Les logs de connexion, des données à caractère personnel

(TGI Paris, ord. de référé, 17 juillet 2014, Chantal M. / Crédit Lyonnais)

Le Tribunal de grande instance (TGI) de Paris s’est prononcé, dans cette ordonnance du 17 juillet 2014, sur l’étendue de la notion de données à caractère personnel relativement à l’accès à un compte bancaire en ligne et plus particulièrement aux logs de connexion (les fichiers permettant de conserver la trace des connexions à un serveur : date et heure, adresse IP du client, etc).

La loi Informatique et Libertés n°78-17 du 6 janvier 1978 prévoit, au profit des personnes dont les données à caractère personnel sont traitées, un droit d’accès à ces dernières. L’article 39-I de la loi du 6 janvier 1978 dispose ainsi que « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir » notamment « La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ».

En l’espèce, une cliente d’un établissement bancaire est bénéficiaire d’un service d’accès en ligne à ses comptes bancaires. Celle-ci reçoit un jour un courrier électronique de sa banque l’informant que son compte est débiteur. Elle note que le destinataire principal de cette communication est un tiers, dont elle a connaissance et qu’elle figure seulement en copie de celle-ci. Soupçonnant une intrusion frauduleuse de la part de cette connaissance, elle met en demeure sa banque de lui communiquer les logs de connexion à ses comptes et ce, en vertu de son droit d’accès à ses données personnelles. Toutefois, la banque ne fait pas droit à sa demande au motif que les logs de connexion « ne sont pas des données personnelles mais celles de tiers » et exclut par conséquent l’application de la loi du 6 janvier 1978.

La cliente saisit le Tribunal de Grande Instance de Paris (TGI) en référé afin que sa banque lui communique l’historique des logs de connexion de ses deux comptes en ligne depuis leur création et ce, en vertu de son droit d’accès à ses données à caractère personnel conformément à l’article 39 de la loi du 6 janvier 1978.

Compte tenu de l’opposition des parties sur l’application de la loi du 6 janvier 1978, la juridiction s’est tout d’abord prononcée sur le périmètre de cette dernière au regard des données traitées par la banque. Il a ainsi constaté que « dans ses échanges en ligne avec ses clients, la société LCL est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 » et que « l’article 39-1 de cette loi consacre un droit d’accès de toute personne physique à ses données à caractère personnel ». Ensuite, considérant que la loi était applicable, la juridiction affirme que les logs de connexions sont des données à caractère personnel.

La cliente de la banque est donc en droit d’accéder aux informations de connexion à ses comptes qui constituent des données à caractère personnel au sens de la loi du 6 janvier 1978. De plus, selon le Président du TGI, l’éventualité que cette communication puisse révéler ne utilisation frauduleuse ne peut pas priver la cliente de son droit d’accès à ses données. Il a donc été enjoint à la banque de communiquer à sa cliente l’historique de ses logs de connexion.

La question de la qualification de l’adresse IP comme donnée à caractère personnel au sens de la loi du 6 janvier 1978 a donné lieu à de nombreuses décisions et avis divisés. Dans deux arrêts de 2007, la Cour d'appel de Paris a d’abord refusé la qualification de donnée à caractère personnel pour l’adresse IP au motif que cette dernière « ne permet pas d’identifier le ou les personnes qui ont utilisé cet ordinateur, puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du fournisseur l’accès l’identité de l’utilisateur » (27 avril 2007) et dans la mesure ou « cette série de chiffre […] ne se rapporte qu’à une machine, et non à l’individu » ( 25 mai 2007). Suite à ces décisions, le groupe de travail « article 29 », constitué de la Commission Nationale de l’Informatique et des Libertés (CNIL) et autres autorités de protection des données personnelles de tous les autres Etats européens, a rendu un avis le 20 juin 2007 dans lequel il affirme que l’adresse IP constitue bien une donnée à caractère personnelle notamment parce qu’elle peut permettre l’identification des utilisateurs dans certains cas.

Allant à l’encontre de cet avis, le 13 janvier 2009, la Cour de cassation a rendu un arrêt dans lequel elle jugeait que la collecte d'adresses IP n'avait pas à faire l'objet d'une déclaration auprès de la CNIL. La même année, le TGI de Paris a affirmé que « l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui détient obligatoirement les données nominatives du responsable du contenu » (24 juin 2009). Rejoignant la position du TGI, la Commission européenne a affirmé le 12 mars 2013 que « tout traitement de données relatives aux clients, telles que les adresses IP, doit respecter les dispositions nationales qui mettent en œuvre les exigences de la directive 95/46/CE ». Cette ordonnance ne peut qu’être saluée en ce qu’elle s’inscrit dans la droite ligne des dernières décisions rendues et renforce la qualification de données à caractère personnel de l’adresse IP .