En lançant une banque en plus de son activité d'opérateur, Orange augmente de manière importante la quantité de données qu'elle détient sur ses utilisateurs. De quoi poser la question de la concentration de ces informations, qui ne concerne pas que les géants du Net.
En fin de semaine dernière, Orange lançait une nouveauté importante au regard de sa stratégie de diversification : Orange Bank. Un service bancaire plutôt classique, mais orienté vers les usages mobile et le temps réel, une offre à mi-chemin entre les « néo-banques » et autres banques en ligne (voir notre analyse).
Comme d'autres, nous nous sommes attardés sur les conditions de l'offre et son fonctionnement technique, mais il y a un aspect essentiel qui a le plus souvent été mis de côté : celui des données accessibles par un acteur unique, du fait de sa position sur des marchés stratégiques.
Les données, un bien précieux mais pas toujours très bien protégé
Souvent, lorsque l'on veut s'intéresser à l'utilisation des données, on se tourne assez naturellement vers de grosses sociétés américaines comme Facebook ou Google, qui promettent des services gratuits et des produits plus accessibles en échange d'un accès presque « open bar » à nos informations personnelles.
Si c'est connu, certains redécouvrent parfois la réalité et l'ampleur du phénomène. Cela a par exemple été le cas lorsque Google Docs s'est mis à restreindre l'accès à des documents en pensant (à tort) qu'ils enfreignaient ses règles. Les clients du service, dont des médias nationaux, ont alors constaté leur dépendance à cet outil, leur manque de préparation en cas de panne et surtout... que Google peut accéder à leurs données et les scanner comme bon lui semble.
Ok, on en est donc à trois rédacs (BFM, RTL, Mondadori) qui se font suspendre leurs docs partagés sur Google Docs. Qui dit mieux ? pic.twitter.com/rX3LNzntYo
— Antoine Bayet (@fcinq) 31 octobre 2017
Pour rappel, tant que le chiffrement n'est pas assuré de bout-en-bout, ou par des dispositifs que vous avez vous-même mis en place, les données peuvent potentiellement être accédées par le service qui les héberge. Celui-ci peut à tout moment décider de vous couper l'accès, parfois avec des procédures qui souffrent de quelques défauts.
Ainsi, un employé de Twitter peut désactiver le compte du Président américain, vos messages privés et vos documents en ligne peuvent sans doute être lus par des employés s'ils ne sont pas chiffrés, et vous pouvez vous retrouver sans accès à vos fichiers lorsque Google Docs « pète un câble ». Vous aurez alors droit à quelques mots d'excuses dans un billet de blog.
Même si vous utilisez des services en ligne, pensez à chiffrer un maximum au moins ce qui est sensible, à effectuer des sauvegardes et à vérifier que vous êtes capable d'accéder à tout ce qui est nécessaire à votre fonctionnement quotidien. Et ce, même si l'accès à différents services en ligne venait à vous être coupé.
Données : il ne faut pas regarder que du côté des géants du Net
Mais penser que le problème se limite à quelques acteurs étrangers serait une erreur. La collecte des données, le tracking et le profilage de l'utilisateur sont présents partout, presque à chaque moment de sa vie. Ils sont mis en place par de très nombreuses sociétés, pour des raisons plus ou moins avouables.
Une surveillance de masse, presque permanente, rendue possible par un fait simple : elle est presque totalement invisible.
Quand vous vous rendez sur un site, vous ne voyez pas forcément que Google Analytics, les boutons des réseaux sociaux et autres scripts servent à collecter des données vous concernant. Pas plus que vous ne savez que votre smartphone et ses applications peuvent servir à collecter vos habitudes de consommation, que vous utilisiez un réseau social, l'application d'un média, un réseau Wi-Fi ou des services encore plus anodins.
L'utilisateur voit seulement que tout est le plus souvent gratuit, qu'on lui propose des remises et autres offres personnalisées. Il calcule son intérêt à court terme, sans forcément se représenter le profil géant, assez précis et à vocation commerciale, que l'on est en train de constituer de lui.
