Boursorama demande les identifiants et mots de passe des impôts, la CNIL la met en demeure

Raccoon

La CNIL a mis Boursorama en demeure d’arrêter d’intimer à ses futurs clients de partager leurs identifiants et mots de passe du site impots.gouv.fr, selon les informations de Next INpact.

Depuis plusieurs mois, chez Next INpact et

, on s’interroge. Pourquoi diable Boursorama demande-t-il l’accès à l’identifiant et au mot de passe du site impots.gouv.fr à celles et ceux qui souhaiteraient obtenir un prêt ou ouvrir un plan d’épargne en actions ? La requête n’est-elle pas démesurée, au regard du Règlement Général sur la Protection des données (RGPD) ou, plus simplement, des bonnes pratiques de cybersécurité ?

Début 2022, nous avons posé directement la question à la Commission nationale de l’informatique et des libertés (CNIL), qui n’a fourni aucune réponse. À la même époque, un internaute a soumis une plainte, que nous avons pu consulter, à la CNIL.

Vingt mois plus tard, la réponse de l’institution lui est arrivée dans un mail consulté par Next INpact : ce 29 août, la CNIL a mis la banque en ligne en demeure « de se mettre en conformité avec les dispositions du règlement UE 2016/79 du Parlement européen des du Conseil du 27 avril 2016 », autrement connu sous le doux nom de RGPD, « notamment en cessant le traitement des identifiants de connexion au site impots.gouv.fr ».

La CNIL y indique que « la société dispose d’un délai de deux mois pour se mettre en conformité ». Interrogé sur le sujet, la CNIL nous confirme la mise en demeure. Le directeur marketing et communication de Boursorama, Xavier Prin, n’a par contre pas souhaité faire de commentaire sur la mise en demeure, mais nous parle de sa vision de cette « fonctionnalité » qui, selon lui, ne serait pas un problème. Deux salles, deux ambiances.

Moins de friction pour certaines offres bancaires

Pour fournir un prêt conformément au Code de la consommation, toute banque doit analyser la situation financière du client et vérifier ainsi sa capacité d’endettement. Pour les sommes inférieures à 30 000 euros, Boursorama propose plusieurs manières d’agir : si la personne est déjà cliente, l’analyse de ses revenus et charges est réalisée automatiquement à partir de ses comptes bancaires. Dans un tel cas, le processus ne prend que quelques minutes.

Autre option, adaptée à celles et ceux qui ne seraient pas clients : lancer un parcours similaire à celui des demandes de prêts pour des montants supérieurs à 30 000 euros. Dans ce cas-là, il s’agit de soumettre une série de documents (parmi lesquels relevés de compte, avis d’imposition, etc). Après analyse, la banque se déclare en mesure de fournir une réponse dans les « 7 à 10 jours ».

Sauf que l’époque est à la vitesse. Boursorama a donc mis au point une dernière proposition qui permet, tant qu’on reste sous la marge des 30 000 euros de prêt, d’aller aussi vite que pour un client existant. La technique ? Fournir le couple identifiant et mot de passe qui permet au client d’accéder à son compte impôt.gouv.fr, dans le cadre d’un processus que la banque nomme « Parcours Flash ».

En plusieurs endroits sur son site, Boursorama suggère de lui fournir le précieux sésame qui permet d’accéder au compte personnel de l’aspirant client sur le site des impôts. « Le procédé est sécurisé, vos identifiants et mot de passe d’accès au site impots.gouv.fr ne sont stockés que quelques minutes avec une double clé de chiffrement », indique la banque.

Elle affirme avoir besoin de ces informations pour « collecter et analyser vos revenus et vos charges sur votre dernier avis d’imposition (et rien que cela, aucune autre information provenant d’impots.gouv.fr n’est recherchée) ». Il faut la croire sur parole, car donner ses identifiants et mots de passe revient à ouvrir grand la porte à l’ensemble du compte.

