Maxi-amende de 17,6 millions à Intesa Sanpaolo: elle a transféré plus de 2 millions de clients à Isybank sans consentement
Le Garant de la vie privée a infligé à Intesa Sanpaolo une amende de 17,6 millions d'euros après que 2,4 millions de clients ont été transférés de force vers la banque numérique Isybank
Mauvaise nouvelle pour Intesa Sanpaolo : le Garant de la protection des données personnelles a infligé une amende de 17 628 000 euros à l'encontre de la banque. Au centre de la disposition se trouve le transfert forcé de plus de 2 millions de titulaires de comptes vers Isybank, la banque numérique contrôlée à 100% par le groupe, effectué de manière illicite et sans information adéquate des parties intéressées.
Que s'est-il passé exactement ? Entre 2022 et 2023, Intesa Sanpaolo a transféré unilatéralement environ 2,4 millions de clients vers Isybank, une banque fonctionnant exclusivement via des applications, sans agences physiques. L'opération a entraîné des changements concrets et significatifs pour les titulaires de comptes concernés : attribution d'un nouvel IBAN, obligation de le communiquer aux employeurs, utilisateurs et fournisseurs, et perte d'accès aux agences traditionnelles.
Pour décider qui transférer, Intesa Sanpaolo a procédé à un véritable profilage des clients, sans disposer d'une base juridique valable pour le faire. Les critères utilisés comprenaient : un âge ne dépassant pas 65 ans, une utilisation régulière des canaux numériques au cours de la dernière année, l'absence de produits d'investissement et une disponibilité financière inférieure à un certain seuil. En pratique, la banque sélectionnait des clients jugés plus « digitalisés » et disposant de moins de ressources, les orientant vers le canal numérique sans leur demander leur accord.
Pour ne rien arranger, les communications envoyées aux clients pour les informer de l'opération étaient loin d'être transparentes. Les alertes ont été insérées dans les archives de l'application Intesa Sanpaolo pendant la période estivale, sans notifications push ni SMS, et sans que les preuves nécessaires soient fournies pour un changement de cette ampleur. Selon le Garant, les clients ne pouvaient raisonnablement s’attendre à un changement aussi radical de leur relation bancaire. Dans le communiqué relatif à la sanction d'Intesa San Paolo, l'Autorité écrit :
Le traitement effectué par la banque de la manière décrite dans la disposition est illicite, également parce que le client ne pouvait raisonnablement le prévoir sur la base du contexte et des informations reçues.
L'intervention du Garant
L'enquête a été ouverte suite à de nombreux signalements des titulaires de comptes et se termine désormais par cette sanction. Mais ce n'est pas la première fois que cette décision est examinée par les autorités : déjà en 2023, l'Antitrust (AGCM) avait ordonné la suspension du transfert, établissant que les clients devraient pouvoir choisir librement de rester chez Intesa Sanpaolo ou de s'installer chez Isybank.
L'amende de plus de 17 millions d'euros tient compte de la gravité des violations et du nombre élevé de personnes impliquées. Le Garant écrit :
Pour déterminer le montant de l'amende, l'Autorité a pris en compte la pertinence des infractions, le nombre élevé de clients impliqués mais aussi le caractère négligent des infractions et la collaboration apportée par la banque.
Cette histoire rappelle à tous – institutions, entreprises et citoyens – que les données personnelles ne sont pas une marchandise qui peut être gérée arbitrairement. Le profilage des utilisateurs, même lorsqu'il intervient dans le cadre d'opérations apparemment « internes » à l'entreprise, nécessite une base juridique solide, de la transparence et le respect de la volonté des personnes.
Source : GPDP
