Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les banques tenues d'enregistrer les adresses IP

Banque de perm'
Droit 3 min
Les banques tenues d'enregistrer les adresses IP
Crédits : Sergey Nivens/iStock/Thinkstock

La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l'accès à ses comptes en ligne.

 http internet

 

Une cliente de la LCL a victorieusement réclamé en justice la communication des logs de connexion de ses deux comptes en ligne depuis leur création. Pourquoi ? Le 31 juillet 2013, elle recevait de sa banque un email l’informant de situation débitrice. Curieusement, le mail était adressé à destination d’un certain Kamel S., collègue de son mari, le nom de la cliente n’apparaissant qu’en copie.

 

Craignant une fraude sur son compte, elle demande à sa banque le transfert des IP de connexion, histoire de vérifier s’il n’y a pas malversation. Cependant la banque lui a refusé de transmettre ces logs puisqu’ils sont ceux d’un tiers, non ses données personnelles. Selon la LCL, en effet, « les dispositions de la loi du 6 janvier 1978 n’ont pas vocation à s’appliquer. »

 

Le TGI de Paris n’a pas eu cette grille de lecture : « dans ses échanges en ligne avec ses clients, la société LCL est soumise » à ces dispositions, prévient le tribunal avant d’ajouter que la cliente dispose bien d’un droit d’accès à ses données à caractère personnel. « En sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles » explique le juge. Et « l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit » d’accès aux données personnelles. Dans son ordonnance de référé du 17 juillet 2014, relevée par Legalis.net, il enjoint donc la banque LCL de lui communiquer sous 8 jours l’historique des logs de connexion sur un an incluant donc les adresses IP.

 

Si le TGI considère que la banque doit donc loguer les données de connexion dans ses échanges avec ses clients, la CNIL estime pour sa part que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis. »

Du côté de la CNIL et du Conseil d'État

Or, comme l’a rappelé le Conseil d’État, ce cadre est composé en partie par l’article L. 34-1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ».  Ajoutons également la loi Hadopi qui impose également un tel dispositif dans le cadre de la réponse graduée. 

 

L’autre partie est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui impose aux FAI et aux hébergeurs « de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme ». 

 

Le Conseil d’Etat avait justement reproché à la société Pages Jaunes de loguer ces données alors que le site « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. »

 

Une situation contrastée qui a fait quelque peu réagir Alexandre Archambault, celui qui à la ville est responsable des affaires réglementaires chez Iliad/Free.

106 commentaires
Avatar de Hipparchia Abonné
Avatar de HipparchiaHipparchia- 25/07/14 à 09:42:36

Enfin une banque c'est pas n'importe quel site web.
Si ça défrise la CNIL qu'elle permette sous condition aux banques de le faire. Je veux dire personne n'a de log sur ses serveurs ? J'ai du mal à le croire.
Google nous permet de savoir depuis quelles IP on s'est connecté avec Gmail et envoie même des mails d'alerte, voire bloque le compte automatiquement si subitement on se connecte depuis l'argentine (vécu)...
Qu'en pense la CNIL ?

Avatar de L3 G33K INpactien
Avatar de L3 G33KL3 G33K- 25/07/14 à 09:43:24

Reste a savoir si la banque a conservé ou non les données...

Avatar de Candl3 INpactien
Avatar de Candl3Candl3- 25/07/14 à 09:46:35

Ça nous dit pas si elle a réussi à chopper une éventuelle fraude sur son compte en banque. :/

Avatar de Lafisk INpactien
Avatar de LafiskLafisk- 25/07/14 à 09:46:37

Kamel S.

J'en connais qui ce feront une joie de faire un amalgame a deux balles tres rapidement :transpi:

Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP Acte 2 : pour le TGI de Paris, il faut logger

Ouai, enfin que google, facebook le fasse, ce n'est effectivement peut etre pas necessaire, mais la banque detient des donnees pourl e coup assez sensible qui peuvent te ruiner donc t'es bien comptant d'avoir ce genre de log pour prouver ta bonne foi ce qui n'est pas forcement chose aisee face a unebanque, vecu donc je sais de quoi je parle

Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

Candl3 a écrit :

Ça nous dit pas si elle a réussi à chopper une éventuelle fraude sur son compte en banque. :/

c'est pas le but de l'article non plus.

Avatar de Malekal_morte INpactien
Avatar de Malekal_morteMalekal_morte- 25/07/14 à 09:48:55

Entre la CNIL et le TGI, il semblerait que l'on ne soit pas logguer à la même enseigne :francais:

Avatar de Sir-Alucard INpactien
Avatar de Sir-AlucardSir-Alucard- 25/07/14 à 09:50:10

Ayons une pensée pour l'admin qui va se faire déchirer si ces données sont pas conservées un an...:chinois:

Du moment qu'il y ait des comptes perso, ca ne me choque pas qu'il y ait log... :fumer:

Édité par Sir-Alucard le 25/07/2014 à 09:50
Avatar de Candl3 INpactien
Avatar de Candl3Candl3- 25/07/14 à 09:50:13

boglob a écrit :

c'est pas le but de l'article non plus.

Je te remercie pour ton intervention. ;)

Avatar de Tophe Abonné
Avatar de TopheTophe- 25/07/14 à 09:50:16

Tel que je le comprends, ce n'est pas le fait d'enregistrer ou non les adresses IP dont il est question, mais le fait de ne pas avoir voulu les communiquer au client.

En refusant de communiquer le log, la banque a reconnu enregistrer les adresses IP, alors que si la banque avait indiqué ne pas enregistrer ces adresses, il n'y aurait pas eu de débat !

Avatar de fraoch INpactien
Avatar de fraochfraoch- 25/07/14 à 09:52:26

Lafisk a écrit :

J'en connais qui ce feront une joie de faire un amalgame a deux balles tres rapidement :transpi:

?

Il n'est plus possible de commenter cette actualité.
Page 1 / 11