Netcrook Logo
👤 SECPULSE
🗓️ 14 Mar 2026   🌍 Europe

Parier sur le secret : comment la manœuvre numérique d’Intesa Sanpaolo a déclenché un affrontement sur la vie privée à 17,6 millions d’euros

Le régulateur italien de la vie privée met en lumière les risques cachés du profilage automatisé dans la révolution bancaire numérique.

Tout a commencé par une migration discrète : Intesa Sanpaolo, la plus grande banque d’Italie, a entrepris de transférer des millions de ses clients vers sa filiale numérique, Isybank. Mais en coulisses, un algorithme sophistiqué décidait silencieusement qui serait transféré, en fonction de l’âge, des habitudes numériques, des soldes de compte, et plus encore. Ce que la banque considérait comme un progrès technologique, l’autorité italienne de la protection des données l’a vu comme une dangereuse érosion des droits - et a infligé l’une des plus importantes amendes jamais prononcées dans le pays en matière de protection des données.

Profilage dans l’ombre

Quand Intesa Sanpaolo a décidé de se réorganiser, elle n’a pas simplement déplacé les comptes au hasard. Elle a plutôt construit des profils détaillés de ses clients, en évaluant des facteurs comme l’âge, l’utilisation des services en ligne et la situation financière. Ce n’était pas qu’une question d’efficacité opérationnelle - c’était, selon l’autorité italienne Garante de la vie privée, un cas d’école de « profilage » au sens du Règlement général sur la protection des données (RGPD) de l’UE.

La défense de la banque ? Selon elle, le profilage ne compte que s’il est utilisé à des fins de marketing. Les régulateurs n’étaient pas d’accord. Le RGPD définit le profilage comme tout traitement automatisé visant à évaluer des aspects personnels, quel que soit l’objectif. Qu’il s’agisse de vendre des produits ou de décider qui correspond au modèle bancaire numérique, il s’agit de profilage - et cela implique des obligations légales strictes.

Lignes de faille juridiques : transparence et consentement

La deuxième erreur d’Intesa a été l’opacité. Les clients n’étaient pas informés, de façon claire, que des algorithmes les triaient pour le transfert. L’information était enfouie dans des notifications numériques, souvent en été, et présentée de manière à être facilement manquée - un mécanisme proche du « consentement silencieux ». Le Garante a jugé cela totalement insuffisant : la transparence n’est pas une formalité, mais le socle des droits sur les données. Les clients doivent savoir ce qu’il advient de leurs données, pourquoi, et avec quelles conséquences.

Intérêt légitime ? Pas si vite

Intesa a aussi tenté de justifier ses actions sous couvert « d’intérêt légitime », une base légale qui permet aux organisations de traiter des données si cela est nécessaire à leur activité - à condition de respecter un équilibre avec les droits des individus. Mais le Garante a jugé l’évaluation d’Intesa superficielle et intéressée. Le contrecoup - des milliers de plaintes, des interventions réglementaires, et une chute spectaculaire du nombre de clients acceptant le transfert lorsqu’un consentement explicite était demandé - a prouvé que les attentes des clients n’étaient pas respectées. Le régulateur a estimé que les intérêts de la banque ne l’emportaient pas sur l’impact concret sur la relation bancaire des individus.

Un précédent pour la banque numérique

Ce n’est pas qu’une grosse amende. La décision envoie un message fort aux banques et à toute entreprise tentée par la transformation numérique : les données clients ne sont pas un actif interne à redistribuer à volonté. Les décisions automatisées, surtout lorsqu’elles affectent des contrats ou des services, exigent une base légale solide et une transparence réelle et proactive. L’époque où l’on « informait » les clients après coup - ou où l’on cachait des changements cruciaux dans les recoins numériques - est révolue.

Conclusion

L’affaire Intesa Sanpaolo est un signal d’alarme pour tout le secteur financier. À l’ère de la numérisation rapide et du déséquilibre croissant entre institutions et individus, les droits des clients ne doivent pas être sacrifiés sur l’autel de l’efficacité. Le message du régulateur italien de la vie privée est clair : le progrès numérique ne peut se faire au détriment de la confiance, de la transparence et des droits fondamentaux.

WIKICROOK

  • RGPD : Le RGPD est une loi stricte de l’UE et du Royaume-Uni qui protège les données personnelles, obligeant les entreprises à gérer les informations de façon responsable sous peine de lourdes amendes.
  • Profilage : Le profilage est l’analyse automatisée de données personnelles pour prédire ou influencer le comportement individuel, souvent utilisée dans la publicité, l’évaluation des risques ou la détection de fraude.
  • Intérêt légitime : L’intérêt légitime permet le traitement des données sous le RGPD si cela est justifié par les besoins de l’entreprise et équilibré avec les droits et libertés des personnes.
  • Transparence : La transparence consiste à rendre visibles et compréhensibles les actions et décisions des systèmes d’IA, aidant les utilisateurs à faire confiance et à surveiller le fonctionnement de ces technologies.
  • Décision automatisée : La décision automatisée désigne les algorithmes qui prennent des décisions ou font des prédictions en cybersécurité sans intervention humaine, améliorant l’efficacité mais soulevant des questions d’équité et de transparence.
Intesa Sanpaolo data privacy automated profiling
SECPULSE SECPULSE
SOC Detection Lead
← Back to news