La CNIL a mis Boursorama en demeure d’arrêter d’intimer à ses futurs clients de partager leurs identifiants et mots de passe du site impots.gouv.fr, selon les informations de Next INpact.
Depuis plusieurs mois, chez Next INpact et en ligne, on s’interroge. Pourquoi diable Boursorama demande-t-il l’accès à l’identifiant et au mot de passe du site impots.gouv.fr à celles et ceux qui souhaiteraient obtenir un prêt ou ouvrir un plan d’épargne en actions ? La requête n’est-elle pas démesurée, au regard du Règlement Général sur la Protection des données (RGPD) ou, plus simplement, des bonnes pratiques de cybersécurité ?
Début 2022, nous avons posé directement la question à la Commission nationale de l’informatique et des libertés (CNIL), qui n’a fourni aucune réponse. À la même époque, un internaute a soumis une plainte, que nous avons pu consulter, à la CNIL.
Vingt mois plus tard, la réponse de l’institution lui est arrivée dans un mail consulté par Next INpact : ce 29 août, la CNIL a mis la banque en ligne en demeure « de se mettre en conformité avec les dispositions du règlement UE 2016/79 du Parlement européen des du Conseil du 27 avril 2016 », autrement connu sous le doux nom de RGPD, « notamment en cessant le traitement des identifiants de connexion au site impots.gouv.fr ».
La CNIL y indique que « la société dispose d’un délai de deux mois pour se mettre en conformité ». Interrogé sur le sujet, la CNIL nous confirme la mise en demeure. Le directeur marketing et communication de Boursorama, Xavier Prin, n’a par contre pas souhaité faire de commentaire sur la mise en demeure, mais nous parle de sa vision de cette « fonctionnalité » qui, selon lui, ne serait pas un problème. Deux salles, deux ambiances.