Le tribunal de grande instance de Paris a rendu, le 17 juillet 2014, une ordonnance de référé confirmant que les logs de connexion, incluant les adresses IP, sont des données à caractère personnel au sens de la loi informatique et libertés n° 78-17 du 6 janvier 1978.
Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre.
Une cliente avait reçu un e-mail de sa banque, LCL, l’informant de la situation débitrice de son compte. Ce mail était adressé à une tierce personne, la cliente elle-même n’apparaissant qu’en copie. Désireuse de s’assurer que son compte en ligne n’avait pas été piraté, elle avait sollicité de la banque la communication des données de connexion audit compte. LCL opposa un refus à cette demande, arguant que les données dont la cliente sollicitait la communication n’étaient pas des données personnelles la concernant, mais celles de tiers que la banque n’était pas autorisée à communiquer.
Rappelons que l’article 39-1 de la loi informatique et libertés consacre le droit d’accès et de communication de toute personne physique justifiant de son identité aux «données à caractère personnel qui la concernent ainsi qu’à toute information quant à l’origine de celles-ci». C’est sur le fondement de ce texte que la cliente avait mis en demeure sa banque de lui communiquer l’historique des logs de connexion de ses comptes.
Le tribunal rappelle en premier lieu que, dans leurs échanges en ligne avec leurs clients, les banques sont soumises à la loi «informatique et libertés». Il estime ensuite qu’en sollicitant la communication des logs de connexion de ses comptes en ligne, la cliente interrogeait sa banque sur l’accès à ses propres comptes et donc sur des données qui lui sont personnelles. Il souligne enfin que le fait que cette communication puisse éventuellement révéler une utilisation frauduleuse du compte par un tiers ne peut priver la cliente du droit que lui confère la loi informatique et libertés d’obtenir communication de ses données personnelles.
