La banque Boursorama a été mise en demeure par la CNIL ! En effet, la banque demandait à ses clients leurs identifiants et mots de passe pour accéder à leurs comptes sur le site des impôts ! On vous en dit plus dans cet article.
Les faits
Afin d’accélérer le processus d’obtention d’un prêt à la consommation, Boursorama a introduit une démarche en juin 2022, permettant à ses clients n’ayant pas domicilié leurs revenus dans cette banque de lui fournir directement les informations de leur compte impôts.gouv.fr, notamment leur identifiant et leur mot de passe. Cette méthode visait à simplifier la collecte des données nécessaires en évitant la nécessité de vérifier l’authenticité des documents. Il est toutefois important de souligner que cette option demeurait facultative et était réalisée dans le cadre sécurisé du site Internet de la banque.
Quels manquements au RGPD ?
Même si la mise en demeure n’a pas été rendue publique, cette démarche constitue deux manquements évidents au RGPD.
Collecte excessive de données :
Demander les codes d’accès aux comptes impôts.gouv.fr des clients peut être considéré comme une collecte excessive de données, car cela va au-delà de ce qui est nécessaire pour fournir des services bancaires. Cela enfreint le principe de minimisation des données du RGPD, prévu à l’article 5.
Manquement à la sécurité des données
La demande de codes d’accès peut également être problématique du point de vue de la sécurité des données, car cela expose les clients à des risques de sécurité, tels que la divulgation non autorisée de leurs informations sensibles.
Ces manquements sont majeurs, d’autant plus que depuis France Connect, la connexion au site des impôts permet la connexion à divers comptes et accès à de nombreux services (santé, allocations, état civil, retraite, etc…), ce qui constitue une disproportionnalité et un risque de sécurité extrêmement élevés !
Une faute admise par Boursorama
Si la banque avançait que cette procédure était sécurisée, elle reconnaît le bien fondé de la mise en demeure, et annonce se conformer rapidement, afin d’éviter une sanction.
Certains organismes ne sont pas aussi conciliants, et font l’objet de lourdes sanctions par l’autorité de contrôle. Découvrez nos articles dédiés sur ce sujet ici : Sanction de 200 000 euros à SAF LOGISTICS : La CNIL épingle la collecte abusive de données personnelles, Prospection commerciale et droits des personnes : 600 000€ d’amende pour le groupe CANAL+.