Les banques tenues d’enregistrer les adresses IP
Banque de perm'
Le 25 juillet 2014 à 09h35
4 min
Droit
Droit
La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l'accès à ses comptes en ligne.
Une cliente de la LCL a victorieusement réclamé en justice la communication des logs de connexion de ses deux comptes en ligne depuis leur création. Pourquoi ? Le 31 juillet 2013, elle recevait de sa banque un email l’informant de situation débitrice. Curieusement, le mail était adressé à destination d’un certain Kamel S., collègue de son mari, le nom de la cliente n’apparaissant qu’en copie.
Craignant une fraude sur son compte, elle demande à sa banque le transfert des IP de connexion, histoire de vérifier s’il n’y a pas malversation. Cependant la banque lui a refusé de transmettre ces logs puisqu’ils sont ceux d’un tiers, non ses données personnelles. Selon la LCL, en effet, « les dispositions de la loi du 6 janvier 1978 n’ont pas vocation à s’appliquer. »
Le TGI de Paris n’a pas eu cette grille de lecture : « dans ses échanges en ligne avec ses clients, la société LCL est soumise » à ces dispositions, prévient le tribunal avant d’ajouter que la cliente dispose bien d’un droit d’accès à ses données à caractère personnel. « En sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles » explique le juge. Et « l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit » d’accès aux données personnelles. Dans son ordonnance de référé du 17 juillet 2014, relevée par Legalis.net, il enjoint donc la banque LCL de lui communiquer sous 8 jours l’historique des logs de connexion sur un an incluant donc les adresses IP.
Si le TGI considère que la banque doit donc loguer les données de connexion dans ses échanges avec ses clients, la CNIL estime pour sa part que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis. »
Du côté de la CNIL et du Conseil d'État
Or, comme l’a rappelé le Conseil d’État, ce cadre est composé en partie par l’article L. 34 - 1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Ajoutons également la loi Hadopi qui impose également un tel dispositif dans le cadre de la réponse graduée.
L’autre partie est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui impose aux FAI et aux hébergeurs « de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme ».
Le Conseil d’Etat avait justement reproché à la société Pages Jaunes de loguer ces données alors que le site « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. »
Une situation contrastée qui a fait quelque peu réagir Alexandre Archambault, celui qui à la ville est responsable des affaires réglementaires chez Iliad/Free.
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP Acte 2 : pour le TGI de Paris, il faut logger http://t.co/7JbzakJQ1J
— Alec ن Archambault (@AlexArchambault) 23 Juillet 2014
Les banques tenues d’enregistrer les adresses IP
-
Du côté de la CNIL et du Conseil d'État
Commentaires (106)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/07/2014 à 14h40
Le 25/07/2014 à 15h04
Le 25/07/2014 à 15h09
Ce sont ses comptes => Si les données personnelles d’un autre s’y trouvent, cela peut indiquer qu’une fraude.
Il est mignon le guignol juridique de Free: On l’y verrait si c’est son grisbi qu’on tapait!
Il ne s’agit pas d’avoir les logs du voisin!
Le 25/07/2014 à 15h22
Le 25/07/2014 à 15h22
Le 25/07/2014 à 15h39
Le 25/07/2014 à 16h01
Le 25/07/2014 à 16h35
Toute façon les banques… A part leur demander de prêter du pognon, on peut pas obtenir grand chose de plus…
Le 25/07/2014 à 16h40
Le 25/07/2014 à 17h42
Le 25/07/2014 à 20h13
Le 26/07/2014 à 02h12
Le 26/07/2014 à 08h42
Le 26/07/2014 à 08h43
Comment se fait-il que personne ne se demande comment il est possible qu’un collègue de son mari puisse accéder à son compte bancaire pour y faire un débit ?
Amant auquel elle aurait donné accès par procuration et qui aurait abusé ou mari qui …… ?
Le 26/07/2014 à 08h45
De toutes manières, comme il s’est passé plus d’un an entre la constatation et le jugement, les données, n’étant conservées qu’un an, sont …… effacées " />
Le 26/07/2014 à 08h56
Le 25/07/2014 à 11h55
Le 25/07/2014 à 12h28
Le 25/07/2014 à 12h32
Le 25/07/2014 à 12h45
Le 25/07/2014 à 12h48
Le 25/07/2014 à 12h53
Le 25/07/2014 à 13h25
A partir du moment ou c’est pour gérer ton fric, donc tes comptes bancaires , donc où c’est un site où le pseudonymat n’existe pas et ou on doit nécessairement avoir ton identité, conserver l’ip est même primordial..
Mais là on parle de la communication à la CLIENTE des logs d’iP. Que va elle en faire concrètement? " />
Les extraits de la loi cités parlent de la collecte des IP et leur conservation, alors que le problème posé dans cette news c’est la mise à la disposition d’une tierce personne de des IP….
Le titre de l’article est trompeur car la loi impose de conserver les IP un an non?
A partir du moment ou elle a la preuve des mouvements suspects, et en plus le fameux email, elle doit pouvoir porter plainte et a ce moment là c’est la police qui aura accès à l’IP des logs.
Pas elle.
