cnil audit sites internet de banque en ligne

Informatique et libertés

Secteur Banque

La Cnil a réalisé un audit des principaux sites internet de banque en ligne

Au cours du premier semestre 2005, la Cnil a procédé à une série de contrôles dans le secteur de la banque en ligne (1). Ce contrôle a été effectué à partir de grilles d’audit soumises aux responsables de dix sites internet bancaires. Cette opération a permis d’évaluer la qualité de la confidentialité et de la sécurité des sites bancaires et de mettre en évidence leurs éventuelles faiblesses, pointées par la Cnil. Fort de ces constats, la Cnil établit une liste des 7 bonnes pratiques à adopter notamment :

– la vérification de l’orthographe de l’adresse du site,
– la prohibition de tout accès aux comptes à partir d’un cybercafé,
– l’interdiction formelle de cliquer sur un lien reçu par email (phishing).

Un tel audit représente une nouvelle forme de l’action de la Cnil, dans le cadre de sa mission de contrôle et d’information. Si la portée de cet audit est incertaine d’un point de vue strictement juridique, cette action démontre une volonté apparente de la Cnil de contrôler certains traitements, tout en limitant son intervention à un aspect plus pédagogique que coercitif. Bien que les résultats de cet audit soient anonymisés, cette démarche révèle une évolution dans l’action de la Cnil et son implication dans toutes ses missions.

Cela doit par conséquent alerter les responsables de traitement sur deux risques émergents :

– D’une part, dans le contexte actuel de renforcement des pouvoirs de la Cnil, de tels audits constituent très certainement un préalable à une phase de contrôles assortie de sanctions,
– D’autre part, ces audits donnent une importante publicité aux pratiques des responsables de traitement et à leurs éventuelles lacunes ; cette tendance de la Cnil à l’information du public est donc source de risques pour l’image d’entreprises dont les traitements ne seraient pas conformes à la loi.

Rapport d’audit de la Cnil

(Mise en ligne Novembre 2005)