Nous avons récemment vu le cas de grands magasins qui cherchent à vous suivre à la trace lors de vos achats via de nouvelles solutions techniques. Mais ils le font déjà de manière assez précise avec leurs précieuses cartes de fidélité qui peuvent être un très bon reflet de vos habitudes de consommation et de qui vous êtes.
Les FAI cherchent de leur côté à utiliser vos données de navigation et autres informations vous concernant à des fins publicitaires. Le monde de la TV lorgne d'ailleurs sur ces données alors que sa distribution passe de plus en plus par internet dans le cadre de ses nouvelles offres de publicité adressée, pour le moment interdite (à quelques tests près).
Éviter qu'un seul acteur puisse accéder à trop de données
Dès lors, permettre à de gros acteurs de concentrer des sommes impressionnantes de données nous concernant peut constituer un risque. Et dans le domaine, les géants ne sont pas qu'américains. Orange devient à son tour un bon exemple de société qui commence à avoir accès à une masse impressionnante d'informations sur ses clients.
Sa position de FAI et désormais d'acteur bancaire lui ouvre les portes de données importantes, qui concernent aussi bien ceux qui utilisent ses services que ses employés. Que penseriez-vous si votre société pouvait avoir accès à l'intégralité de votre navigation fixe ou mobile, à votre position géographique (via votre smartphone) et à l'ensemble de vos dépenses et revenus via les informations de votre compte bancaire ?
C'est désormais ce qu'est capable d'accumuler Orange sur un client qui aurait ses accès internet et son compte bancaire souscrit auprès de ses services.
Bien entendu, dans ses conditions d'utilisation (3.3), Orange Bank précise être tenue au secret professionnel, ce secret pouvant être levé uniquement de manière encadrée. Et lorsque des tiers sont sollicités pour traiter vos données, « vous nous autorisez à partager vos informations couvertes par le secret professionnel avec eux dans le strict besoin de la prestation, pour assurer le bon fonctionnement des produits et services que vous avez souscrits ».
Mais on peut aussi lire que « pour faciliter certains actes de gestions et éventuellement à des fins commerciales, vous nous autorisez aussi à partager vos informations avec les autres sociétés du Groupe Orange autorisées. Si vous ne souhaitez pas que vos informations soient transmises, vous pouvez nous en informer par une simple lettre et les sociétés du Groupe Orange et autres intermédiaires n'auront plus accès à vos données bancaires ».
La protection de l'utilisateur ne s'arrête pas à la collecte
Bien entendu, cela ne signifie pas que l'ensemble de vos dépenses puissent être transmises à des tiers à des fins commerciales, mais le passage reste suffisament flou pour recouvrir de nombreuses possibilités. Et rares sont ceux qui liront les documents de l'offre jusqu'à ce niveau de détail, sans parler de ceux qui iront jusqu'à écrire une lettre.
On saisit de toute façon assez bien le problème qui réside dans la capacité pour une seule et même entreprise de regrouper une masse importante d'informations concernant des millions de personnes. Cette question se pose dans le cas d'Orange comme dans celui de Facebook ou Google, qui proposent déjà du paiement et connaissent souvent avec précision vos habitudes et les détails de votre navigation si vous disposez d'un compte maison auquel vous êtes connecté.
Outre la question du consentement lors de la collecte, portée de manière croissante par le RGPD et ePrivacy au niveau européen, il faudra aussi donc s'attarder sur un point qui n'est pas toujours évoqué avec autant d'attention : le croisement, l'utilisation et la revente des données.
Les régulateurs tels que la CNIL ou l'Arcep qui s'intéresse de plus en plus aux effets des plateformes, devront donc se montrer d'une grande vigilance dans les années à venir, au risque de voir rapidement les abus se multiplier. Il en sera de même pour les observateurs, qu'il s'agisse d'acteurs associatifs ou de la presse.