Je n’aime pas les banques, ni les policiers de ma ville (je précise hein, je ne tape pas sur la profession) mais pour je ne comprend pas décision de communiquer les ip à la victime.
Bon, en meme temps, google le fait bien pour gmail..
Le 25/07/2014 à 13h33
Le 25/07/2014 à 13h36
Le 25/07/2014 à 13h37
Le 25/07/2014 à 13h46
Certains génèrent en effet des numéros aléatoirement. Sachant que seuls les 8 derniers chiffres le sont (les 8 premiers étant définis selon l’établissement qui a émis la carte), ça fait trop peu de combinaisons possibles pour écarter ce type de piratage.
Le 25/07/2014 à 13h48
Le 25/07/2014 à 13h54
Le 25/07/2014 à 14h01
Le 25/07/2014 à 14h15
Je me suis d’ailleurs fait la même remarque concernant l’adressage IP d’accès à un compte en ligne. Comment peut-on savoir aujourd’hui si une autre IP que la ou les siennes (si plusieurs PCs) ne se loggue pas sur notre compte.
J’ai un compte FDJ et j’avais reçu un email comme quoi mon compte avait été suspendu temporairement car trop de tentatives de mots de passe avaient été faites.
Je n’ai aucun moyen actuellement de savoir si mon mdp a été découvert sur FDJ et si qqn d’autre épie mon compte.
Seul Gmail permet de consulter les IPs de logs facilement à ce jour (à ma connaissance).
Alors que je voudrais que ma banque le fasse aussi par exemple.
Le 25/07/2014 à 14h18
Le 26/07/2014 à 12h33
Le 26/07/2014 à 14h07
Le 26/07/2014 à 14h10
Le 26/07/2014 à 14h25
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP
Acte 2 : pour le TGI de Paris, il faut loggerhttp://t.co/7JbzakJQ1J
— Alec ? Archambault (@AlexArchambault) 23 Juillet 2014
Un site web de banque n’est pas un “simple” site Web, l’usurpation d’identité et la fraude sont des raisons suffisantes pour journaliser les IP.
Le 26/07/2014 à 14h30
Le 26/07/2014 à 14h30
Le 26/07/2014 à 14h40
Le 26/07/2014 à 15h12
Le 26/07/2014 à 15h14
Le 26/07/2014 à 15h16
Le 26/07/2014 à 15h20
Le 26/07/2014 à 15h25
Le 26/07/2014 à 15h28
Le 26/07/2014 à 15h33
Le 26/07/2014 à 15h37
Le 26/07/2014 à 15h39
Le 25/07/2014 à 09h57
Le 25/07/2014 à 09h57
Le 25/07/2014 à 09h58
Le 25/07/2014 à 09h58
Le 25/07/2014 à 09h59
Le 25/07/2014 à 09h59
Le 25/07/2014 à 10h00
Le 25/07/2014 à 10h00
Rien à voir mais est-ce légal d’afficher un signe d’appartenance religieuse dans son statut TWITTER ?
?
Le 25/07/2014 à 10h01
Le 25/07/2014 à 10h02
Le 25/07/2014 à 10h02
Le 25/07/2014 à 10h03
La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l’accès à ses comptes en ligne.
Et c’est Gad Elmaleh qui est venu les lui déposer en personne, avec les compliments de la maison " />
Le 25/07/2014 à 10h03
Le 25/07/2014 à 10h03
Donc au final qui a le dernier mot ? Le Conseil d’Etat ? Pas bien pigé si on peut ou pas conserver les IP des visiteurs… " />
Le 25/07/2014 à 10h05
Le 25/07/2014 à 10h05
En fait tout la complexité est de savoir si on peut imposer à d’autre société que les hébergeurs ou les FAI (imposer par la LCEN) de maintenir les logs pour 1 an à partir du moment ou il y a fourniture d’un accès internet au public.
Ce n’est pas la première jurisprudence qui considère que oui (confère arrêt L’affaire World Press Online c/ société BNP Paribas du 4 février 2005).
Cette jurisprudence n’est qu’une confirmation de ce qui avait déjà été dit.
L’intérêt pour tout entreprise de garder les logs est d’éviter de voir sa responsabilité engagé vis à vis de la sécurité de ses infrastructures. Garder les logs c’est s’assurer de participer à la recherche active des personnes ayant effectuer un acte délictuel.
D’une part l’entreprise montre qu’elle a mis en oeuvre des mécanismes pour prévenir les délits et d’autre part elle participe activement à aider les enquêteurs grâce à ces informations.
Si elle ne le fait pas l’entreprise risque d’engager sa responsabilité lorsque ses infrastructure ont participé à la réalisation d’un acte délictuel. Si on ne trouve pas le coupable, c’est sa responsabilité qui sera engager pour manque de sécurité.
Alors oui ça tord le cou à la LCEN initialement mais par prévention il vaut mieux le faire.
