En France, la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « loi informatique et libertés » fixe le cadre pour la protection des données à caractère personnel. La commission nationale de l'informatique et des libertés (CNIL) veille à ce que les dispositifs de traitement de données personnelles soient mis en oeuvre conformément aux dispositions de la loi. La loi « informatique et libertés » précise dans son article second que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Une adresse « IP » (Internet Protocol) est un numéro d'identification attribué de façon permanente ou provisoire (IP dynamique) à chaque appareil connecté à un réseau utilisant le protocole IP ; elle est généralement représentée sous forme décimale, en une succession de nombres. La question de savoir si la donnée « IP » constitue ou non une donnée à caractère personnel a suscité un certain nombre de décisions et débats de jurisprudence, mettant en évidence des différences d'approche : la CNIL, la Cour de cassation, le Conseil constitutionnel, la Cour de justice de l'Union européenne ont exprimé successivement des analyses différenciées sur le sujet. Il est probable que la recherche d'une réponse absolue risque d'être vaine : selon les circonstances, selon les cas d'espèces, la donnée « IP » revêtira ou non un caractère personnel. La donnée « IP » est-elle possiblement appariée à d'autres métadonnées, dont la combinaison faciliterait l'identification de la personne concernée ? L'opérateur de la donnée « IP » dispose-t-il de moyens raisonnablement accessibles lui permettant d'identifier l'usager ? Seules des analyses étayées sur le contexte précis de la donnée « IP » et l'environnement des services et activités menés par l'opérateur permettent d'apprécier le caractère personnel ou non de l'adresse IP. De façon plus générale, les évolutions des technologies de l'information (« Big Data », objets connectés, géolocalisation, profilage du marketing) engendrent un nombre croissant de données numériques. Une réflexion doit s'engager afin de continuer à faire prévaloir les règles de protection des données personnelles dans ces nouveaux domaines d'activité tout en préservant un environnement favorable à l'innovation et au développement industriel. Le projet de règlement européen relatif à la protection des données à caractère personnel actuellement en discussion amorce en ce sens un premier éclairage. Le considérant 24 du projet indique que : « Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion (cookies) par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. ».