De plus en plus de banques proposent le service dit de "virement photo". Le titulaire du compte peut prendre une photo d'une facture qu'il souhaite payer à l'aide de son smartphone. Cette facture est ensuite réglée immédiatement via l'application bancaire correspondante.
La question se pose rapidement de savoir quelles données sont traitées lors d'un virement photo, où et comment cela doit être évalué du point de vue de la protection des données. Vous trouverez ici les réponses à ces questions.
Comment fonctionne un virement photo ?
Si la banque concernée propose le service de virement photo, le client peut facilement prendre une photo de la facture à payer via l'application correspondante sur son smartphone. Une intelligence artificielle extrait de cette photo les données pertinentes. Celles-ci sont ensuite insérées à l'endroit approprié sur le formulaire de virement. Le client ne voit pas grand-chose de ce processus, mais seulement le virement terminé quelques secondes après la photo. Il peut le contrôler brièvement et le valider ensuite comme n'importe quel virement manuel avec la procédure TAN correspondante.
Où a lieu le traitement du virement photo ?
Si l'on regarde une facture typique, on s'aperçoit rapidement que l'on y trouve de nombreuses données sensibles et personnelles : L'adresse de livraison et de facturation, d'autres données de contact telles que le numéro de téléphone ou l'adresse électronique et les produits commandés, qui permettent éventuellement de tirer des conclusions sur les préférences. La question est de savoir où le traitement de ces données a lieu. On pourrait envisager un traitement sur le propre terminal, sur les serveurs de la banque ou sur les serveurs d'un tiers.
Dans la déclaration de protection des données ou les conditions générales des banques qui proposent le virement de photos, on trouve généralement une indication selon laquelle le traitement est effectué par un tiers en tant que sous-traitant (art. 28 RGPD) et que les données issues des photos sont également traitées sur leurs serveurs et également stockées temporairement. Le client doit donner son accord à cette procédure avant de pouvoir utiliser le service de virement de photos.
Dans la plupart des cas, cela ne permet toutefois pas de déterminer où se trouve le serveur du sous-traitant qui fournit l'IA. La grande majorité des banques utilisent un fournisseur qui indique des serveurs à Munich comme lieu de traitement. La durée de stockage varie d'une banque à l'autre, mais elle est généralement de 28 jours. Ces données doivent notamment servir à l'entraînement de l'intelligence artificielle pendant la durée de stockage.
Critique de la législation sur la protection des données
Le traitement des photos des factures par le fournisseur tiers va bien au-delà de la simple lecture des données pertinentes, compte tenu de la durée de conservation et du fait que les données sont utilisées à des fins de formation. Les clients devraient en être conscients et vérifier quels serveurs leur banque utilise à cet effet.
Il convient toutefois de noter que les déclarations de protection des données des banques ne mentionnent régulièrement que de manière vague que le traitement est effectué "par un prestataire de services". Il y a là un grand besoin d'amélioration. Enfin, la plupart des banques justifient en fin de compte la légitimité du traitement par le consentement du client à ces informations vagues.
En fin de compte, le virement photo reste une entreprise gourmande en données. La question reste ouverte de savoir pourquoi les banques n'utilisent pas déjà à grande échelle des alternatives moins gourmandes en données, comme les codes QR EPC, qui permettent au client d'afficher un virement terminé dans l'application correspondante en scannant un code QR.
Vous souhaitez obtenir des conseils sur les processus de protection des données dans votre entreprise ? Notre équipe d'experts se fera un plaisir de vous aider !