Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
Ce dispositif, bien qu’innovant, soulève des questions majeures en matière de protection des données personnelles. La CNIL rappelle que l’accès aux informations liées aux appels (existence et durée) constitue un traitement de données soumis au respect du RGPD. Il ne peut en aucun cas être admis l’écoute ou l’enregistrement des conversations.
🟠Pour être conforme, ce mécanisme doit reposer sur le consentement libre et éclairé de l’utilisateur. Celui-ci doit pouvoir refuser l’accès aux données liées aux appels téléphoniques sans que l’accès à l’application bancaire soit compromis, sauf pour certaines fonctionnalités jugées risquées. La collecte de ces données doit intervenir seulement lorsque l’utilisateur souhaite activer une fonctionnalité qui justifie de tenir compte de l’existence d’un appel pour évaluer le risque de fraude. La CNIL recommande que ces fonctionnalités restent accessibles par d’autres canaux, comme le site internet ou les agences physiques, même si l’utilisateur refuse l’accès aux données liées aux appels téléphoniques. Le consentement doit être recueilli de manière distincte des permissions techniques imposées par les systèmes d’exploitation mobiles, et les utilisateurs doivent pouvoir le retirer facilement, directement depuis l’application.
🟠 En outre, les banques doivent veiller à minimiser les données collectées, en se limitant aux éléments strictement nécessaires à l’évaluation du risque de fraude. Le risque de fraude peut s’apprécier par l’existence d’un appel et sa durée. Les banques ne doivent pas accéder à plus d’informations.
🟠 Enfin, la CNIL insiste sur la nécessité d’une information claire et transparente : les clients doivent être informés des conséquences de leur choix, des alternatives disponibles, et de leurs droits (opposition, rectification, retrait du consentement). Les données collectées ne peuvent être conservées que pour une durée de treize mois ou alors à une durée proportionnée à la finalité poursuivie.
🟠 Conclusion : Ce contrôle des appels en cours illustre les tensions entre innovation technologique et respect des libertés individuelles. Il appartient aux acteurs du secteur bancaire de concilier ces impératifs, en s’appuyant sur les recommandations de la CNIL pour garantir une sécurité efficace et respectueuse des droits des personnes.
Pour en savoir plus / sources : https://cnil.fr/fr/controle-appel-en-cours-utilisation-dune-application-bancaire-reglementation
|
Un an après avoir lancé une ambitieuse stratégie de démocratisation de l’intelligence artificielle (IA), le Barreau de Paris franchit une nouvelle étape décisive avec la publication de son premier Livre blanc dédié à cette technologie. Ce document, pensé comme un outil d’accompagnement pour les avocats, marque une volonté claire : intégrer l’IA dans la pratique juridique tout en respectant les exigences déontologiques et réglementaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.