Les Secrets de Saint Pierre

Les banques tenues d'enregistrer les adresses IP
Banque de perm'
Next Inpact du 25 juillet 2014

La banque LCL a été tenue par la justice à fournir à une cliente, les données de connexion de ses comptes bancaires. Celle-ci soupçonnait en effet une possible fraude dans l'accès à ses comptes en ligne.

Une cliente de la LCL a victorieusement réclamé en justice la communication des logs de connexion de ses deux comptes en ligne depuis leur création. Pourquoi ? Le 31 juillet 2013, elle recevait de sa banque un email l’informant de situation débitrice. Curieusement, le mail était adressé à destination d’un certain Kamel S., collègue de son mari, le nom de la cliente n’apparaissant qu’en copie.

Craignant une fraude sur son compte, elle demande à sa banque le transfert des IP de connexion, histoire de vérifier s’il n’y a pas malversation. Cependant la banque lui a refusé de transmettre ces logs puisqu’ils sont ceux d’un tiers, non ses données personnelles. Selon la LCL, en effet, « les dispositions de la loi du 6 janvier 1978 n’ont pas vocation à s’appliquer. »

Le TGI de Paris n’a pas eu cette grille de lecture : « dans ses échanges en ligne avec ses clients, la société LCL est soumise » à ces dispositions, prévient le tribunal avant d’ajouter que la cliente dispose bien d’un droit d’accès à ses données à caractère personnel. « En sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles » explique le juge. Et « l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit » d’accès aux données personnelles.

Dans son ordonnance de référé du 17 juillet 2014, relevée par Legalis.net, il enjoint donc la banque LCL de lui communiquer sous 8 jours l’historique des logs de connexion sur un an incluant donc les adresses IP.

Si le TGI considère que la banque doit donc loguer les données de connexion dans ses échanges avec ses clients, la CNIL estime pour sa part que « la collecte et la conservation de l’adresse IP ne sont aujourd’hui requises que dans des cadres légaux strictement définis. »

Du côté de la CNIL et du Conseil d'État
Or, comme l’a rappelé le Conseil d’État, ce cadre est composé en partie par l’article L. 34-1 du CPCE qui « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Ajoutons également la loi Hadopi qui impose également un tel dispositif dans le cadre de la réponse graduée.

L’autre partie est la loi 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) qui impose aux FAI et aux hébergeurs « de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme ».

Le Conseil d’Etat avait justement reproché à la société Pages Jaunes de loguer ces données alors que le site « n’est ni opérateur de communications électroniques, ni fournisseur d'hébergement ou fournisseur d'accès à internet. »

Une situation contrastée qui a fait quelque peu réagir Alexandre Archambault, celui qui à la ville est responsable des affaires réglementaires chez Iliad/Free.

Skype veut aussi utiliser le numéro de téléphone de vos amis pour les ajouter
Je ne suis pas un numéro, JE SUIS UN HOMME LIBRE !
Next Inpact du 24 juillet 2014
David Legrand

Depuis l'apparition d'applications mobiles telles que WhatsApp et Viber, le numéro de téléphone mobile est devenu un élément de plus en plus utilisé pour trouver et ajouter vos amis dans les solutions de messagerie. Ainsi, après Facebook Messenger, c'est Skype qui va s'y mettre avec l'arrivée de sa version 5.0 pour Android.

Historiquement, pour ajouter des amis au sein des solutions de messagerie instantanée, il fallait leur faire une demande depuis leur pseudo, ou leur adresse email. Des éléments qui, en plus de pouvoir être créés et modifiés facilement, avaient l'avantage de ne pas être forcément rattachés à un appareil propre et à une identité précise. Mais avec le succès d'outils comme WhatsApp ou Viber qui utilisent le numéro de téléphone mobile comme point central de leur fonctionnement, cette période est sans doute révolue.

Ce qui n'est pas sans contraintes, puisque ces deux outils (surtout WhatsApp) ne s'adaptent pas vraiment à l'utilisation de plusieurs appareils. Et s'il est possible de connecter Viber à un ordinateur de bureau en complément d'un appareil mobile, il n'en sera pas de même avec plusieurs smartphones/tablettes.


Récemment, Facebook Messenger a lui aussi sauté le pas. Vous êtes ainsi fortement incité à partager votre numéro de mobile principal, permettant ainsi à ceux qui vous ont dans leur carnet d'adresse de vous contacter directement. Le plus « marrant » dans cette fonctionnalité est que si vous avez encore l'ancien numéro de certains contacts qui ont changé depuis, vous voyez apparaitre le nouveau propriétaire dans votre liste d'amis sans vraiment en comprendre la raison. Ce qui questionne également sur l'importance que prend une information comme votre numéro de téléphone mobile, car elle permet désormais de vous relier à un nombre croissant de comptes en ligne, et donc à votre identité comme nous l'évoquions précédemment.

Mais malgré cela, cette capacité à créer des liens supplémentaires à travers les carnets d'adresses et les numéros de téléphone mobile est trop tentante pour les géants du web. Ainsi, c'est aujourd'hui au tour de Skype de s'y mettre, avec la version 5.0 de son application pour Android. Pour Microsoft, il s'agit bien entendu de vous rendre service, sans vous forcer la main.

Il est donc indiqué que « dans les prochaines semaines, vous pourrez connecter Skype au carnet d'adresses de votre téléphone. Il suffira de valider votre numéro de téléphone lorsque vous y serez invité(e) pour faire apparaître vos amis dans vos contacts Skype. Pour mieux protéger votre confidentialité, vous pouvez facilement indiquer si vous souhaitez que nous continuions à rechercher vos amis et leur permettre de vous trouver à partir de vos paramètres. » Rien n'est obligatoire donc... pour le moment. L'expérience de Facebook Messenger nous a montré que même si rien n'est obligatoire, une incitation forte peut être mise en place afin de s'assurer qu'un maximum d'utilisateurs sautera le pas. Il sera intéressant de voir l'évolution de la position de Microsoft sur ce point.