La CNIL grille les Services d’agrégation de comptes bancaires

Documentation Si vous voulez une documentation gratuite et sans engagement de Boursorama, cliquez ici !

La Commission nationale Informatiques et Libertés (CNIL) alerte contre les services d’agrégation de comptes bancaires disponibles sur Internet. Sa porte-parole s’est exprimée sur France Info pour signaler les risques inhérents à leur usage.

 

Apparaissent depuis peu en France différents services PFM (Personal Finance Management), plus connus sous le nom d’agrégateurs de comptes sur Internet, tels que Money Center de Boursorama ou les produits de Linxo, qui n’est même pas une banque.

Ces applications agrègent sur une seule interface l’ensemble des données financières de l’usager, même si ses comptes bancaires et contrats d’assurances sont détenus dans différentes enseignes. Les informations collectées sont automatiquement classées dans des catégories paramétrables et visualisables selon différents graphiques ou statistiques. Pratique pour prévenir ses découverts et apprendre à anticiper l’évolution de ses comptes, ses applications de gestion de finance personnelle, ne recueillent pas la faveur de la CNIL qui crie au loup.

Des failles de sécurité reconnues

Sophie Vulliet-Tavernier, porte-parole de la CNIL, affirme que la protection des données est insuffisante sur ces nouveaux services, notamment au moment où, après inscription, l’utilisateur doit fournir son identifiant et son mot de passe de connexion au site internet de sa (ou ses) banque(s). Pour fonctionner, le service d’agrégation a évidemment besoin de ces codes afin de collecter les données bancaires. Or, cet échange d’informations sensibles, lesquelles seront ensuite stockées sur des serveurs, fait courir à l’usager un risque de détournement des données par des pirates. Linxo n’ignore pas ce risque puisque dans ses conditions générales, l’entreprise le signale tout en s’engageant à faire « ses meilleurs efforts, conformément aux règles de l’art, pour sécuriser l’espace utilisateur eu égard à la complexité de l’internet » mais « ne saurait cependant assurer une sécurité absolue. »

Une portée juridique méconnue

Répondant aux questions de France Info, Sophie Vulliet-Tavernier met aussi en évidence un risque juridique qui passe souvent inaperçu.

Puisque l’utilisateur fournit à un tiers ses identifiants de connexion, il déroge à sa convention de compte. S’il est victime d’une utilisation frauduleuse de ses données bancaires, sa banque pourra refuser de le rembourser. La banque aura le droit de se dégager de toute responsabilité d’un éventuel préjudice financier.

Sans envisager le pire, on ne peut évacuer l’utilisation commerciale des données collectées par ces agrégateurs de budgets qui, par définition, sont construits sur un modèle économique promotionnel. Même si les informations fournies aux annonceurs sont anonymes, les données bancaires servent à la prospection commerciale. Publicités ciblées et newsletters s’affichent constamment sur le site en échange d’une utilisation gratuite. Aussi, ces services n’étant pas exclusivement tenus par des établissements financiers, les données ne sont plus sous la protection du secret bancaire.

Plus que jamais la CNIL recommande la prudence à ceux qui seraient intéressés par l’usage d’un service de gestion de finance personnelle.