Fraude bancaire : vérification des appels téléphoniques

Lutte contre la fraude : une banque peut-elle vérifier si son client est au téléphone pendant qu’il réalise une opération bancaire ?

Introduction

Les banques ont développé des applications qui peuvent vérifier si leurs clients sont au téléphone au moment où ils réalisent, sur cette application, une opération bancaire et ce, afin de détecter s’ils sont potentiellement sous l’influence d’un fraudeur. Est-ce licite ? La CNIL rappelle les règles à respecter.

Accès aux informations liées aux appels téléphoniques

Les applications dont il est question permettent de collecter des informations liées aux appels téléphoniques des clients, afin de détecter si ces derniers sont au téléphone au moment même où ils passent une opération via leur application. Il convient de relever que la collecte de telles informations implique un accès à des données stockées sur le terminal mobile des clients.

« Ces informations, combinées à d’autres signaux de vigilance (montant de l’opération, ajout d’un nouveau bénéficiaire, virement vers un pays à risque ou activité inhabituelle), permettent à la banque de calculer un score de risque en temps réel », explique la CNIL. Ainsi, si le score dépasse un certain seuil, la banque peut être amenée à bloquer l’opération en cours en vue de prévenir une éventuelle fraude, « notamment dans les cas où la victime agirait sous l’influence d’une personne malveillante / un fraudeur au téléphone », souligne l’autorité de contrôle.

L’exigence du consentement

La CNIL explique que puisque la collecte des informations liées aux appels téléphoniques implique un accès à des données stockées sur le terminal mobile des clients, il y a lieu de faire application des dispositions de l’article 82 de la loi Informatique et Libertés concernant les traceurs. Le consentement des clients est donc nécessaire puisque l’accès aux données n’est pas strictement nécessaire à la fourniture du service demandé par les utilisateurs. « Une fois le consentement recueilli pour l’accès aux données, précise la CNIL, l’intérêt légitime peut fonder le traitement des données à des fins de lutte contre la fraude (…) ». La CNIL attire l’attention des banques sur le fait que, bien entendu, les autres principes et dispositions du RGPD doivent être respectées par les banques, tels que le principe de minimisation, le principe de transparence et le droit au retrait du consentement.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Assurez-vous d'obtenir le consentement explicite des clients avant de collecter des données téléphoniques.

- Mettez en place des mécanismes pour permettre aux clients de retirer leur consentement facilement.

- Respectez les principes de minimisation et de transparence dans le traitement des données.

- Évaluez régulièrement l'efficacité et la légalité de vos pratiques de collecte de données.