Le 26/07/2014 à 15h48
Le 26/07/2014 à 16h10
Le 26/07/2014 à 16h24
Le 26/07/2014 à 16h39
Le 26/07/2014 à 16h46
Le 26/07/2014 à 17h10
Le 26/07/2014 à 17h16
en fait tu es un geek qui n’arrives pas a corréler les données et la vie publique ..
un patron qui informerait ses employées et clients qu’ils sont surveillés, il ferait mieux d’etre bien musclé. parce que sa prochaine étape c’est la prison..
Le 26/07/2014 à 17h44
Le 26/07/2014 à 19h45
Le 27/07/2014 à 08h05
Le 27/07/2014 à 13h46
Le 27/07/2014 à 13h52
Le 29/07/2014 à 08h38
Là où c’est grave c’est que les autres te connaissent mieux que tu te connais toi-même.
Il semble bien normal que l’on souhaite faire un audit de temps en temps sur sa propre activité.
10/ Connaître les individus mieux qu’ils ne se connaissent eux-mêmes
Au cours des 50 dernières années, les progrès fulgurants de la science ont creusé un fossé croissant entre les connaissances du public et celles détenues et utilisées par les élites dirigeantes. Grâce à la biologie, la neurobiologie, et la psychologie appliquée, le « système » est parvenu à une connaissance avancée de l’être humain, à la fois physiquement et psychologiquement. Le système en est arrivé à mieux connaître l’individu moyen que celui-ci ne se connaît lui-même. Cela signifie que dans la majorité des cas, le système détient un plus grand contrôle et un plus grand pouvoir sur les individus que les individus eux-mêmes.
[mode my life once upon a time] Je me souviens de l’époque à la fin des années 80 où la facturation détaillé était une option payante de PTT Télécommunications. Sauf qu’après souscription du service, le montant global de la facture était divisé comme par hasard par deux à l’échéance suivante. [/]
Le 25/07/2014 à 09h42
Enfin une banque c’est pas n’importe quel site web.
Si ça défrise la CNIL qu’elle permette sous condition aux banques de le faire. Je veux dire personne n’a de log sur ses serveurs ? J’ai du mal à le croire.
Google nous permet de savoir depuis quelles IP on s’est connecté avec Gmail et envoie même des mails d’alerte, voire bloque le compte automatiquement si subitement on se connecte depuis l’argentine (vécu)…
Qu’en pense la CNIL ?
Le 25/07/2014 à 09h43
Reste a savoir si la banque a conservé ou non les données…
Le 25/07/2014 à 09h46
Ça nous dit pas si elle a réussi à chopper une éventuelle fraude sur son compte en banque. :/
Le 25/07/2014 à 09h46
Kamel S.
J’en connais qui ce feront une joie de faire un amalgame a deux balles tres rapidement " />
Acte 1 : pour la CNIL, un site Web ne doit pas logger les adresses IP Acte 2 : pour le TGI de Paris, il faut logger
Ouai, enfin que google, facebook le fasse, ce n’est effectivement peut etre pas necessaire, mais la banque detient des donnees pourl e coup assez sensible qui peuvent te ruiner donc t’es bien comptant d’avoir ce genre de log pour prouver ta bonne foi ce qui n’est pas forcement chose aisee face a unebanque, vecu donc je sais de quoi je parle
Le 25/07/2014 à 09h47
Le 25/07/2014 à 09h48
Entre la CNIL et le TGI, il semblerait que l’on ne soit pas logguer à la même enseigne " />
Le 25/07/2014 à 09h50
Ayons une pensée pour l’admin qui va se faire déchirer si ces données sont pas conservées un an…" />
Du moment qu’il y ait des comptes perso, ca ne me choque pas qu’il y ait log… " />
Le 25/07/2014 à 09h50
Le 25/07/2014 à 09h50
Tel que je le comprends, ce n’est pas le fait d’enregistrer ou non les adresses IP dont il est question, mais le fait de ne pas avoir voulu les communiquer au client.
En refusant de communiquer le log, la banque a reconnu enregistrer les adresses IP, alors que si la banque avait indiqué ne pas enregistrer ces adresses, il n’y aurait pas eu de débat !
Le 25/07/2014 à 09h52
Le 25/07/2014 à 09h53
Le 25/07/2014 à 09h54
Le 25/07/2014 à 09h56
Le 25/07/2014 à 10h06
Le 25/07/2014 à 10h09
Le 25/07/2014 à 10h14
Le 25/07/2014 à 10h21
Que la banque conserve des logs, même si ce n’est pas imposé par la loi, c’est possible tant que ce n’est pas explicitement interdit.
Et c’est une sécurité pour éviter des fraudes, toujours possible. Quoi que mon compte, j’y accède neuf fois sur dix via le proxy de mon ministère…
" />" />" />" />" />
Le 25/07/2014 à 10h47
Le 25/07/2014 à 10h50
Qu’en je vois la Banque Postale utiliser Google analytics sur son site….." />
Le 25/07/2014 à 10h50
Le 25/07/2014 à 10h56
Le 25/07/2014 à 11h13
Le 25/07/2014 à 11h32
Le 25/07/2014 à 11h34
Le 25/07/2014 à 11h35
Le 25/07/2014 à 11h38
Le 25/07/2014 à 11h41
Le 25/07/2014 à 11h44
Le 25/07/2014 à 11h45