Cohérence IBAN et bénéficiaire - BoursoBank pionnière?

AlbertoWin

Contributeur régulier
Bonjour a tous,

Très étonné ce matin en ajoutant un IBAN BoursoBank.
Voici ce qui s'est passé, la banque m'a donné le nom du bénéficiaire pour validation. Elle precise également qu'on ne peut pas vérifier le bénéficiaire d'une autre banque. Par ailleurs en cas de virement SMS vers un client BoursoBank vous obtiendrez son IBAN dans les attestations d'émission :
1000002624.jpg
1000002625.jpg

1000002621.jpg
1000002623.jpg

Alors Bourso sur ce point là bravo 👍
 
C'est, en effet, très bien !
Vivement que ça soit obligatoire et interbancaire... Là on rajoutera vraiment une sécurité contre les arnaques.
 
niklos a dit:
C'est, en effet, très bien !
Vivement que ça soit obligatoire et interbancaire... Là on rajoutera vraiment une sécurité contre les arnaques.
Cliquez pour agrandir...
Je suis d'accord que la mise en œuvre telle que décrite par @AlbertoWin est intéressante et positive

Attention cependant, dans les pays où il y a des contrôles de ce style, c'est généralement mal mis en œuvre, et il est fréquent d'avoir des retours de fond à cause d'un nom mal orthographié. Gare à ce que l'on demande, c'est toujours un arbitrage délicat entre sécurité et efficacité...
 
Je pense que la bonne méthode serait de saisir l Iban et, ensuite, la banque nous donne le nom associé à cet Iban. Ca permet de contrôler à qui on fait un virement.
Ça ne serait pas à la personne qui fait le virement de mettre le nom mais à la banque à donner le nom correspondant à l Iban entré.

Aucun risque de mal orthographié le nom.
 
niklos a dit:
Je pense que la bonne méthode serait de saisir l Iban et, ensuite, la banque nous donne le nom associé à cet Iban. Ca permet de contrôler à qui on fait un virement.
Ça ne serait pas à la personne qui fait le virement de mettre le nom mais à la banque à donner le nom correspondant à l Iban entré.

Aucun risque de mal orthographié le nom.
Cliquez pour agrandir...
Je fais mon empêcheur de tourner en rond, mais cela pose aussi des questions de protection de la vie privée.

D'ailleurs à la réflexion cela m'interpelle sur ce que fait Boursorama. @AlbertoWin c'est bien une information partielle qui est affichée ?
 
niklos a dit:
Je pense que la bonne méthode serait de saisir l Iban et, ensuite, la banque nous donne le nom associé à cet Iban. Ca permet de contrôler à qui on fait un virement.
Ça ne serait pas à la personne qui fait le virement de mettre le nom mais à la banque à donner le nom correspondant à l Iban entré.

Aucun risque de mal orthographié le nom.
Cliquez pour agrandir...
Bonsoir @niklos ,

Votre méthode pourrait malheureusement être détournée pour se constituer des listes d'IBAN avec le nom associé ; il suffirait de saisir des IBAN au hasard pour obtenir le nom associé. Ce serait alors une diffusion de données personnelles par la banque, ce qui est interdit par le RGPD, et aussi le secret bancaire.
 
Si je comprends bien, on s'extasie que BoursoBank puisse vérifier qu'un client BoursoBank ajoute un IBAN d'un autre client de BoursoBank? Ça ne me semble pas une manoeuvre démeusurée ou complexe. Peut-être qu'un autre test avec un IBAN externe à la banque serait plus judicieux, non?
 
Axiles a dit:
est généralement mal mis en œuvre, et il est fréquent d'avoir des retours de fond à cause d'un nom mal orthographié
Cliquez pour agrandir...
Oui surtout pour les ordres en masse... De toute façon c'est un défi a relever rapidement par les banques.
attentif a dit:
il suffirait de saisir des IBAN au hasard pour obtenir le nom associé
Cliquez pour agrandir...
Oui comme pour les mutuelles... Ou sinon on configuré correctement avec des limites cohérentes (20 IBAN pour les particuliers par jour, plus pour les pros et bien sûr des alertes si les IBAN essayés n'existent pas).
attentif a dit:
personnelles par la banque, ce qui est interdit par le RGPD, et aussi le secret bancaire.
Cliquez pour agrandir...
Non. Si la loi l'oblige, la RGPD rentre dans le champ des "finalités légales" et donc le secret bancaire ne s'applique pas. Quand vous faites un virement on a votre nom, c'est la même chose. Par contre pour Bourso aujourd'hui effectivement je n'ai pas regardé ou c'était écrit dans la politique de protection des données.

