partages dans cet article
La banque en ligne peut être très pratique – entre autres, parce que vous pouvez enregistrer les destinataires des paiements et ne pas avoir à écrire de longues séquences de chiffres à chaque nouveau virement. Le service de transfert de photos, que de nombreuses banques proposent désormais, prend en charge toutes les copies de données pour les clients de la banque en ligne lors du paiement des factures : le client n’a qu’à prendre une photo d’une facture avec son téléphone portable, une intelligence artificielle (IA) puis le remplit automatiquement le formulaire de virement numérique.
Pourquoi les transferts de photos sont-ils plus problématiques que les transferts réguliers ?
Le problème : si le client saisit manuellement ses données dans le formulaire de virement, seules les données nécessaires au virement sont transmises à l’institut de paiement – l’IBAN du destinataire, le nom du destinataire, le montant du virement et un motif de virement (généralement un numéro de paiement pour les factures). De cette manière, la banque peut traiter le virement, mais ne sait pas exactement ce que le client a acheté ni quelle est son adresse de facturation ou de livraison. En revanche, si le client photographie l’intégralité de la facture afin de faire évaluer les données nécessaires par l’IA connectée à l’application, l’IA analyse toutes les données de la facture. Ce faisant, le client a transmis de nombreuses données qui n’ont aucune signification pour le processus de transfert lui-même. Que deviennent ces données ? Où sont-ils évalués ? Un fournisseur tiers ou un fournisseur de cloud américain potentiellement critique pour la protection des données est-il impliqué dans le travail de l’IA ?
La Sparkasse déclare que les données seront transmises à un “prestataire de services”.
Afin de répondre à ces questions, le portail d’information Heise a enquêté sur la sécurité de la protection des données des transferts de photos.
Heise a commencé sa recherche avec l’application Sparkasse, qui dispose d’un service de transfert de photos intégré. Lors de la première utilisation de la fonction, l’utilisateur est apparemment informé qu’un “prestataire de services” est impliqué dans le service. Les directives de protection des données de la société Star Finanz sont également mentionnées dans les magasins d’applications. Celui-ci a développé l’application Sparkasse et nomme Gini GmbH comme fournisseur de services pour les transferts de photos dans ses directives de protection des données. En plus de la banque (la caisse d’épargne), deux autres sociétés sont impliquées dans le service de transfert de photos.
Gini GmbH a le monopole en tant que prestataire de services pour les transferts de photos
Conformément aux directives de protection des données de Star Finanz, la photo de la facture est envoyée de l’application Sparkasse à Gini GmbH, qui évalue les données et renvoie ensuite les informations relatives au transfert de manière anonyme à l’application. Le client vérifie les données et confirme l’ordre de paiement, puis ces informations sont renvoyées à Gini GmbH pour le contrôle de qualité de l’IA. La photo et les données lues seraient conservées par Gini GmbH pendant un maximum de 28 jours, puis supprimées, conformément aux directives de protection des données de Star Finanz. L’ensemble de la coopération avec la société munichoise sera traité conformément à l’article 28 du RGPD.
“Une facture pour vous. Un livre ouvert pour notre IA.”
Gini GmbH est basée à Munich et, selon Heise, est également responsable du service de transfert de photos dans toutes les autres banques – elle a donc le monopole des données. Gini GmbH propose non seulement des transferts de photos, mais également d’autres services, dont un service d’optimisation des assurances. Ici, les utilisateurs prennent une photo de leur facture d’assurance et la téléchargent sur l’application de l’entreprise, après quoi des suggestions sont faites pour optimiser le contrat. Gini GmbH en fait la publicité sur son site Web comme suit : “Une facture pour vous. Un livre ouvert pour notre IA.”
Heise a mené des enquêtes plus approfondies et a découvert auprès de Gini GmbH que les serveurs de Gini GmbH à Munich sont exploités dans un centre de données de Mivitec GmbH. Selon Gini GmbH, cela fonctionne sans fournisseur de cloud américain. Heise écrit également que le centre de données est certifié ISO par TÜV Rheinland.
Code QR EPC : alternative au transfert de photos
Après avoir contacté Gini GmbH, Heise a expliqué qu’ils avaient travaillé “relativement à fond” – ce qui est initialement une bonne conclusion. Cependant, Heise rapporte également que cela ne peut pas être dit des établissements de crédit, qui ont gardé leurs informations plutôt brèves. De plus, dans le cadre de son enquête, Heise a dû signaler à ING Bank que les règles de protection des données contenaient des informations incorrectes (elle avait initialement déclaré que les photos seraient évaluées directement sur le téléphone portable du client sans tiers – bien qu’ING travaille également avec Gini GmbH). En conséquence, les directives de protection des données ont été tacitement corrigées. Cependant, cela est juridiquement discutable.
En fin de compte, chaque utilisateur de services bancaires en ligne doit décider lui-même s’il souhaite ou non utiliser les transferts de photos. Si vous n’êtes pas sûr de vouloir transmettre toutes les informations contenues dans une facture à la banque et à Gini GmbH, vous pouvez utiliser à la place les codes QR dits EPC. Il s’agit de codes QR imprimés sur des factures dans lesquelles seules les données nécessaires à un virement sont cryptées. Toutes les autres données ne peuvent pas être obtenues à partir du code. Ces codes peuvent être scannés avec les applications des différents établissements de crédit et les données qu’ils contiennent peuvent être saisies directement dans le formulaire de virement. La probabilité que des chiffres transposés se produisent ici est encore plus faible qu’avec les transferts de photos. Mais : il n’y a pas encore de tels codes QR sur toutes les factures.
Bureau éditorial finanzen.net
L’effet de levier doit être compris entre 2 et 20
Pas de données
Sources des images : studio WAYHOME / shutterstock.com, OrthsMedienGmbH / Shutterstock.com