Dans l’équilibre délicat entre sécurité et confidentialité, un sujet qui revient cycliquement au centre du débat technologique, survient une décision destinée à susciter des discussions et, très probablement, à créer un précédent. Le Garant de la protection des données personnelles a en effet infligé une amende à Poste Italiane et PostePay pour un total de 12,5 millions d’euros, en raison de la manière dont l’application Android gérait certaines fonctions anti-fraude.
Une histoire qui, au-delà de la simple amende, met en lumière un aspect souvent sous-estimé : il ne suffit pas d’avoir une finalité légitime (comme la prévention de la fraude), mais il est tout aussi fondamental de respecter rigoureusement les modalités de collecte et de traitement des données.
La sécurité oui, mais pas à n’importe quel prix
Le point de départ est connu : dès 2024, il est apparu que l’application Post Office nécessitait l’accès à une série de données d’appareils dans le but déclaré de prévenir les activités frauduleuses. À la base de ce système se trouvait ThreatMatrix, une plateforme capable de créer une véritable empreinte numérique de l’appareil en combinant de nombreux paramètres techniques.
Jusqu’à présent, tout est plus ou moins normal. Le problème vient du fait que la configuration adoptée par Poste ne se limitait pas à l’empreinte digitale dite de base (déjà assez précise en soi), mais incluait également un module supplémentaire capable de collecter la liste complète des applications installées sur l’appareil. Et c’est justement ce petit plus qui a déclenché la sanction.
Selon le Garant, en effet, la collecte de la liste des applications, même si ce n’est pas en texte clair mais sous forme de hachage, représente un traitement de données beaucoup plus invasif qu’il n’y paraît à première vue. Comme beaucoup d’entre vous le savent, l’ensemble des applications installées peut révéler des aspects extrêmement sensibles de la vie d’une personne : orientation politique et religieuse, état de santé, habitudes financières, jusqu’aux préférences personnelles et comportementales.
Et c’est là qu’intervient le Règlement Général sur la Protection des Données : selon la législation européenne, une collecte de ce type nécessite une base juridique adéquate qui, dans ce cas précis, n’a pas été considérée comme valable.
La défense de Poste (et pourquoi elle n’a pas convaincu)
Au cours de l’enquête, Poste a fait valoir que le traitement était justifié par une obligation légale liée à la DSP2, la directive européenne sur les services de paiement qui impose aux opérateurs de surveiller tout signe de malware lors des opérations.
Une ligne de défense qui a cependant été démontée par le Garant avec un argument assez clair : la législation impose un objectif (prévenir la fraude), mais ne précise pas les moyens par lesquels l’atteindre ; par conséquent, elles ne peuvent pas être utilisées comme justification automatique pour tout type de collecte de données.
À ce stade, les alternatives pour Poste étaient essentiellement deux : demander le consentement explicite des utilisateurs ou s’appuyer sur ce que l’on appelle l’intérêt légitime, démontrant cependant, par une évaluation technique documentée, que la solution adoptée était proportionnée et la moins invasive possible. Cependant, cette évaluation n’a pas été réalisée.
Un système surdimensionné par rapport aux besoins réels
En fait, les contrôles ont révélé que le système antifraude fonctionnait efficacement même sans accès à la liste des applications installées. L’empreinte digitale de base fournie par ThreatMatrix, basée sur des paramètres tels que le système d’exploitation, le matériel, le réseau, les adresses IP et d’autres identifiants, était déjà suffisante pour identifier les appareils bénéficiant d’un niveau de confiance élevé.
De plus, au cours des premiers mois d’utilisation, le module supplémentaire n’a pas apporté d’améliorations significatives en matière de détection des fraudes, et sa désactivation en 2025 n’a pas compromis le fonctionnement de l’application. Élément qui renforce encore la position du Garant, si une donnée n’est pas strictement nécessaire, sa collecte ne peut être justifiée sans consentement.
Un autre point intéressant concerne l’utilisation des hachages MD5 pour protéger Dans la liste des applications, Poste a fait valoir que, puisqu’il ne s’agissait pas de données claires, il n’était pas possible de retracer les informations originales.
Mais même dans ce cas, le Garant a souligné un aspect fondamental : le hachage représente une forme de pseudonymisation et non d’anonymat. En fait, il existe des outils capables de reconstruire facilement le nom de l’application à partir du hachage, rendant ainsi les données traçables jusqu’à l’utilisateur.
Qu’est-ce qui change maintenant et pourquoi cette décision est si importante
La disposition ne remet pas en cause le recours à des systèmes antifraude, qui restent pleinement légitimes, mais pose un principe très clair : l’empreinte digitale basée sur des paramètres techniques peut être considérée comme nécessaire, tandis que la collecte d’informations plus invasives nécessite de la transparence et un consentement explicite.
La Poste devra désormais cesser rapidement de collecter les données relatives aux applications installées et également revoir les délais de conservation des informations, plus longs que ceux annoncés.
Il s’agit, comme prévu, d’une décision destinée à influencer l’ensemble du secteur. De nombreuses applications bancaires et financières utilisent en effet des solutions similaires, et la limite tracée par le Garant est assez claire ; la protection des utilisateurs est essentielle, mais elle ne peut pas devenir une excuse pour collecter plus de données que nécessaire.
