Décision du 24 juin 2024 de l’autorité suédoise de protec­tion des données (IMY) contre Avanza Bank AB, DI-2021–5544 Avanza Bank

L’Autorité suédoise de protec­tion des données (IMY) a infligé une amende de 15 000 000 SEK (envi­ron 1 287 000 francs suisses) à Avanza Bank AB pour un pixel Meta mal configuré.

La banque a utilisé l’outil d’analyse Facebook pixel (qui s’appelle désor­mais « pixel Meta ») à la fois sur son site web et dans son appli­ca­tion d’e‑banking afin d’optimiser le marke­ting de la banque. Dans le contexte du suivi en ligne, un « pixel » est un petit élément graphique invi­sible inté­gré dans une page web (ou un email) pour suivre le compor­te­ment des utili­sa­teurs et collec­ter des données sur leurs inter­ac­tions avec le contenu web.

Avant l’intégration de ce pixel, un proces­sus d’approbation impli­quant les fonc­tions de risque, de confor­mité, du juri­dique et de la sécu­rité de l’information de la banque a été mené. Dans ce cadre, les ques­tions du secret bancaire et du trai­te­ment des données person­nelles ont été abor­dées. Les seules données qui devaient être trai­tées pour la fina­lité en ques­tion étaient celles rela­tives aux pages web visi­tées par les utili­sa­teurs, l’adresse IP et les infor­ma­tions sur certains événe­ments uniques, tels que les choix de produits et les recherches sur le site web.

Toutefois, une erreur de para­mé­trage (qui n’a jamais été éluci­dée) a conduit à l’activation acci­den­telle par la banque de deux sous-fonc­tion­na­li­tés du pixel Meta : « AAM » (Automatic Advanced Matching) et « EA » (Automatic Events). Ces sous-fonc­tion­na­li­tés ont entrainé le trans­fert des données person­nelles de près d’un million de clients de la banque à Meta pendant une longue période (novembre 2019 à juin 2021). Les infor­ma­tions trans­mises de cette manière portaient notam­ment sur les avoirs et la valeur des titres, les montants des prêts, les numé­ros de compte, les adresses email et les numé­ros de sécu­rité sociale.

Une grande partie de ces données prove­naient d’éléments (boutons, formu­laires, etc.) inté­grés sur des pages dispo­nibles après la connexion à l’e‑banking. Ils ne concer­naient donc que de clients liés par une rela­tion d’affaires préexis­tante avec la banque. Dans tous les cas, la trans­mis­sion ne pouvait inter­ve­nir que si l’utilisateur avait accepté les cookies marke­ting de la banque (opt-in).

Dès que la banque a eu connais­sance de l’incident, elle a désac­tivé le pixel Meta et a demandé à Meta de suppri­mer les données collec­tées via le pixel, ce que Meta a confirmé avoir fait. La banque a égale­ment adapté ses procé­dures internes pour garan­tir un trai­te­ment correct et sécu­risé des données person­nelles. Elle a en parti­cu­lier mis en place un proces­sus de gestion des scripts de tiers et a déplacé les scripts des four­nis­seurs tiers vers ses systèmes afin d’éviter que des modi­fi­ca­tions puissent être appor­tées à son insu.

Estimant qu’il s’agissait d’une viola­tion de données à carac­tère person­nelles au sens de l’art. 4(12) RGPD, la banque a noti­fié cet inci­dent à l’autorité de surveillance confor­mé­ment à l’art. 33 RGPD (Notification à l’autorité de contrôle d’une viola­tion de données à carac­tère person­nel).

Les consi­dé­ra­tions de l’autorité

Premièrement, l’autorité retient que le RGPD est appli­cable au cas d’espèce et que la banque agit comme respon­sable du trai­te­ment en lien avec la collecte et le trans­fert des données des utili­sa­teurs via les pixels qu’elle a inté­grés à ses solu­tions numériques.

L’autorité rappelle ensuite qu’en vertu de l’art. 32 RGPD, la banque est tenue de proté­ger les données à carac­tère person­nel qu’elle traite en mettant en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées. Les données concer­nées (données bancaires soumises au secret) néces­si­taient une protec­tion particulière.