g.b a dit:
IBAN externe à la banque serait plus judicieux, non?
Cliquez pour agrandir...
Bourso vous indique qu'il n'est pas en mesure de le faire.
ailleurs à la réflexion cela m'interpelle sur ce que fait Boursorama. @AlbertoWin c'est bien une information partielle qui est affichée ?
Cliquez pour agrandir...
Bah y a le nom et prénom et l'IBAN associé, vous attendiez autre chose?
 
AlbertoWin a dit:
Bah y a le nom et prénom et l'IBAN associé, vous attendiez autre chose?
Cliquez pour agrandir...

Il y a plein d'autres options, comme n'afficher que les trois premières lettres du nom et du prénom par exemple. Mais tout afficher comme ça, c'est assez problématique. A titre personnel ça me dérange en tout cas de savoir que quelqu'un qui trouverait mon IBAN pourrait facilement avoir mon nom et aisément ouvrir tel ou tel produit. C'est une énorme faille ouverte pour de la fraude. Venant d'une banque, ne pas avoir anticipé ça, ça m'alerte sérieusement.
 
Axiles a dit:
un qui trouverait mon IBAN
Cliquez pour agrandir...
Comment ? Quand vous transmettez votre RIB vous transmettez très souvent votre nom avec et pour le trouver par sérendipité il y a 11 chiffres sur un numéro de compte soit une chance sur 100 milliards, 1000x plus de chances de gagner a l'Euromillions. Par contre si les numéros ne sont pas aléatoires ça serait une sacrée faille mais j'en doute.
Axiles a dit:
aisément ouvrir tel ou tel produit
Cliquez pour agrandir...
Quel est le rapport?

Je comprends la frustration et que cette faculté devrait être limite a un faible nombre et a des limites car les robots peuvent aller très vite (et selon les besoins) mais trouver un IBAN par chance ou considérer que les gens qui ont votre IBAN n'ont pas votre nom ou que vous leur avez donné un faux n'annonce rien de bon.
 
AlbertoWin a dit:
Comment ? Quand vous transmettez votre RIB vous transmettez très souvent votre nom avec et pour le trouver par sérendipité il y a 11 chiffres sur un numéro de compte soit une chance sur 100 milliards, 1000x plus de chances de gagner a l'Euromillions. Par contre si les numéros ne sont pas aléatoires ça serait une sacrée faille mais j'en doute.

Quel est le rapport?

Je comprends la frustration et que cette faculté devrait être limite a un faible nombre et a des limites car les robots peuvent aller très vite (et selon les besoins) mais trouver un IBAN par chance ou considérer que les gens qui ont votre IBAN n'ont pas votre nom ou que vous leur avez donné un faux n'annonce rien de bon.
Cliquez pour agrandir...

Ici on devrait raisonner à l'envers : non pas ce qui interdit de divulguer des informations intégrales, mais qu'est-ce qui justifie de donner plus que (e.g.) 3 lettres ? Sur le principe je ne vois aucune bonne raison d'afficher des données intégrales, qui peuvent être utilisées à mauvais escient.

Exemple vécu (pour une association) : coordonnées bancaires qui étaient disponibles sur un site, et RIB utilisé pour souscrire à des forfaits téléphoniques (et avoir un téléphone gratuit bien sur). Alors ce n'est évidemment pas 100% ce dont on parle ici (le nom du titulaire de compte était visible aussi), mais je ne sous-estime pas la capacité des fraudeurs à être créatif et à utiliser n'importe quelle information.

Pour prendre un exemple, un des moyens de fraude classique ce sont les sites mal programmés pour la récupération du mot de passe, qui confirme explicitement si oui ou non un numéro de téléphone est associé à un compte sur un site xyz. Une fois que vous avez cette confirmation, cela peut être très efficace d'appeler le numéro en vous faisant passer pour le site xyz (voir cette bonne vidéo)


On pourrait aussi se dire qu'il n'y a rien de mal à dire "nous vous avons envoyé un mot de passe provisoire". Et pourtant. Idem ici, ce n'est pas parce que ça ne semble pas très sensible que ça ne peut pas l'être à mon humble avis.
 