Mais pour jouer son rôle, cette dernière a déjà fort à faire concernant la réduction de sa propre dépendance à la collecte des données, de plus en plus au cœur de son modèle économique.
Commentaires (30)
#1
bonjour,
je vous rappelle que Orange Bank est une société distincte de Orange avec son propre SI et sa propre gouvernance. L’utilisateur n’est pas obligé d’ouvrir un compte Orange Bank en partagent ses infos commerciales Orange Mobile ou Internet.
De plus, les autorités bancaires imposent un certains nombre d’obligations, notamment des SI isolés.
Orange Bank appartient à Orange et à Groupame. Personne ne s’offusque que Groupama ai accès aux infos des clients Orange Bank mais par conte, panique dans les rédactions parisiennes, attention Orange aura accès au données de trop d’utilisateurs.
Le péquin moyen s’inquiète des ses données utilisés par Orange, par contre le péquin moyen n’esite pas a partager la couleur de son slip sur Facebook, sur des datas center situés en dehors de l’union européenne.
#2
Bonjour,
Vous avez lu l’article ? J’ai l’impression que non.
PS : rien dans notre rédaction n’est parisien ;)
#3
L’analyse est intéressante pour Orange Bank mais il serait tout aussi intéressant de préciser la façon dont sont gérées les données sur les autres néo banques (qui pour certaines ne sont pas domiciliées en France).
#4
#5
Comme dit le cas d’Orange Bank devient spécifique du fait de la concentration par Orange, parce que l’on s’inquiète souvent de la massivité des données récupérées par des acteurs US, rarement lorsqu’ils sont plus proches de nous (que ce soit Orange ou un grand magasin par exemple).
Mais oui il y a aussi un risque global que les banques deviennent des points de profilage comme les autres. Ce n’est pas le cas actuellement, avec la montée en puissance de la techno dans le secteur, rien ne dit que ça ne va pas rapidement venir " />
#6
Oui en fait pour les néo banques je ne pensais pas tant à une concentration de données qu’à une utilisation abusive de celles-ci. Car mine de rien l’épluchage des mouvements bancaires en dit bien plus sur une personne qu’une simple carte de fidélité.
#7
Autant je m’en fous de partager mes données avec des sociétés US (qui s’en foutent éperdument de moi), en revanche je ne tiens pas à partager mes données avec une société française en plus participée par l’état français
#8
Puis quand on voit la foule d’info que peut avoir une banque via les moyens de paiements c’est que là avec Orange (et autres banco mobiles CIC CM) le risque de cumul est grand
Et surtout la protection des données
#9
#10
Globalement je faisais une remarque… on craint les entreprises françaises qui sont contrôles par la CNIL ou bien les autorités bancaires.
Par contre, tout le monde partage tout et n’importe quoi avec des sociétés américaines… qui on le sait maintenant partagent allégrement les métadonnées des clients étrangers avec la NSA
#11
Les sociétés US sont aussi contrôlées par la CNIL (voir Facebook ou MS par exemple)
#12
Mais Orange a déjà récupéré les infos des clients de Goupama, non ? Je doute qu’ils repartent de zéro ?
#13
Très bon article, merci.
#14
Les clients Groupama pourront migrer dans un second temps de mémoire. Mais in fine, j’ai du mal à voir ce que ça change au problème soulevé " />
#15
Ca ne change rien, c’était juste une question.
#16
Comparaison n’est pas raison. Les abus des uns n’excluent pas (excusent encore moins) les abus potentiels des autres.
jenairienacacher.fr
Nothing to Hide
#17
ça fait longtemps que les telcos font tourner des algos de classification sur leurs clients (aujourd’hui on dirait de l’“IA”). Et les banques faisaient pareil….
Avec les bonnes jointures, ils pourront maintenant obtenir des modèles prédictifs de meilleure qualitay!…
L’est pas belle la vie?