L’autorité retient que la banque – en viola­tion de ses propres direc­tives internes – a activé (à son insu) des fonc­tion­na­li­tés qui ont conduit à la divul­ga­tion des données à des tiers non auto­ri­sés (data breach). L’autorité reproche égale­ment à la banque de n’avoir pas mis en place les contrôles tech­niques qui lui auraient permis de consta­ter et corri­ger l’erreur plus rapi­de­ment. Elle retient en consé­quence que la banque a violé l’art. 32 RGPD, en manquant à l’obligation de mettre en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour assu­rer un niveau de sécu­rité adapté des données person­nelles des visi­teurs du site web et des utili­sa­teurs de l’application. L’autorité n’accorde aucune impor­tance au fait que seules les données des utili­sa­teurs ayant consenti à l’utilisation des cookies de marke­ting de la banque aient été trans­mises ; ce fait n’est pas de nature à remé­dier aux manque­ments en matière de sécurité.

L’autorité retient par contre la banque n’a pas violé les dispo­si­tions natio­nales implé­men­tant la Directive « vie privée et commu­ni­ca­tions élec­tro­niques » (ePrivacy Directive). En effet, à la diffé­rence des cookies, la tech­no­lo­gie des pixels de suivi n’implique pas le stockage d’informations sur le poste de l’utilisateur, de sorte que cette légis­la­tion n’est pas appli­cable au cas d’espèce.

Compte tenu de la gravité des viola­tions consta­tées, l’autorité estime qu’une amende de 15 000 000 SEK (envi­ron 1 287 000 francs suisses) est justifiée.

Enseignements

Cette déci­sion souligne l’importance pour les entre­prises de bien comprendre et gérer les outils numé­riques qu’elles utilisent. Il faut rappe­ler qu’en droit suisse, les manque­ments aux exigences mini­males en matière de sécu­rité peuvent conduire à des sanc­tions pénales (art. 61 let. c LPD). Les banques suisses sont au demeu­rant tenues au respect du secret bancaire et à la régle­men­ta­tion pruden­tielle, qui exigent notam­ment de prendre des mesures pour proté­ger les données bancaires (et plus parti­cu­liè­re­ment les données quali­fiées de critiques au sens du point 7 de la Circulaire FINMA 2023/​01) et noti­fier les inci­dents, que cela soit en vertu des Communications FINMA 05/​2020 et 03/​2024, que très prochai­ne­ment en vertu des art. 74a ss de la loi fédé­rale sur la sécu­rité de l’information). Nous rele­vons en parti­cu­lier les ensei­gne­ments suivants :

1. Mesures basées sur les risques : c’est une évidence, mais les mesures de sécu­rité requises dépendent notam­ment de la sensi­bi­lité des données trai­tées. Dans le cas d’espèce, bien qu’il ne s’agissait pas de données sensibles au sens de la loi (caté­go­ries parti­cu­lières de données à carac­tère person­nel), un haut niveau de sécu­rité était attendu.
2. Vigilance dans l’intégration des outils tiers : l’utilisation de solu­tions numé­riques tierces, comme les pixels de suivi dans le cas d’espèce, néces­site une atten­tion parti­cu­lière. Les entre­prises doivent s’assurer que les fonc­tion­na­li­tés de ces outils sont entiè­re­ment comprises et correc­te­ment confi­gu­rées avant leur déploiement.
3. Gestion des chan­ge­ments : il faut en parti­cu­lier pouvoir s’assurer que le four­nis­seur de l’outil ne peut pas en modi­fier les fonc­tion­na­li­tés sans que l’entreprise en soit infor­mée. Dans notre cas, cette réali­sa­tion tardive a conduit la banque, suite à l’incident, à mettre en place un proces­sus de gestion des scripts de tiers et à dépla­cer les scripts des four­nis­seurs tiers vers ses propres systèmes afin d’éviter que des modi­fi­ca­tions puissent être appor­tées à son insu.
4. Processus de contrôle (moni­to­ring) : il est égale­ment impor­tant de dispo­ser de contrôles tech­niques pour surveiller les outils inté­grés. La banque aurait pu éviter ou limi­ter l’impact de cette viola­tion si elle avait mis en place des méca­nismes permet­tant de détec­ter rapi­de­ment les flux de données ou l’activation invo­lon­taire de fonc­tion­na­li­tés supplémentaires.
5. Respect des règles internes : enfin, s’il est natu­rel­le­ment utile de mettre en place des direc­tives et procé­dures internes, encore faut-il pouvoir s’assurer de les suivre en pratique. Tel n’a pas été le cas en l’espèce.