Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
Ce dispositif, bien qu’innovant, soulève des questions majeures en matière de protection des données personnelles. La CNIL rappelle que l’accès aux informations liées aux appels (existence et durée) constitue un traitement de données soumis au respect du RGPD. Il ne peut en aucun cas être admis l’écoute ou l’enregistrement des conversations.
🟠Pour être conforme, ce mécanisme doit reposer sur le consentement libre et éclairé de l’utilisateur. Celui-ci doit pouvoir refuser l’accès aux données liées aux appels téléphoniques sans que l’accès à l’application bancaire soit compromis, sauf pour certaines fonctionnalités jugées risquées. La collecte de ces données doit intervenir seulement lorsque l’utilisateur souhaite activer une fonctionnalité qui justifie de tenir compte de l’existence d’un appel pour évaluer le risque de fraude. La CNIL recommande que ces fonctionnalités restent accessibles par d’autres canaux, comme le site internet ou les agences physiques, même si l’utilisateur refuse l’accès aux données liées aux appels téléphoniques. Le consentement doit être recueilli de manière distincte des permissions techniques imposées par les systèmes d’exploitation mobiles, et les utilisateurs doivent pouvoir le retirer facilement, directement depuis l’application.
🟠 En outre, les banques doivent veiller à minimiser les données collectées, en se limitant aux éléments strictement nécessaires à l’évaluation du risque de fraude. Le risque de fraude peut s’apprécier par l’existence d’un appel et sa durée. Les banques ne doivent pas accéder à plus d’informations.
🟠 Enfin, la CNIL insiste sur la nécessité d’une information claire et transparente : les clients doivent être informés des conséquences de leur choix, des alternatives disponibles, et de leurs droits (opposition, rectification, retrait du consentement). Les données collectées ne peuvent être conservées que pour une durée de treize mois ou alors à une durée proportionnée à la finalité poursuivie.
🟠 Conclusion : Ce contrôle des appels en cours illustre les tensions entre innovation technologique et respect des libertés individuelles. Il appartient aux acteurs du secteur bancaire de concilier ces impératifs, en s’appuyant sur les recommandations de la CNIL pour garantir une sécurité efficace et respectueuse des droits des personnes.
Pour en savoir plus / sources : https://cnil.fr/fr/controle-appel-en-cours-utilisation-dune-application-bancaire-reglementation
|
Un arrêt de la cour d’appel de Nancy du 2 juillet 2025 (n° 23/01546) marque un tournant : le RGPD ne concerne plus seulement la “vie privée numérique”. Il s’invite désormais dans les procédures collectives et, plus largement, dans le droit économique, en requalifiant certaines informations financières en données personnelles.
Le Comité européen de la protection des données (CEPD) a récemment tenu une réunion importante, les 2 et 3 décembre 2025, pour discuter de l’avenir du cadre juridique européen en matière de protection des données. À l’ordre du jour figuraient l’adoption de nouvelles lignes directrices sur la création de comptes en ligne ainsi que des bonnes pratiques sur son fonctionnement.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé une sanction de 1,5 million d’euros contre American Express Carte France. Cette décision illustre la vigilance accrue de l’autorité française en matière de protection des données personnelles et de respect du cadre légal sur les traceurs numériques.
La Commission nationale de l’informatique et des libertés (CNIL) poursuit son action de contrôle sur le respect des droits numériques des citoyens. Le 20 novembre 2025, elle a infligé une amende de 750 000 euros à la société Les Publications Condé Nast, éditrice du magazine Vanity Fair en France, pour non-conformité aux règles relatives aux cookies. Cette décision illustre la vigilance accrue de l’autorité française face aux pratiques en ligne qui menacent la transparence et la protection des données personnelles.