Les logs de connexions incluant des adresses IP sont des données à caractère personnel

Par une décision  en référé en date du 17 juillet 2014, le Tribunal de Grande Instance de Paris ordonne à l’établissement bancaire Le Crédit Lyonnais  de communiquer à l’une de ses clientes  l’historique  de ses logs  de connexion et adresses IP liés à ses comptes, alors considérés comme des données à caractère personnel.

logo

La définition de « donnée personnelle » dont dispose l’article 2 alinéa 2 de la Loi Informatique et Libertés de 1978 n’étant pas exhaustive, il s’est déjà posé la question de savoir si l’adresse IP pouvait être considérée comme une donnée personnelle. En ce sens, la Cour d’Appel de Paris estimait dans deux affaires distinctes de 2007 que l’adresse IP ne permettait pas d’identifier le ou les personnes qui ont utilisé cet ordinateur tandis qu’au niveau européen, la cour européenne estimait au contraire que le traitement d’adresses IP devait être considéré comme un traitement de données à caractère personnel renvoyant aux autorités nationales à se prononcer sur la qualification de l’adresse IP.

Par cette ordonnance de référé du 17 juillet 2014, le TGI de Paris vient donc apporter un élément de réponse à la qualification des adresses IP attachées aux logs de connexion.

En l’espèce, une cliente avait reçu un email de sa banque l’informant de l’état de son compte bancaire. Néanmoins, la cliente ne se trouvait qu’en copie du mail le destinataire principal étant un collègue de son mari. La cliente qui soupçonnait une intrusion frauduleuse sur ses comptes, a donc sollicité la banque pour qu’elle lui transmettre l’ensemble  de ses logs de connexion de ses comptes en ligne parmi lesquels figuraient un certain nombre d’adresses IP.  La cliente, faisant valoir son droit d’accès au titre de l’article 39-1 de la Loi Informatique et Libertés s’est vu refuser par LCL la communication de ces informations, au motif qu’il ne s’agissait pas de ses données personnelles mais de celles d’un tiers, la Loi Informatique et Libertés ne pouvant dès lors être applicable.

Le juge considère cependant que la cliente, en sollicitant la communication des logs de connexions et des adresses IP de ses comptes en ligne, interrogeait la banque sur l’accès de ses propres comptes et donc à des données qui lui étaient personnelles. En conséquence, la contestation opposée par LCL à sa cliente n’ayant pas été jugée sérieuse par le juge, ce dernier sanctionne pécuniairement LCL et l’enjoint également à communiquer les données de sa cliente qu’elle détenait depuis un an (durée légale de conservation des données de logs) dans un délai de 8 jours à compter de la notification  de cette décision. Avec cette décision, les juridictions font un pas de plus vers la reconnaissance de l’adresse IP comme donnée à caractère personnel rejoignant la position européenne en la matière.

 

Source  Tribunal de Grande Instance de Paris – 17 juillet 2014

 

11Ludovic POIDEVIN

Étudiant en Droit de l’économie numérique passionné par le Droit de la propriété intellectuelle, la protection des données personnelles et les nouvelles technologies.
LinkedIn couleur logo Twitter couleur Logo mail couleur

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.