Les sociétés de cartes de crédit suivent les acheteurs comme jamais auparavant : dans la prochaine phase du capitalisme de surveillance

Dans la bataille entre les courtiers en données et les défenseurs de la vie privée, le dernier front est la carte de crédit, explique Burt Helm sur Fastcompany.

Sur Privacy.com, il est facile de dissimuler ses habitudes d’achat en ligne : il suffit de saisir ses informations de débit ou de compte bancaire pour que le site génère une carte de débit virtuelle. Cette carte dite « burner » agit comme un acheteur par procuration, en gardant votre nom et votre adresse de facturation hors de vue. Il vous suffit de taper son numéro, sa date d’expiration et son code CVV sur n’importe quel site de commerce électronique, de cliquer sur « Acheter » et le service de protection de la vie privée prend le relais. Le service facture votre carte actuelle, ajoute ces fonds à la carte à graver et utilise la nouvelle carte pour faire les achats.

La promesse est attrayante. La carte peut être configurée de manière à ce que les détaillants ne puissent pas ajouter de frais supplémentaires, comme des frais d’abonnement automatiques. Si le site du détaillant est piraté, il suffit de se débarrasser du burner et de passer à autre chose. Et si une personne impliquée dans la transaction tente de vendre vos données, la seule information dont elle dispose sur la carte est que l’achat a été effectué auprès de Privacy.

Ce n’est pas le seul service offert pour masquer les transactions des gens. En août dernier, Apple a lancé l’Apple Card, une carte de crédit sans numéro émise par Goldman Sachs qui ne permet pas de suivre vos achats. Les sociétés de logiciels de protection de la vie privée et d’autres entreprises de pointe telles que FigLeaf et Abine travaillent sur des cartes à graver et d’autres technologies, comme les gestionnaires de mots de passe et les extensions de navigateur qui masquent votre navigation sur le web. Hors ligne, les consommateurs ont toujours pu faire des achats anonymes en espèces. Mais en ligne, c’est une autre histoire. Nous voulons donner aux consommateurs la possibilité de dire : « J’aime faire des affaires avec vous, je veux participer sur Internet, je veux juste le faire à mes conditions », déclare Rob Shavell, cofondateur d’Abine.

Nous nous sommes habitués au triste fait que presque tous les grands annonceurs, sites web et fabricants d’appareils personnels collectent et surveillent les données des utilisateurs dans une certaine mesure. Certains le font à leurs propres fins. D’autres le font au service de divers spymasters algorithmiques, tels que Facebook ou Google, qui analysent de vastes ensembles d’informations personnelles – des médias sociaux comme le GPS – pour diffuser des publicités pertinentes. (Fast Company, comme de nombreux autres médias, suit les données des lecteurs à des fins publicitaires).

[Illustration : Twisted Fork]

Mais pour comprendre avec certitude le comportement d’achat, il faut disposer des données relatives aux cartes de crédit. Au cours de la dernière décennie, les achats des consommateurs sont devenus discrètement l’un des ensembles de données les plus recherchés et les plus lucratifs, utilisés par Wall Street et Madison Avenue pour déduire les goûts, les budgets et les projets des acheteurs. « Les données sur les transactions sont aujourd’hui le Saint-Graal pour les spécialistes du marketing« , déclare Michael Moreau, cofondateur de Habu, une start-up de Boston qui aide les annonceurs à rassembler leurs données.

Ces transactions ont donné naissance à un écosystème complexe de vente de données. Au cœur de celui-ci se trouvent les réseaux de traitement des cartes de crédit, dont Visa, American Express et Mastercard, cette dernière ayant encaissé 4,1 milliards de dollars en 2019 – soit un quart de son chiffre d’affaires annuel – en exploitant son entrepôt de données de transactions pour des services qui comprennent l’analyse marketing ainsi que les programmes de récompense et la détection des fraudes. Et puis il y a les banques, les détaillants, les entreprises de traitement des paiements et les sociétés de logiciels qui permettent les transactions en ligne. Peu d’entre eux révèlent leurs méthodes, certains obscurcissent activement leur travail, tous s’engagent à ce que les données personnelles soient anonymisées et agrégées, et donc sécurisées.

La réalité est bien plus complexe. Dans un sens, les titulaires de cartes sont plus que jamais à l’abri du vol d’identité. Dans le même temps, ils font désormais leurs achats dans un panoptique, les entreprises assurant le suivi et l’analyse de leurs achats en temps quasi réel. Il n’a jamais été aussi difficile de savoir qui surveille et vend ces données, sans parler de ceux qui achètent.

Les entreprises ont exploité les données sur les transactions pour nous vendre davantage de choses dès les années 1990, lorsque des géants des cartes de crédit comme American Express ont analysé les achats pour adapter les offres spéciales aux titulaires de cartes. Les spécialistes du marketing, dont les points de vue sont plus limités, ont mis en commun les données de leurs propres caisses enregistreuses pour obtenir une meilleure vision de leurs clients.

Le paysage a radicalement changé lorsque les startups de la Fintech sont venues frapper à la porte dix ans plus tard. Au début, les banques se méfiaient du partage des données et de la collaboration avec elles, en grande partie à cause de la loi Gramm-Leach-Bliley de 1999, qui impose des sanctions aux institutions financières qui mettent en danger les données des clients, y compris les noms, les anniversaires, les adresses et autres informations personnelles identifiables. Pour résoudre ce problème, les startups ont mis en place un système sophistiqué qui efface les données personnelles et les remplace par des pseudonymes générés au hasard qui agissent comme des codes d’identification : Ils sont incompréhensibles en soi, mais peuvent ensuite être comparés aux dossiers individuels des clients.

