Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
Ce dispositif, bien qu’innovant, soulève des questions majeures en matière de protection des données personnelles. La CNIL rappelle que l’accès aux informations liées aux appels (existence et durée) constitue un traitement de données soumis au respect du RGPD. Il ne peut en aucun cas être admis l’écoute ou l’enregistrement des conversations.
🟠Pour être conforme, ce mécanisme doit reposer sur le consentement libre et éclairé de l’utilisateur. Celui-ci doit pouvoir refuser l’accès aux données liées aux appels téléphoniques sans que l’accès à l’application bancaire soit compromis, sauf pour certaines fonctionnalités jugées risquées. La collecte de ces données doit intervenir seulement lorsque l’utilisateur souhaite activer une fonctionnalité qui justifie de tenir compte de l’existence d’un appel pour évaluer le risque de fraude. La CNIL recommande que ces fonctionnalités restent accessibles par d’autres canaux, comme le site internet ou les agences physiques, même si l’utilisateur refuse l’accès aux données liées aux appels téléphoniques. Le consentement doit être recueilli de manière distincte des permissions techniques imposées par les systèmes d’exploitation mobiles, et les utilisateurs doivent pouvoir le retirer facilement, directement depuis l’application.
🟠 En outre, les banques doivent veiller à minimiser les données collectées, en se limitant aux éléments strictement nécessaires à l’évaluation du risque de fraude. Le risque de fraude peut s’apprécier par l’existence d’un appel et sa durée. Les banques ne doivent pas accéder à plus d’informations.
🟠 Enfin, la CNIL insiste sur la nécessité d’une information claire et transparente : les clients doivent être informés des conséquences de leur choix, des alternatives disponibles, et de leurs droits (opposition, rectification, retrait du consentement). Les données collectées ne peuvent être conservées que pour une durée de treize mois ou alors à une durée proportionnée à la finalité poursuivie.
🟠 Conclusion : Ce contrôle des appels en cours illustre les tensions entre innovation technologique et respect des libertés individuelles. Il appartient aux acteurs du secteur bancaire de concilier ces impératifs, en s’appuyant sur les recommandations de la CNIL pour garantir une sécurité efficace et respectueuse des droits des personnes.
Pour en savoir plus / sources : https://cnil.fr/fr/controle-appel-en-cours-utilisation-dune-application-bancaire-reglementation
|
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.