La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l'accès à ses comptes en ligne.
Une cliente de la LCL a victorieusement réclamé en justice la communication des logs de connexion de ses deux comptes en ligne depuis leur création. Pourquoi ? Le 31 juillet 2013, elle recevait de sa banque un email l’informant de situation débitrice. Curieusement, le mail était adressé à destination d’un certain Kamel S., collègue de son mari, le nom de la cliente n’apparaissant qu’en copie.
Craignant une fraude sur son compte, elle demande à sa banque le transfert des IP de connexion, histoire de vérifier s’il n’y a pas malversation. Cependant la banque lui a refusé de transmettre ces logs puisqu’ils sont ceux d’un tiers, non ses données personnelles. Selon la LCL, en effet, « les dispositions de la loi du 6 janvier 1978 n’ont pas vocation à s’appliquer. »
Le TGI de Paris n’a pas eu cette grille de lecture : « dans ses échanges en ligne avec ses clients, la société LCL est soumise » à ces dispositions, prévient le tribunal avant d’ajouter que la cliente dispose bien d’un droit d’accès à ses données à caractère personnel. « En sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles » explique le juge. Et « l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit » d’accès aux données personnelles. Dans son ordonnance de référé du 17 juillet 2014, relevée par Legalis.net, il enjoint donc la banque LCL de lui communiquer sous 8 jours l’historique des logs de connexion sur un an incluant donc les adresses IP.
Si le TGI considère que la banque doit donc loguer les données de connexion dans ses échanges avec ses clients, la CNIL estime pour sa part que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis. »
Du côté de la CNIL et du Conseil d'État
Or, comme l’a rappelé le Conseil d’État, ce cadre est composé en partie par l’article L. 34-1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Ajoutons également la loi Hadopi qui impose également un tel dispositif dans le cadre de la réponse graduée.
L’autre partie est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui impose aux FAI et aux hébergeurs « de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme ».
Le Conseil d’Etat avait justement reproché à la société Pages Jaunes de loguer ces données alors que le site « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. »
Une situation contrastée qui a fait quelque peu réagir Alexandre Archambault, celui qui à la ville est responsable des affaires réglementaires chez Iliad/Free.
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP Acte 2 : pour le TGI de Paris, il faut logger http://t.co/7JbzakJQ1J
— Alec ن Archambault (@AlexArchambault) 23 Juillet 2014
Commentaires (106)
#1
Enfin une banque c’est pas n’importe quel site web.
Si ça défrise la CNIL qu’elle permette sous condition aux banques de le faire. Je veux dire personne n’a de log sur ses serveurs ? J’ai du mal à le croire.
Google nous permet de savoir depuis quelles IP on s’est connecté avec Gmail et envoie même des mails d’alerte, voire bloque le compte automatiquement si subitement on se connecte depuis l’argentine (vécu)…
Qu’en pense la CNIL ?
#2
Reste a savoir si la banque a conservé ou non les données…
#3
Ça nous dit pas si elle a réussi à chopper une éventuelle fraude sur son compte en banque. :/
#4
Kamel S.
J’en connais qui ce feront une joie de faire un amalgame a deux balles tres rapidement " />
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP Acte 2 : pour le TGI de Paris, il faut logger
Ouai, enfin que google, facebook le fasse, ce n’est effectivement peut etre pas necessaire, mais la banque detient des donnees pourl e coup assez sensible qui peuvent te ruiner donc t’es bien comptant d’avoir ce genre de log pour prouver ta bonne foi ce qui n’est pas forcement chose aisee face a unebanque, vecu donc je sais de quoi je parle
#5
#6
Entre la CNIL et le TGI, il semblerait que l’on ne soit pas logguer à la même enseigne " />
#7
Ayons une pensée pour l’admin qui va se faire déchirer si ces données sont pas conservées un an…" />
Du moment qu’il y ait des comptes perso, ca ne me choque pas qu’il y ait log… " />
#8
#9
Tel que je le comprends, ce n’est pas le fait d’enregistrer ou non les adresses IP dont il est question, mais le fait de ne pas avoir voulu les communiquer au client.
En refusant de communiquer le log, la banque a reconnu enregistrer les adresses IP, alors que si la banque avait indiqué ne pas enregistrer ces adresses, il n’y aurait pas eu de débat !
#10
#11
#12
#13
#14
#15
#16
#17
#18
#19
#20
#21
Rien à voir mais est-ce légal d’afficher un signe d’appartenance religieuse dans son statut TWITTER ?
?
#22
#23
#24
#25
La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l’accès à ses comptes en ligne.
Et c’est Gad Elmaleh qui est venu les lui déposer en personne, avec les compliments de la maison " />
#26
#27
Donc au final qui a le dernier mot ? Le Conseil d’Etat ? Pas bien pigé si on peut ou pas conserver les IP des visiteurs… " />
#28
#29
En fait tout la complexité est de savoir si on peut imposer à d’autre société que les hébergeurs ou les FAI (imposer par la LCEN) de maintenir les logs pour 1 an à partir du moment ou il y a fourniture d’un accès internet au public.
Ce n’est pas la première jurisprudence qui considère que oui (confère arrêt L’affaire World Press Online c/ société BNP Paribas du 4 février 2005).
Cette jurisprudence n’est qu’une confirmation de ce qui avait déjà été dit.
L’intérêt pour tout entreprise de garder les logs est d’éviter de voir sa responsabilité engagé vis à vis de la sécurité de ses infrastructures. Garder les logs c’est s’assurer de participer à la recherche active des personnes ayant effectuer un acte délictuel.
D’une part l’entreprise montre qu’elle a mis en oeuvre des mécanismes pour prévenir les délits et d’autre part elle participe activement à aider les enquêteurs grâce à ces informations.
