours rendent la personne concernée identifiable, et les adresses IP dynamiques peuvent rendre la personne concernée identifiable, je conclurai, sur la seule base de la jurisprudence, que:
À moins que vous ne puissiez filtrer vos journaux pour exclure les adresses IP statiques. Je pense que vous devez considérer les données personnelles protégées par les adresses IP dans le cadre du RGPD.
Cependant, dans l'arrêt CJCE C-582/14, la décision concernant les adresses IP dynamiques repose sur le fait que le responsable du traitement dispose de moyens légaux pour identifier la personne concernée en connectant l'adresse IP à d'autres données. Le tribunal semble penser que l’accès aux journaux des FAI est le seul moyen de le faire. C'est faux.
En 2015, l'informaticien norvégien Einar Otto Stangvik
a identifié 78 Norvégiens qui semblent avoir téléchargé du matériel abusif
en commençant uniquement par leurs adresses IP.
Stangvik l'a fait en travaillant comme consultant pour le grand journal norvégien VG.
Je connais Stangvik et moi je connais les méthodes qu'il a utilisées. Je les ai essayés moi-même et ils fonctionnent. Stangvik n'avait pas accès aux journaux des FAI, il n'a rien fait d'illagal, et les 78 personnes physiques identifiées uniquement au moyen de leur adresse IP, combinée avec d'autres données auxquelles Stangvik avait un accès légal.
I n'entrerai pas dans les détails, je dirai simplement ceci: si vous savez comment faire cela, accéder à la personne physique lorsque vous connaissez l'adresse IP n'est ni difficile ni fastidieux.
Pour revenir à la question: il découle aussi du RGPD que la journalisation des adresses IP relève de sa définition de «traitement».
Votre politique de confidentialité devrait énumérer toutes les données personnelles les données personnelles collectées par vous-même et par des tiers («sous-traitants» dans la terminologie du RGPD) sur lesquelles vous vous appuyez. Votre société d'hébergement est un tel tiers, et vous devez déclarer l'enregistrement des adresses IP dans votre politique de confidentialité.