Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Les logs de connexion à une banque en ligne sont des données à caractère personnel

Le tribunal de grande instance de Paris a rendu, le 17 juillet 2014, une ordonnance de référé confirmant que les logs de connexion, incluant les adresses IP, sont des données à caractère personnel au sens de la loi Informatique et Libertés n°78-17 du 6 janvier 1978.

Une cliente avait reçu un e-mail de sa banque, LCL, l’informant de la situation débitrice de son compte. Ce mail était adressé à une tierce personne, la cliente elle-même n’apparaissant qu’en copie. Désireuse de s’assurer que son compte en ligne n’avait pas été piraté, elle avait sollicité de la banque la communication des données de connexion audit compte. LCL opposa un refus à cette demande, arguant que les données dont la cliente sollicitait la communication n’étaient pas des données personnelles la concernant, mais celles de tiers que la banque n’était pas autorisée à communiquer.

Rappelons que l’article 39-1 de la loi Informatique et Libertés consacre le droit d’accès et de communication de toute personne physique justifiant de son identité aux «données à caractère personnel qui la concernent ainsi qu’à toute information quant à l’origine de celles-ci». C’est sur le fondement de ce texte que la cliente avait mis en demeure sa banque de lui communiquer l’historique des logs de connexion de ses comptes.

Le Tribunal rappelle en premier lieu que, dans leurs échanges en ligne avec leurs clients, les banques sont soumises à la loi «Informatique et Libertés». Il estime ensuite qu’en sollicitant la communication des logs de connexion de ses comptes en ligne, la cliente interrogeait sa banque sur l’accès à ses propres comptes et donc sur des données qui lui sont personnelles. Il souligne enfin que le fait que cette communication puisse éventuellement révéler une utilisation frauduleuse du compte par un tiers ne peut priver la cliente du droit que lui confère la loi Informatique et Libertés d’obtenir communication de ses données personnelles. Le Tribunal conclut dès lors que la contestation opposée par la banque n’est pas sérieuse et enjoint cette dernière de communiquer les logs de connexion, incluant les adresses IP, des comptes en ligne, dans un délai de huit jours à compter de la signification.

En 2007, la cour d’appel de Paris avait, au contraire, considéré dans deux arrêts que les adresses IP ne permettaient pas d’identifier, même indirectement, des personnes physiques et ne constituaient donc pas des données à caractère personnel. La CNIL comme les autorités européennes de protection des données estimaient de leur côté, que l’adresse IP permettant l’identification de l’internaute constituait bien une donnée personnelle. La CJCE, le 29 janvier 2008 (C-275/06, Promusicae c/ Telefonica) avait tranché la divergence en affirmant que l’adresse IP, en ce qu’elle permet une identification au moins indirecte d’une personne physique, était une donnée à caractère personnel. Solution appliquée par le TGI de Paris.

 

Auteur

Anne-Laure Villedieu, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

 

Article paru dans le magazine Option Finance le 8 septembre 2014