En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Actualités

mercredi 23 juillet 2014
Facebook Viadeo Linkedin

Les logs de connexion dont les adresses IP sont des données personnelles

 

Par une ordonnance de référé du 17 juillet 2014, le TGI de Paris a enjoint la banque LCL de communiquer à sa cliente l’historique de ses logs de connexion, y compris les adresses IP, liés à ses comptes. Cette personne avait reçu un email de sa banque l’informant que son compte présentait une situation débitrice. Chose curieuse, le courriel électronique lui était envoyé en copie, le destinataire principal étant l’associé de son mari avec lequel il n’était plus en très bons termes. Elle a demandé des explications à sa banque qui lui a répondu qu’il s’agissait d’une erreur de saisie. Soupçonnant une intrusion frauduleuse dans son compte, la cliente a demandé à la banque de lui fournir les logs de connexion dont les adresses IP, sur le fondement de l’article 39 de la loi Informatique et libertés. La LCL a refusé de lui donner accès à ces informations, au motif qu’il ne s’agissait pas de données personnelles mais de celles d’un tiers, l’associé du mari. Par conséquent la loi Informatique et libertés n’avait pas vocation à s’appliquer. Mais le tribunal conclut qu’« en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite ». En conséquence, le TGI de Paris a ordonné à la banque de communiquer les données en question qu’elle détient à compter du 17 juillet 2013, soit depuis un an, tenant ainsi compte de la durée légale de conservation des données.

Cette décision prend le contre-pied de l’arrêt du 15 mai 2007 de la cour d’appel de Paris qui avait considéré que l’adresse IP étant une série de chiffres, elle ne constitue en rien une donnée indirectement nominative car elle se rapporte à une machine et non à un individu qui l’utilise. Le statut de donnée personnelle de l’adresse IP avait été confirmé par l’arrêt Promusicae de la Cour de justice de l’Union européenne du 29 janvier 2008.