Par une ordonnance en date du 17 Juillet 2014, le TGI de Paris a enjoint une banque (LCL pour ne pas la nommer ^^) à fournir à son client qui le demande les logs de connexion aux comtpes en banque du demandeur (dont les adresse IP).
A l'origine de cette histoire, une femme (Mme M.) avait demandé à sa banque de lui fournir les logs de connexion dont les adresses IP à ses deux comptes, après que la banque lui ai fait part de l'état débiteur de son compte. Mme M. appuyait alors sa demande sur le fondement de l'article 39 de la loi informatique et libertés (disponible à la fin de cet article). Mme M. avait en effet soupçonné que quelque chose n'allait pas puisqu'elle n'était que le destinataire en copie du mail, ce dernier ayant été envoyé... à un collègue de son mari !
La banque a tout simplement refusé de fournir ces logs, estimant qu'il ne s'agissait pas de données personnelles. La demanderesse a alors introduit une action en référé afin d'obtenir rapidement communication des logs de connexion, pouvant lui permettre d'établir l'existence d'actes frauduleux.
Le TGI de Paris a fait droit à la demande, estimant qu'en "sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l'éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l'article 39-1 de la loi du 6 janvier 1978 d'obtenir que lui soient communiquées les données personnelles qu'elle sollicite"
Cette décision peut paraitre étonnante au regard de la jurisprudence antérieure, et notamment de l'arrêt de la Cour d'Appel de Paris en date du 15 Mai 2007. La Cour jugeait en effet dans cette décision que l'adresse IP, qui se rapportait à une machine, n'était pas nominative, et ne présentait donc pas de caractère personnel. Vision partagée par la Cour de Justice de l'Union Européenne (28 Janvier 2008).
Finalement, que penser de cette décision ?
Si l'on s'éloigne un peu du droit, je dirais qu'étant donné l'obligation faite aux banques de conserver les logs de connexion sur 1 an, il parait logique de pouvoir s'en servir en cas de besoin. Le client, qui soupçonne des actes frauduleux sur ses comptes, pourrait alors preuver ses actes grâce à ces logs de connexion. Il a dont tout intérêt à demander (et à obtenir) ces logs.
Il pourrait être intéressant que cette vision des choses soit reprise dans d'autres décisions. De mon point de vue, si j'étais concerné, demander les logs de connexion à mon compte serait l'une des premières choses que je ferai.
Si certains ont des avis sur le sujet, n'hésitez pas à réagir en commentaire.
Article 39 de la Loi Informatique et Libertés
I. - Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.
Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.
En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.
II. - Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés.
Partager la publication "Logs de connexion aux services bancaires : données personnelles"