Ce système de substitution (également appelé tokenisation) est désormais standard. Les cartes à puce, les systèmes de paiement sans contact tels que Apple Pay, les méthodes de paiement en ligne et d’autres technologies bancaires sur Internet s’appuient sur ce système pour se connecter les uns aux autres. Ils forment même des guirlandes : Si une application de e-commerce doit accepter les cartes de crédit, elle utilise un logiciel fourni par un processeur de paiement comme Stripe. Si une application de services financiers telle que Acorns veut se connecter aux comptes bancaires des clients, elle peut utiliser une API de Plaid, qui automatise les connexions. Si une application de gestion de patrimoine veut donner aux utilisateurs un tableau de bord de leurs comptes de carte de crédit, d’épargne et de placement, elle peut utiliser un logiciel d’une société appelée Yodlee.

Aujourd’hui, tout Américain qui a acheté quelque chose en ligne a presque certainement vu ses données transmises par sa société de cartes de crédit et par les startups de middleware. Et certains de ces intermédiaires profitent de ce qu’ils voient en vendant des informations à des spécialistes du marketing, des fonds spéculatifs et d’autres courtiers.

La tokenisation « a effectivement créé une faille », explique Yves-Alexandre de Montjoye, qui dirige le groupe de protection de la vie privée au sein de l’Imperial College de Londres et qui a conseillé la Commission européenne sur les questions de protection de la vie privée. En supprimant les noms et autres détails, les entreprises peuvent faire valoir « qu’il ne s’agit pas de données personnelles, mais de données anonymes », dit-il.

Mais ce n’est pas si anonyme. En 2015, M. de Montjoye et ses collègues du MIT ont pris un ensemble de données contenant trois mois de transactions par carte de crédit effectuées par 1,1 million de personnes non identifiées, et ont découvert que, dans 90 % des cas, ils pouvaient identifier une personne s’ils connaissaient les détails approximatifs (le jour et le magasin) de quatre des achats de cette personne. En d’autres termes, la combinaison de quelques reçus, de tweets et de photos Instagram de vous en train de dîner au restaurant suffit à révéler vos autres achats.

Tout cela se passe sous le voile du secret. Les sociétés de cartes de crédit reconnaissent peut-être qu’elles gagnent de l’argent en analysant les transactions, mais elles restent vagues sur les données qu’elles partagent réellement. Visa, par exemple, affirme que son activité de collecte de données ne fournit que l’historique des transactions au niveau du code postal. Mais les codes postaux qu’elle utilise sont suffisamment spécifiques pour localiser les adresses d’un côté d’un pâté de maisons ou d’une rue, et souvent une seule adresse. (Visa dit qu’elle partage ces données par lots de cartes pour éviter de révéler des informations individuelles). American Express dit qu’elle ne vend jamais de données de transaction à des tiers. Cependant, elle travaille avec un courtier en données, appelé Wiland, pour identifier les consommateurs individuels dont les habitudes d’achat correspondent aux critères fournis par les commerçants. (Selon American Express, sa « méthodologie de modélisation » protège la vie privée des titulaires de cartes). Cibler les individus sur la base des données de transaction est « ridiculement facile », déclare Robert Brill, fondateur de Brill Media, qui utilise les données de Mastercard et d’autres sources pour acheter de la publicité numérique au nom des clients.

Et puis il y a les intermédiaires de fintech. Plaid, qui accède aux informations sur les comptes bancaires pour le compte de plus de 2 600 applications, affirme ne jamais vendre les données des utilisateurs. Mais, en janvier, la société a accepté d’être rachetée par Visa, qui vend des données par l’intermédiaire d’une entreprise appelée Visa Advertising Solutions. (Visa a refusé de commenter ses plans pour Plaid.) L’application d’orientation financière HelloWallet dit qu’elle ne vend pas de données sur des utilisateurs uniques. Mais pour accéder aux comptes des utilisateurs, elle s’appuie sur Yodlee, qui vend ces informations.

La capacité du gouvernement à contrôler ce commerce est limitée. En janvier, les sénateurs Sherrod Brown de l’Ohio et Ron Wyden de l’Oregon, ainsi que la représentante Anne Eshoo, de Californie, ont envoyé une lettre à la Commission fédérale du commerce, demandant une enquête sur la société mère de Yodlee, Envestnet, pour avoir vendu des données de clients à leur insu. Yodlee, pour sa part, affirme qu’elle respecte toutes les lois applicables. « Le Congrès doit établir des règles claires régissant les entreprises qui fouillent dans notre vie privée », déclare M. Brown. Un projet de loi déposé en octobre dernier par Wyden, par exemple, obligerait les entreprises à être plus transparentes sur la façon dont elles partagent les données des consommateurs. Cependant, rien n’indique que le Sénat l’examinera prochainement.

En l’absence de réglementation, des applications telles que Privacy et Abine ont vu le jour pour aider les consommateurs. Mais elles ont toujours des liens avec l’écosystème des données. La protection de la vie privée repose sur Plaid. Abine utilise Stripe, qui ne divulgue pas les noms de tous ses partenaires bancaires. Même Apple, qui interdit à Goldman Sachs d’utiliser les données de ses cartes à des fins de marketing, ne pourrait pas obtenir les mêmes concessions de Mastercard, son réseau de cartes.

Pour un acheteur soucieux de sa vie privée, ces services peuvent certainement brouiller les pistes. Mais même eux ne peuvent pas se sortir complètement du marécage.

Via Fastcompany

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.