Adresse IP : donnée à caractère personnel?
Le TGI de Paris a rendu cet été, en référé, une ordonnance intéressante.
Le litige qui lui était soumis opposait une banque à l’une de ses clientes, qui reprochait à l’établissement une intrusion frauduleuse dans ses comptes bancaires en ligne. Pour en avoir le coeur net, la cliente réclamait la communication par la banque des logs de connexion auxdits comptes, sur le fondement du droit d’accès reconnu par la loi Informatique et Libertés en son article 39. La banque refusait de communiquer les adresses IP réclamées en considérant qu’elles ne constituaient pas une donnée à caractère personnel, sur la base de la jurisprudence rendue en ce sens par la Cour d’appel de Paris en 2007 qui avait estimé que « cette série de chiffre ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur ».
Le TGI de Paris se garde bien de répondre frontalement à la question de savoir si les adresses IP dont la communication était demandée doivent être considérées comme des données à caractère personnel au sens de la loi du 6 janvier 1978 mais fait droit, en référé, à la demande de la cliente en estimant que « Mme M. interroge sa banque sur l’accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles » et assortit sa décision d’une astreinte.