Le 17 juillet dernier, le TGI de Paris a enjoint la banque LCL par une ordonnance de référé de communiquer à l’une de ses clientes l’historique de ses logs de connexion à ses comptes, adresses IP comprises, considérant que ces données lui sont personnelles. Un cas relevé par le site legalis.net qui prend le contrepied de décisions antérieures.

Le 31 juillet 2013, Mme M. reçoit un email de sa banque, la LCL, l’informant que l’un de ses comptes présente une situation débitrice. Problème : ce message a pour destinataire principal… un collègue de son mari (sa propre adresse email n’apparaissant qu’en copie). A ses demandes d’explications, sa banque répond alors qu’il s’agissait « d’une erreur de saisie ». Craignant une utilisation frauduleuse du compte, Madame M. demande alors le 17 décembre 2013 à LCL de lui communiquer l’historique des logs de connexion à ses comptes. Laquelle lui oppose un refus, indiquant que les logs de connexion demandés ne sont pas des données personnelles (mais celles de tiers), de sorte que les dispositions de la loi n°78-17 du 6 janvier 1978 n’ont pas vocation à s’appliquer.

Des adresses IP considérées comme informations personnelles

C’est cet argument qui est finalement rejeté le 17 juillet dernier par le TGI de Paris, statuant premièrement « qu’en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l’accès à ses propres comptes et ainsi sur des données qui lui sont personnelles » et par ailleurs que « l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 […] ». Résultat : la société LCL est tenue de communiquer l’historique de ces logs incluant les adresses IP à compter du 17 juillet 2013, dans un délai de huit jours et avec une astreinte de 250 euros par jour de retard (pendant 2 mois), compte-tenu de la durée de conservation légale limitée à un an pour ce type de données.

La décision du TGI de Paris prend, selon legalis.net « le contre-pied de l’arrêt du 15 mai 2007 de la cour d’appel de Paris qui avait considéré que l’adresse IP étant une série de chiffres, elle ne constitue en rien une donnée indirectement nominative car elle se rapporte à une machine et non à un individu qui l’utilise ». Chez nextinpact.com, on rappelle aussi que le Conseil d’Etat reprochait à la société Pages Jaunes de stocker ces données alors que le site n’est « ni opérateur de communications électroniques, ni fournisseur d’hébergement ou fournisseur d’accès à internet »…