Si elle ne le fait pas l’entreprise risque d’engager sa responsabilité lorsque ses infrastructure ont participé à la réalisation d’un acte délictuel. Si on ne trouve pas le coupable, c’est sa responsabilité qui sera engager pour manque de sécurité.
Alors oui ça tord le cou à la LCEN initialement mais par prévention il vaut mieux le faire.
#30
#31
#32
#33
Que la banque conserve des logs, même si ce n’est pas imposé par la loi, c’est possible tant que ce n’est pas explicitement interdit.
Et c’est une sécurité pour éviter des fraudes, toujours possible. Quoi que mon compte, j’y accède neuf fois sur dix via le proxy de mon ministère…
" />" />" />" />" />
#34
#35
Qu’en je vois la Banque Postale utiliser Google analytics sur son site….." />
#36
#37
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52
A partir du moment ou c’est pour gérer ton fric, donc tes comptes bancaires , donc où c’est un site où le pseudonymat n’existe pas et ou on doit nécessairement avoir ton identité, conserver l’ip est même primordial..
Mais là on parle de la communication à la CLIENTE des logs d’iP. Que va elle en faire concrètement? " />
Les extraits de la loi cités parlent de la collecte des IP et leur conservation, alors que le problème posé dans cette news c’est la mise à la disposition d’une tierce personne de des IP….
Le titre de l’article est trompeur car la loi impose de conserver les IP un an non?
A partir du moment ou elle a la preuve des mouvements suspects, et en plus le fameux email, elle doit pouvoir porter plainte et a ce moment là c’est la police qui aura accès à l’IP des logs.
Pas elle.
Je n’aime pas les banques, ni les policiers de ma ville (je précise hein, je ne tape pas sur la profession) mais pour je ne comprend pas décision de communiquer les ip à la victime.
Bon, en meme temps, google le fait bien pour gmail..
#53
#54
#55
#56
Certains génèrent en effet des numéros aléatoirement. Sachant que seuls les 8 derniers chiffres le sont (les 8 premiers étant définis selon l’établissement qui a émis la carte), ça fait trop peu de combinaisons possibles pour écarter ce type de piratage.
#57
#58
#59
#60
Je me suis d’ailleurs fait la même remarque concernant l’adressage IP d’accès à un compte en ligne. Comment peut-on savoir aujourd’hui si une autre IP que la ou les siennes (si plusieurs PCs) ne se loggue pas sur notre compte.
J’ai un compte FDJ et j’avais reçu un email comme quoi mon compte avait été suspendu temporairement car trop de tentatives de mots de passe avaient été faites.
Je n’ai aucun moyen actuellement de savoir si mon mdp a été découvert sur FDJ et si qqn d’autre épie mon compte.
Seul Gmail permet de consulter les IPs de logs facilement à ce jour (à ma connaissance).
Alors que je voudrais que ma banque le fasse aussi par exemple.
#61
#62
#63
#64
Ce sont ses comptes => Si les données personnelles d’un autre s’y trouvent, cela peut indiquer qu’une fraude.
Il est mignon le guignol juridique de Free: On l’y verrait si c’est son grisbi qu’on tapait!
Il ne s’agit pas d’avoir les logs du voisin!
#65
#66
#67
#68
#69
Toute façon les banques… A part leur demander de prêter du pognon, on peut pas obtenir grand chose de plus…
#70
#71
#72
#73
#74
#75
Comment se fait-il que personne ne se demande comment il est possible qu’un collègue de son mari puisse accéder à son compte bancaire pour y faire un débit ?
Amant auquel elle aurait donné accès par procuration et qui aurait abusé ou mari qui …… ?
#76
De toutes manières, comme il s’est passé plus d’un an entre la constatation et le jugement, les données, n’étant conservées qu’un an, sont …… effacées " />
#77
#78
#79
#80
#81
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP
Acte 2 : pour le TGI de Paris, il faut loggerhttp://t.co/7JbzakJQ1J
— Alec ? Archambault (@AlexArchambault) 23 Juillet 2014
Un site web de banque n’est pas un “simple” site Web, l’usurpation d’identité et la fraude sont des raisons suffisantes pour journaliser les IP.
#82
#83
#84
#85
#86
#87
#88
#89
#90
#91
#92
#93
#94
#95
#96
#97
#98
#99
#100
en fait tu es un geek qui n’arrives pas a corréler les données et la vie publique ..
un patron qui informerait ses employées et clients qu’ils sont surveillés, il ferait mieux d’etre bien musclé. parce que sa prochaine étape c’est la prison..
#101
#102
#103
#104
#105
#106
Là où c’est grave c’est que les autres te connaissent mieux que tu te connais toi-même.
Il semble bien normal que l’on souhaite faire un audit de temps en temps sur sa propre activité.
10/ Connaître les individus mieux qu’ils ne se connaissent eux-mêmes
Au cours des 50 dernières années, les progrès fulgurants de la science ont creusé un fossé croissant entre les connaissances du public et celles détenues et utilisées par les élites dirigeantes. Grâce à la biologie, la neurobiologie, et la psychologie appliquée, le « système » est parvenu à une connaissance avancée de l’être humain, à la fois physiquement et psychologiquement. Le système en est arrivé à mieux connaître l’individu moyen que celui-ci ne se connaît lui-même. Cela signifie que dans la majorité des cas, le système détient un plus grand contrôle et un plus grand pouvoir sur les individus que les individus eux-mêmes.
[mode my life once upon a time] Je me souviens de l’époque à la fin des années 80 où la facturation détaillé était une option payante de PTT Télécommunications. Sauf qu’après souscription du service, le montant global de la facture était divisé comme par hasard par deux à l’échéance suivante. [/]