Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
Ce dispositif, bien qu’innovant, soulève des questions majeures en matière de protection des données personnelles. La CNIL rappelle que l’accès aux informations liées aux appels (existence et durée) constitue un traitement de données soumis au respect du RGPD. Il ne peut en aucun cas être admis l’écoute ou l’enregistrement des conversations.
🟠Pour être conforme, ce mécanisme doit reposer sur le consentement libre et éclairé de l’utilisateur. Celui-ci doit pouvoir refuser l’accès aux données liées aux appels téléphoniques sans que l’accès à l’application bancaire soit compromis, sauf pour certaines fonctionnalités jugées risquées. La collecte de ces données doit intervenir seulement lorsque l’utilisateur souhaite activer une fonctionnalité qui justifie de tenir compte de l’existence d’un appel pour évaluer le risque de fraude. La CNIL recommande que ces fonctionnalités restent accessibles par d’autres canaux, comme le site internet ou les agences physiques, même si l’utilisateur refuse l’accès aux données liées aux appels téléphoniques. Le consentement doit être recueilli de manière distincte des permissions techniques imposées par les systèmes d’exploitation mobiles, et les utilisateurs doivent pouvoir le retirer facilement, directement depuis l’application.
🟠 En outre, les banques doivent veiller à minimiser les données collectées, en se limitant aux éléments strictement nécessaires à l’évaluation du risque de fraude. Le risque de fraude peut s’apprécier par l’existence d’un appel et sa durée. Les banques ne doivent pas accéder à plus d’informations.
🟠 Enfin, la CNIL insiste sur la nécessité d’une information claire et transparente : les clients doivent être informés des conséquences de leur choix, des alternatives disponibles, et de leurs droits (opposition, rectification, retrait du consentement). Les données collectées ne peuvent être conservées que pour une durée de treize mois ou alors à une durée proportionnée à la finalité poursuivie.
🟠 Conclusion : Ce contrôle des appels en cours illustre les tensions entre innovation technologique et respect des libertés individuelles. Il appartient aux acteurs du secteur bancaire de concilier ces impératifs, en s’appuyant sur les recommandations de la CNIL pour garantir une sécurité efficace et respectueuse des droits des personnes.
Pour en savoir plus / sources : https://cnil.fr/fr/controle-appel-en-cours-utilisation-dune-application-bancaire-reglementation
|
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.