Intesa Sanpaolo et Isybank écopent d'une amende de 17,6 millions d'euros pour l'utilisation des données clients. Ce que l'on sait

Quand on me dit qu'en Italie, rien n'est jamais gratuit, on a bien raison. Surtout quand il s'agit de banques et de ces "offres" qui apparaissent dans l'application et qui semblent être un service, pour finalement se retrouver avec un IBAN changé et une agence qui a disparu. La nouvelle qui fait le buzz dans les bars et les bureaux de poste en ce moment, c'est celle de l'amende de 17,6 millions d'euros infligée à Intesa Sanpaolo. Un montant qui n'a rien d'anodin, et que le gendarme de la vie privée a sorti de son chapeau pour dire "stop" à l'histoire du transfert sauvage vers Isybank.

Que s'est-il exactement passé ? L'histoire de l'amende d'Intesa Sanpaolo et Isybank

Installez-vous confortablement, je vais vous raconter ça comme si je l'avais vécu. Nous sommes entre fin 2023 et début 2024. Le groupe Intesa Sanpaolo décide d'accélérer dans le numérique et crée Isybank, sa banque fille, entièrement en ligne, sans guichets, qui ne vit que via l'application. Jusque-là, tout est moderne et séduisant. Le problème a été le "comment" ils ont décidé de peupler cette nouvelle création.

Ils ont pris environ 2,4 millions de clients et les ont transférés d'office vers Isybank. Mais qui étaient les élus ? Ils ont fait une belle segmentation, comme s'ils étaient au supermarché à choisir les meilleurs fruits : âge inférieur à 65 ans, aucun produit d'investissement (type fonds ou actions), des avoirs en dessous d'un certain montant (on parle de soldes inférieurs à 100 000 euros) et une utilisation fréquente de la banque en ligne. Bref, les "enfants prodiges" du numérique, prêts à être transbordés vers la nouvelle terre promise sans agences.

Le cœur du problème : traitement illicite des données et communications fantômes

C'est là que le bât blesse. Ou plutôt, que la banque se plante. Pour faire cette sélection, Intesa Sanpaolo a utilisé les données personnelles des clients en se basant sur son "intérêt légitime". Un instant, vous me direz : "Mais l'intérêt légitime, c'est une base légale sérieuse, non ?". Bien sûr, mais le gendarme de la vie privée a établi que dans ce cas, cela ne suffisait pas. Pour une opération qui, de fait, change votre vie bancaire (nouvel IBAN à communiquer à votre employeur, plus d'agence physique, relation avec un nouveau "responsable de traitement" des données), un consentement explicite était nécessaire. Et ce consentement n'a pas été demandé. Résultat ? Traitement illicite des données, et l'addition est salée.

Et puis, la cerise sur le gâteau qui met tout le monde en rogne : comment ont-ils communiqué sur cette sacrée révolution ? Pas par une notification claire, pas par un SMS. Ils ont glissé la communication dans la section "archives" de l'application Intesa Sanpaolo. Et devinez quoi ? Ils l'ont fait en plein été. Une période où nous avons tous la tête entre la plage et la glace. Autrement dit, une stratégie parfaite pour que personne ne s'en aperçoive à temps pour s'y opposer. Pour le gendarme de la vie privée, les communications ont été "déficientes" et n'ont pas mis suffisamment en lumière un changement capital.

Qu'est-ce qui change pour les clients ? Un guide pratique pour s'y retrouver

Maintenant, la question que tout le monde se pose : "Moi, qui suis dans ce pétrin, qu'est-ce que je dois faire ?". L'amende est là, l'argent est payé par la banque (et ce n'est pas de la petite monnaie), mais vous avez des droits. Voici un petit point sur la situation et comment réagir :

• Le mal est-il fait ? Pour beaucoup, oui. Si vous avez été transféré, vous avez subi un changement de conditions et de fonctionnement. Le gendarme de la vie privée reconnaît que cela a été une "source de désagréments".
• Puis-je revenir en arrière ? C'est le cœur du sujet. Vous devez vérifier si, au moment du transfert, on vous a clairement donné la possibilité de vous y opposer. Vu la manière dont les communications ont été faites, il est probable que beaucoup n'aient pas pu exercer ce choix en toute connaissance de cause. En théorie, la relation aurait dû reposer sur un choix éclairé de votre part.
• Que faire maintenant ? Si vous faites partie des 2,4 millions de personnes concernées, ouvrez l'œil. Les associations de consommateurs sont déjà sur le pied de guerre. Vous pourriez avoir droit à une indemnisation ou, à tout le moins, à demander le retour aux conditions antérieures avec Intesa Sanpaolo (la "maison mère").

Isybank : un million de clients et un avenir à écrire

Isybank, malgré tout, est une réalité qui a déjà dépassé le million de clients début 2026 et vise à doubler ce chiffre d'ici 2029. C'est une banque "cloud-native", fille de son temps, née pour concurrencer les fintechs. Mais cette amende de 17,6 millions d'euros est un coup dur pour sa réputation. Parce que si l'amende en elle-même est un événement ponctuel, la confiance, c'est autre chose. Et la confiance, comme on dit, c'est comme le verre : une fois fissurée, difficile de revenir en arrière.

Le gendarme de la vie privée, en décidant du montant, a tenu compte du nombre énorme de clients impliqués et de la gravité de la violation, mais aussi du fait que la banque a collaboré et que la conduite a été "jugée comme une faute (non-intentionnelle)" et non "délibérée" (c'est-à-dire qu'ils ne l'ont pas fait avec l'intention de nuire, mais avec une belle dose de légèreté). Un peu comme si on disait : "Vous avez fait une grosse erreur, et elle vous coûte cher".

Bref, l'affaire n'est pas encore close. La banque peut faire appel devant le tribunal administratif, et vous, chers clients, vous n'avez qu'à rester vigilants. Car la leçon d'aujourd'hui est simple : quand vous recevez une communication de votre banque, même si elle est fourrée dans un tiroir virtuel de l'application, lisez-la. Et si quelque chose ne vous semble pas clair, maintenant vous savez que le gendarme de la vie privée est peut-être de votre côté.