AlbertoWin a dit:
Si la loi l'oblige, la RGPD rentre dans le champ des "finalités légales"
Cliquez pour agrandir...
Bonsoir @AlbertoWin ,

Désolé, mais je ne comprends pas ce que vous avez écrit. Pourtant, je pense avoir un peu de pratique dans le domaine du RGPD.
 
attentif a dit:
Bonsoir @AlbertoWin ,

Désolé, mais je ne comprends pas ce que vous avez écrit. Pourtant, je pense avoir un peu de pratique dans le domaine du RGPD.
Cliquez pour agrandir...
Un traitement de donnée doit être utile et licite selon la CNIL :
  1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
Cliquez pour agrandir...
Cliquez pour agrandir...
Donc si vous devez obtenir et conserver des données a des fins légales vous êtes automatiquement dans un champ d'application prévu pour la collecte et l'usage de données personnelles...
 
@Axiles les 3 lettres justement n'apporterait rien contre la fraude et beaucoup pour les fraudeurs a mon avis. Ou sinon il faudrait avoir soit le prénom soit le nom déjà correct.
Mais ce système devrait être régule pour éviter les fuites de données.
 
Bonjour @AlbertoWin ,

Il ne s'agit pas de "finalités légales" comme mentionné dans votre première réponse mais de "bases légales". Un traitement de données personnelles doit respecter l'article 6 du RGPD sur la licéité du traitement, listant 6 bases légales possibles :

- Consentement des personnes
- Contrat
- Obligation légale
- Sauvegarde des intérêts vitaux
- Mission d’intérêt public
- Intérêt légitime

Le traitement doit s'appuyer sur au moins une de ces 6 bases légales.

Il serait donc intéressant de savoir sur laquelle de ces bases légales, s'est appuyé BoursoBank pour son traitement sur les IBAN tel que relaté dans votre Post d'origine.
Je fais le pari que c'est le contrat. Si tel est le cas, il est nécessaire de l'avoir mis à jour pour que le traitement soit considéré comme licite au sens du RGPD.
 
attentif a dit:
Je fais le pari que c'est le contrat.
Cliquez pour agrandir...
Quand l'IBAN check sera obligatoire ça sera le cas légal je n'ai pas dit que c'était le cas pour BoursoBank aujourd'hui. D'ailleurs rien trouvé dans le contrat a ce sujet.
 
AlbertoWin a dit:
D'ailleurs rien trouvé dans le contrat a ce sujet.
Cliquez pour agrandir...
C'est bien le problème ;)
 
Bons plans du moment
Logo Hello bank
Compte bancaire : 180 € + Hello Prime à 1 €/mois pendant 6 mois
Meilleurtaux
PER : 150 € de prime pour une 1ère souscription
Logo EasyBourse
Bourse : Frais de transfert : jusqu'à 2 000€ remboursés
Logo Altaprofits
Assurance-Vie : Jusqu'à 300 € + bonus de 2%
Voir plus d'actualités
Actualités les plus consultées
Les bénéficiaires du RSA sont automatiquement inscrits à France Travail depuis le 1er janvier 2025.CAF : les bénéficiaires du RSA inscrits à France Travail sont-ils régulièrement sanctionnés ? taxe foncièreTaxe foncière : dernier jour lundi pour éviter une mauvaise surprise en 2026 Mains, femme et lecture de factures à la maison pour plan de budget, réception de paiement et déclaration de revenus. Personne, comptabilité et audit pour les dépenses financières, calcul des factures et déduction de salaire pour le travail à distanceSalaire minimum : voici le nouveau montant du SMIC au 1er janvier 2026 Livret A, LEP ou encore PEL, chaque placement réglementé a ses avantagesCe qui change pour la retraite et la CSG, nouveau taux du PEL... Les 5 infos argent de la semaine Comment sont calculés les intérêts du Livret A au-dessus du plafond ?« Mon compte bancaire est à découvert. Je prends sur mon Livret A ? » Don aux associationsRéduction d'impôt de 750 euros : quels dons donnent droit au taux à 75% ?
Retour
Haut