Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
Ce dispositif, bien qu’innovant, soulève des questions majeures en matière de protection des données personnelles. La CNIL rappelle que l’accès aux informations liées aux appels (existence et durée) constitue un traitement de données soumis au respect du RGPD. Il ne peut en aucun cas être admis l’écoute ou l’enregistrement des conversations.
🟠Pour être conforme, ce mécanisme doit reposer sur le consentement libre et éclairé de l’utilisateur. Celui-ci doit pouvoir refuser l’accès aux données liées aux appels téléphoniques sans que l’accès à l’application bancaire soit compromis, sauf pour certaines fonctionnalités jugées risquées. La collecte de ces données doit intervenir seulement lorsque l’utilisateur souhaite activer une fonctionnalité qui justifie de tenir compte de l’existence d’un appel pour évaluer le risque de fraude. La CNIL recommande que ces fonctionnalités restent accessibles par d’autres canaux, comme le site internet ou les agences physiques, même si l’utilisateur refuse l’accès aux données liées aux appels téléphoniques. Le consentement doit être recueilli de manière distincte des permissions techniques imposées par les systèmes d’exploitation mobiles, et les utilisateurs doivent pouvoir le retirer facilement, directement depuis l’application.
🟠 En outre, les banques doivent veiller à minimiser les données collectées, en se limitant aux éléments strictement nécessaires à l’évaluation du risque de fraude. Le risque de fraude peut s’apprécier par l’existence d’un appel et sa durée. Les banques ne doivent pas accéder à plus d’informations.
🟠 Enfin, la CNIL insiste sur la nécessité d’une information claire et transparente : les clients doivent être informés des conséquences de leur choix, des alternatives disponibles, et de leurs droits (opposition, rectification, retrait du consentement). Les données collectées ne peuvent être conservées que pour une durée de treize mois ou alors à une durée proportionnée à la finalité poursuivie.
🟠 Conclusion : Ce contrôle des appels en cours illustre les tensions entre innovation technologique et respect des libertés individuelles. Il appartient aux acteurs du secteur bancaire de concilier ces impératifs, en s’appuyant sur les recommandations de la CNIL pour garantir une sécurité efficace et respectueuse des droits des personnes.
Pour en savoir plus / sources : https://cnil.fr/fr/controle-appel-en-cours-utilisation-dune-application-bancaire-reglementation
|
Cour d’appel de Paris, 26 septembre 2025 (n° 24/17222)- La cour d’appel de Paris a récemment jugé que la désactivation d’un compte Instagram pour violation des conditions d’utilisation de la plateforme ne constituait pas, en l’espèce, une atteinte disproportionnée à la liberté d’expression de son titulaire.
La Cour de cassation, dans un arrêt du 13 janvier 2026, apporte une clarification importante sur le champ d’application des infractions pénales relatives aux données personnelles, prévues aux articles 226-21 et 226-22 du Code pénal. La décision rappelle que ces deux textes ne visent pas les mêmes types de traitements.
Alors que le règlement européen sur l’intelligence artificielle n’est pas encore pleinement entré en application, la Commission européenne a présenté une proposition de modification destinée à en faciliter la mise en œuvre. Inscrite dans un ensemble plus large de mesures dites « omnibus », cette initiative vise à répondre aux inquiétudes exprimées par les acteurs du numérique. Elle soulève toutefois une question centrale : s’agit-il d’une simplification technique ou d’une inflexion plus profonde des ambitions initiales du texte ?
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.