Par une décision en référé en date du 17 juillet 2014, le Tribunal de Grande Instance de Paris ordonne à l’établissement bancaire Le Crédit Lyonnais de communiquer à l’une de ses clientes l’historique de ses logs de connexion et adresses IP liés à ses comptes, alors considérés comme des données à caractère personnel.
La définition de « donnée personnelle » dont dispose l’article 2 alinéa 2 de la Loi Informatique et Libertés de 1978 n’étant pas exhaustive, il s’est déjà posé la question de savoir si l’adresse IP pouvait être considérée comme une donnée personnelle. En ce sens, la Cour d’Appel de Paris estimait dans deux affaires distinctes de 2007 que l’adresse IP ne permettait pas d’identifier le ou les personnes qui ont utilisé cet ordinateur tandis qu’au niveau européen, la cour européenne estimait au contraire que le traitement d’adresses IP devait être considéré comme un traitement de données à caractère personnel renvoyant aux autorités nationales à se prononcer sur la qualification de l’adresse IP.
Par cette ordonnance de référé du 17 juillet 2014, le TGI de Paris vient donc apporter un élément de réponse à la qualification des adresses IP attachées aux logs de connexion.
En l’espèce, une cliente avait reçu un email de sa banque l’informant de l’état de son compte bancaire. Néanmoins, la cliente ne se trouvait qu’en copie du mail le destinataire principal étant un collègue de son mari. La cliente qui soupçonnait une intrusion frauduleuse sur ses comptes, a donc sollicité la banque pour qu’elle lui transmettre l’ensemble de ses logs de connexion de ses comptes en ligne parmi lesquels figuraient un certain nombre d’adresses IP. La cliente, faisant valoir son droit d’accès au titre de l’article 39-1 de la Loi Informatique et Libertés s’est vu refuser par LCL la communication de ces informations, au motif qu’il ne s’agissait pas de ses données personnelles mais de celles d’un tiers, la Loi Informatique et Libertés ne pouvant dès lors être applicable.
Le juge considère cependant que la cliente, en sollicitant la communication des logs de connexions et des adresses IP de ses comptes en ligne, interrogeait la banque sur l’accès de ses propres comptes et donc à des données qui lui étaient personnelles. En conséquence, la contestation opposée par LCL à sa cliente n’ayant pas été jugée sérieuse par le juge, ce dernier sanctionne pécuniairement LCL et l’enjoint également à communiquer les données de sa cliente qu’elle détenait depuis un an (durée légale de conservation des données de logs) dans un délai de 8 jours à compter de la notification de cette décision. Avec cette décision, les juridictions font un pas de plus vers la reconnaissance de l’adresse IP comme donnée à caractère personnel rejoignant la position européenne en la matière.
Source – Tribunal de Grande Instance de Paris – 17 juillet 2014
Ludovic POIDEVIN
Étudiant en Droit de l’économie numérique passionné par le Droit de la propriété intellectuelle, la protection des données personnelles et les nouvelles technologies.
