La carte bancaire, l’ennemi caché de notre vie privée

La big data bancaire se revend au prix d’or pour les sociétés d’investissement et de recherche. Mais nos données ne seraient peut-être pas si anonymes que ça.

Si la caméra de nos smartphones peut espionner notre vie intime, si notre historique web peut en dévoiler nos goûts et nos amis, rien n’est sûrement plus puissant que notre carte bancaire. Chaque jour, elle retrace nos achats, nos localisations, notre niveau de vie, et ses informations n’ont pas besoin de beaucoup de temps d’analyse pour en laisser apparaître notre situation, nos rencontres et nos besoins. Elle est de plus en plus populaire depuis 2015, mais les études à son sujet restent très discrètes, rares et peu abordée dans les médias. A tord, très certainement.

Trop longtemps oubliée – ou occultée – l’activité bancaire est une source d’informations personnelles à l’abri des déboires de l’espionnage web. Mais il n’en reste en rien qu’un marché très lucratif, entre les banques, les sociétés d’investissements et de recherche, et les courtiers en intermédiaires. Cette semaine, un document confidentiel obtenu par Motherboard (VICE) a remis en question l’activité de Yodlee, le premier courtier américain de données bancaires. Et si nos informations personnelles n’étaient absolument pas tenues anonymes ? Si tel est le cas, la clientèle de ces données confidentielles pourrait dépasser de loin les entreprises dans la recherche, et celles ne souhaitant que visualiser les tendances de la consommation de façon macroéconomique…

Données bancaires de dizaines de millions d’Américains
Un document confidentiel du courtier Yodlee vient d’apparaître sur la toile. Grâce à nos confrères de Motherboard, l’activité du premier courtier de données financières américain pourrait devenir plus transparente. Selon ce qu’il est avancé dans ce document, on peut apprendre que Yodlee ne ferait que masquer les données les plus révélatrices de l’identité des utilisateurs, mais sans en rendre l’anonymat total. « C’est difficile à dire sans le contexte complet mais, d’après la description, les données en elles-mêmes ne me semblent être que pseudonymisées », a déclaré Yves-Alexandre de Montjoye, professeur adjoint à l’Imperial College London, à Motherboard.

« Cela signifie qu’il ne contient pas d’informations permettant d’identifier directement une personne, telles que des noms ou des adresses e-mail. Cependant, une personne ayant accès à l’ensemble de données et à certaines informations vous concernant, par exemple les magasins auprès desquels vous avez acheté et quand, pourrait être en mesure de vous identifier », ajoutait De Montjoye, également expert à l’Agence belge de protection des données. Et force est de constater que l’homme sait de quoi il parle. En 2015, il avait publié une étude dans laquelle il était arrivé à trouver l’identité de trois individus, parmi une base de données de trois mois de transactions de plus de 1,1 million de cartes de crédit d’individus.

Les bases de données de Yodlee commercialiseraient des informations bancaires très précises. On retrouverait les identifiants de la carte bancaire utilisée, le montant dépensé par transaction, la date, la ville et le code postal de l’entreprise où l’achat a été effectué. À cela s’ajoutent d’autres éléments de métadonnées, auxquels Yodlee – après avoir pris connaissance des documents récupérés par Motherboard – s’est dépêchée d’en expliquer leur processus pour se rendre anonymes.

Quels sont les clients de Yodlee ?
C’est ainsi que Yodlee effectue un « nettoyage des données », qui se traduit par la suppression des noms et prénoms, des adresses mail, mais aussi le masquage des numéros de compte et des numéros de téléphone, remplacés par des « XXX ».

En plus d’être contraire à la loi, une potentielle activité de revente de données bancaires incluant l’identité des utilisateurs pourrait conduire à une remise en question globale sur l’activité de Yodlee. À qui revend-elle ces informations ? Les sociétés d’investissements et de recherches n’ont pas tant besoin de connaître l’identité de ces millions de clients. Par ailleurs, n’importe quel annonceur serait friand de pouvoir accéder à ces données, comme nous l’évoquions de façon subtile en début d’article.

Motherboard fait donc bien d’enquêter sur ces documents. « Laissez-moi être franc. C’est de l’anonymat de conneries », s’exprimait Nicholas Weaver, chercheur principal à l’International Computer Science Institute de UC Berkeley, dans un e-mail à Motherboard. En vue de l’intérêt économique d’une telle conduite, le doute persiste. Les utilisateurs concernés par ces transferts de données proviennent dans la majeure partie de Bank of America, Citigroup et HSBC, trois partenaires avec qui Yodlee travaille.

Un doute similaire dans la fintech
Yodlee est un courtier, qui travaille avant tout avec des banques traditionnelles. De ce fait, nous faisons forcément la différenciation entre les données personnelles bancaires, et les données personnelles numériques provenant de notre activité sur internet. Néanmoins, les déboires de chacune de ces sources peuvent aussi être fusionnés : avec l’arrivée des banques en ligne et des néo-banques, la séparation n’est plus d’actualité. D’ailleurs, un nouveau type d’intermédiaire commence à attirer l’attention et réveiller les doutes. Il s’agit des agrégateurs de comptes bancaires.

La numérisation des banques a l’intérêt d’avoir emporté avec elle la liberté du web. Il est aujourd’hui facile de créer un compte – les clients n’en possèdent d’ailleurs pas qu’un seul – et la fidélité auprès d’une banque n’existe plus par conséquent du retrait des engagements. Nous sommes rentrés dans une ère de « l’open banking », à nos risques et périls : les agrégateurs bancaires sont des plateformes qui agrègent l’ensemble de nos comptes sur une seule et même plateforme, en récupérant l’intégralité des mouvements que l’on réalise au quotidien. Pas besoin de faire un dessin pour comprendre que les enjeux sont importants : si la banque s’est transformée, permettant l’essor de plein de nouveaux acteurs, elle pourrait aussi être à l’origine de la création de mastodontes, qui auront accès à l’ensemble de nos données bancaires.

Dans l’ombre de son service, le modèle d’affaire d’un agrégateur bancaire aurait tout intérêt à revendre ses données, en vue du nombre d’informations qu’il obtient sur chacun de ses utilisateurs. Bien évidemment, ce constat est le même pour les néo-banques et les banques en ligne. Pour rappel, Revolut et N26 visent l’acquisition de 100 millions de clients pour 2025. S’ils arrivent à leurs objectifs, les données bancaires obtenues seront colossales. La nouvelle élucidée par Motherboard n’en est qu’à ses débuts donc, mais pourrait permettre de faire en sorte que les nouveaux acteurs de la finance puissent démarrer de façon transparente leur activité. Le prix à payer pour conserver la confiance des clients. À moins que ces dérives ne restent occultées ?