Quand on lance un processus de demande de prêt, c’est sur la solution impliquant de céder ses identifiants impots.gouv.fr que Boursorama met l’accent

Souvent, le phrasé, voire le design de l’interface, mettent l’accent sur le bien-fondé de partager ces éléments. Comme le laissent entrevoir différents articles qui présentent la fonctionnalité comme une « astuce » intéressante, le but de la proposition est d’améliorer l’expérience client.

En effet, l’accès aux identifiants du site des impôts permet à la banque en ligne de fournir une réponse de principe beaucoup plus rapide que ses concurrents. « C’est une option qui n’a rien d’obligatoire, précise tout de même Xavier Prin. Qui veut le faire peut le faire. »

Paradoxe de sécurité

Sauf que céder un tel jeu d’information a de quoi faire hausser le sourcil. Les informations fiscales, si elles sont sensibles, sont de nature à être traitées par un acteur bancaire.

Mais le couple identifiant / mot de passe qui donne accès à impôts.gouv.fr permet aussi, lui, d’accéder au service de France Connect. Et avec la plateforme d’authentification de l’État français, c’est une potentielle porte d’entrée vers 1 400 démarches administratives de sensibilités diverses que Boursorama pourrait récupérer.

« Aujourd’hui, je ne connais pas de texte qui interdise de demander à ses clients son identifiant / mot de passe pour agréger des informations », indique Xavier Prin. Next INpact lui fait remarquer que garder ce type d’informations privées est une bonne pratique de sécurité numérique.

Celle-ci est notamment recommandée par la CNIL – qui inscrit « Communiquer un mot de passe personnel à une autre personne » tout en haut de la liste des choses à ne pas faire. Boursorama elle-même n’a de cesse de répéter à ses clients qu’il faut absolument éviter de communiquer ses identifiants pour protéger des informations sensibles.

En matière de lutte anti-fraude, Boursorama alerte lui-même contre les dangers de partager identifiant et mot de passe

Auprès de Next INpact, le directeur de la communication déclare : « Nous sommes confiants dans les protocoles que nous avons mis en place, et qui respectent toutes les logiques de sécurité. Nous avons le sentiment de respecter parfaitement les réglementations en vigueur. » Par ailleurs, répète-t-il, ceux qui ne seraient pas intéressés par la proposition du parcours flash peuvent passer par d’autres méthodes de vérification de leurs revenus.

En mai 2022, le directeur marketing laissait entendre auprès de Moneyvox que le recueil d’identifiants/mots de passe pour impots.gouv.fr n’était qu’une première étape avant l’usage, par Boursorama Banque, de l’API Impôt particulier.

Produite par la Direction Générale des Finances Publiques (DGFiP), celle-ci doit permettre d’échanger des informations fiscales avec qui de droit, sans partager d’informations sensibles comme les identifiants France Connect – l’API sert déjà aux établissements bancaires pour vérifier l’éligibilité des personnes au livret d’épargne populaire (LEP).

Interrogé sur le sujet un an plus tard, le cadre de la banque explique : « Nous sommes à la recherche de ce type de solutions » qui permettent de récupérer des informations sans faire prendre de risque aux clients. « L’idée n’est pas de faire prendre des risques aux clients. » Pour le moment, note-t-il, l’outil ne permet pas de récupérer les informations nécessaires à l’ouverture d’un crédit.

Source : nextinpact.com

Violence

Pluton9

C’est pas comme si Boursorama appartenait à un groupe plusieurs fois condamné pour diffusion d’informations personnelles… Ah bah si en fait, c’est une entité du groupe Société Générale.

michmich

Posté un 1er avril, j’aurais ri de bon coeur, là j’ai presque envie d’adopter un black bloc décérébré!

Popaul

Mais… je ne vous comprends pas !

Nous sommes sur un forum ou l’on promeut le partage… Vous ne voulez pas partager vos infos de compte ?

Allons quoi !!! faites un effort !!!