(bon ça empêchera pas Orange de me démarcher pour me fourguer sa fibre et de se rendre compte en plein milieu de l’appel que ma zone n’est pas desservie…)
#18
C’est sûr qu’il ne faut pas regarder ce qui est envoyé chez on ne sait qui lorsque l’on surfe sur une page… En “oubliant” de prévenir. Il faut absolument utiliser des modules comme NoScript et uBlock.
Petite astuce qui peut rapporter de l’argent au tribunal : si vous utilisez le widget de vigilance météo de Météo France, jamais on vous dira que Xiti traîne dans le code, oups…
#19
Les cartes de fidélités sont aussi très souvent des cartes de crédit qui permettent de suivre les achats même dans d’autres enseignes.
#20
L’autorisation à la transmission de ses données personnelles à des fins de prospection noyée au sein des conditions d’utilisation est illégale…
La prospection électronique ne peut être faite qu’avec le consentement explicite de la personne. Les deux seules exceptions à ce principe sont :
Comme le souligne l’article, les données personnelles au sein d’un même groupe - souvent avec des activités très diverses - peuvent être partagées entre toutes les entités… Ce qui normalement, ne peut pas se faire sans un encadrement strict assurant le respect des droits des personnes puisque les sociétés sont des entités juridiques distinctes comme soulevé alexjo74. Le consentement doit être distinct quand il s’agit de céder / partager les données personnelles à une autre entité juridique afin qu’elle puisse les réutiliser à des fins de prospection (typiquement le cas des groupes de sociétés).
L’arrivée du RGPD arrive à point nommé !
#21
Il y a du travail tout de même quand on pense aux activités des agrégateurs de données que sont, par exemple, Mediapost ou Carrefour Media :
Marketing : les stratégies secrètes - Cash investigation - 07/10/2015
#22
#23
Oh après ça peut se comprendre, perso quand je fais des sites internet je mets un Recaptcha Google, c’est très très simple à gérer, 5 minutes à mettre en place, ça fait le boulot.
Après, quand il faut coder ça de zéro, tu perds du temps, sécurité pas au top, etc et au final tu expliques au client que Google c’est pas bien et que tu factures deux bonnes heures de programmation en plus pour un truc qu’il ne pourra pas gérer tout seul et qui ne marche pas bien.
Se protéger de Google, c’est faisable, mais il faut pas non plus tomber dans la caricature. On accepte le risque, et derrière on gère le truc. J’ai un compte Google, avec pas mal de données, sauf que j’ai déjà tout bloqué et je sais les trucs qu’on peut pas désactiver et ce à quoi ils ont toujours accès. Je m’adapte et je leur laisse accéder à ce que je veux bien leur donner. C’est un jeu pénible de chat et de souris, mais on est bien protégés, et ça risque de bien s’améliorer avec la loi européenne de mai 2018 :-)
#24
Ha ça, le nombre de site pour lesquels il faut autoriser google ou googleapi est hallucinant " /> et souvent on se demande pourquoi. Parce que si je l’autorise la seul différence c’est une zone du site qui peut etre affichée ou masquée, très souvent , n’importe quoi !
Je parle pas de trucs nécessitants de compte G non plus, je surfe déconnecté " />
A croire qu’on est infoutu de faire des sites sans " />
Alors si c’est pour t’afficher une carte via Google Maps, okay. On va pas vous demander de recoder un service de cartographie.
Autant pour Jquery (je sais rien a voir avec Google) je peut comprendre le besoin d’avoir une version à jour (sécurité)..
#25
#26
Pour Recaptcha c’est compliqué. Le but c’est d’avoir un truc relativement efficace, alors coder son propre système de captcha…
Une alternative libre serait bienvenue
#27
#28
#29
Et encore l’article n’aborde pas les joyeusetés de l’état d’urgence inclut dans la loi et ce que cela implique sur la “perméabilité” du secret bancaire pour l’administration si elle soupçonne quoi que ce soit…