Derrière le lancement d'Orange Bank, la question de la concentration de nos données

Derrière le lancement d’Orange Bank, la question de la concentration de nos données

Il faut casser les silos !

30

Derrière le lancement d'Orange Bank, la question de la concentration de nos données

En lançant une banque en plus de son activité d'opérateur, Orange augmente de manière importante la quantité de données qu'elle détient sur ses utilisateurs. De quoi poser la question de la concentration de ces informations, qui ne concerne pas que les géants du Net.

En fin de semaine dernière, Orange lançait une nouveauté importante au regard de sa stratégie de diversification : Orange Bank. Un service bancaire plutôt classique, mais orienté vers les usages mobile et le temps réel, une offre à mi-chemin entre les « néo-banques » et autres banques en ligne (voir notre analyse).

Comme d'autres, nous nous sommes attardés sur les conditions de l'offre et son fonctionnement technique, mais il y a un aspect essentiel qui a le plus souvent été mis de côté : celui des données accessibles par un acteur unique, du fait de sa position sur des marchés stratégiques. 

Les données, un bien précieux mais pas toujours très bien protégé

Souvent, lorsque l'on veut s'intéresser à l'utilisation des données, on se tourne assez naturellement vers de grosses sociétés américaines comme Facebook ou Google, qui promettent des services gratuits et des produits plus accessibles en échange d'un accès presque « open bar » à nos informations personnelles. 

Si c'est connu, certains redécouvrent parfois la réalité et l'ampleur du phénomène. Cela a par exemple été le cas lorsque Google Docs s'est mis à restreindre l'accès à des documents en pensant (à tort) qu'ils enfreignaient ses règles. Les clients du service, dont des médias nationaux, ont alors constaté leur dépendance à cet outil, leur manque de préparation en cas de panne et surtout... que Google peut accéder à leurs données et les scanner comme bon lui semble.

Pour rappel, tant que le chiffrement n'est pas assuré de bout-en-bout, ou par des dispositifs que vous avez vous-même mis en place, les données peuvent potentiellement être accédées par le service qui les héberge. Celui-ci peut à tout moment décider de vous couper l'accès, parfois avec des procédures qui souffrent de quelques défauts.

Ainsi, un employé de Twitter peut désactiver le compte du Président américain, vos messages privés et vos documents en ligne peuvent sans doute être lus par des employés s'ils ne sont pas chiffrés, et vous pouvez vous retrouver sans accès à vos fichiers lorsque Google Docs « pète un câble ». Vous aurez alors droit à quelques mots d'excuses dans un billet de blog.

Même si vous utilisez des services en ligne, pensez à chiffrer un maximum au moins ce qui est sensible, à effectuer des sauvegardes et à vérifier que vous êtes capable d'accéder à tout ce qui est nécessaire à votre fonctionnement quotidien. Et ce, même si l'accès à différents services en ligne venait à vous être coupé.

Données : il ne faut pas regarder que du côté des géants du Net

Mais penser que le problème se limite à quelques acteurs étrangers serait une erreur. La collecte des données, le tracking et le profilage de l'utilisateur sont présents partout, presque à chaque moment de sa vie. Ils sont mis en place par de très nombreuses sociétés, pour des raisons plus ou moins avouables.

Une surveillance de masse, presque permanente, rendue possible par un fait simple : elle est presque totalement invisible.

Quand vous vous rendez sur un site, vous ne voyez pas forcément que Google Analytics, les boutons des réseaux sociaux et autres scripts servent à collecter des données vous concernant. Pas plus que vous ne savez que votre smartphone et ses applications peuvent servir à collecter vos habitudes de consommation, que vous utilisiez un réseau social, l'application d'un média, un réseau Wi-Fi ou des services encore plus anodins.

L'utilisateur voit seulement que tout est le plus souvent gratuit, qu'on lui propose des remises et autres offres personnalisées. Il calcule son intérêt à court terme, sans forcément se représenter le profil géant, assez précis et à vocation commerciale, que l'on est en train de constituer de lui.

Tracking Cibles
Crédits : AndreyPopov/iStock/Thinkstock

Nous avons récemment vu le cas de grands magasins qui cherchent à vous suivre à la trace lors de vos achats via de nouvelles solutions techniques. Mais ils le font déjà de manière assez précise avec leurs précieuses cartes de fidélité qui peuvent être un très bon reflet de vos habitudes de consommation et de qui vous êtes.

Les FAI cherchent de leur côté à utiliser vos données de navigation et autres informations vous concernant à des fins publicitaires. Le monde de la TV lorgne d'ailleurs sur ces données alors que sa distribution passe de plus en plus par internet dans le cadre de ses nouvelles offres de publicité adressée, pour le moment interdite (à quelques tests près).

Éviter qu'un seul acteur puisse accéder à trop de données

Dès lors, permettre à de gros acteurs de concentrer des sommes impressionnantes de données nous concernant peut constituer un risque. Et dans le domaine, les géants ne sont pas qu'américains. Orange devient à son tour un bon exemple de société qui commence à avoir accès à une masse impressionnante d'informations sur ses clients.

Sa position de FAI et désormais d'acteur bancaire lui ouvre les portes de données importantes, qui concernent aussi bien ceux qui utilisent ses services que ses employés. Que penseriez-vous si votre société pouvait avoir accès à l'intégralité de votre navigation fixe ou mobile, à votre position géographique (via votre smartphone) et à l'ensemble de vos dépenses et revenus via les informations de votre compte bancaire ?

C'est désormais ce qu'est capable d'accumuler Orange sur un client qui aurait ses accès internet et son compte bancaire souscrit auprès de ses services.

Bien entendu, dans ses conditions d'utilisation (3.3), Orange Bank précise être tenue au secret professionnel, ce secret pouvant être levé uniquement de manière encadrée. Et lorsque des tiers sont sollicités pour traiter vos données, « vous nous autorisez à partager vos informations couvertes par le secret professionnel avec eux dans le strict besoin de la prestation, pour assurer le bon fonctionnement des produits et services que vous avez souscrits ». 

Mais on peut aussi lire que « pour faciliter certains actes de gestions et éventuellement à des fins commerciales, vous nous autorisez aussi à partager vos informations avec les autres sociétés du Groupe Orange autorisées. Si vous ne souhaitez pas que vos informations soient transmises, vous pouvez nous en informer par une simple lettre et les sociétés du Groupe Orange et autres intermédiaires n'auront plus accès à vos données bancaires ».

La protection de l'utilisateur ne s'arrête pas à la collecte

Bien entendu, cela ne signifie pas que l'ensemble de vos dépenses puissent être transmises à des tiers à des fins commerciales, mais le passage reste suffisament flou pour recouvrir de nombreuses possibilités. Et rares sont ceux qui liront les documents de l'offre jusqu'à ce niveau de détail, sans parler de ceux qui iront jusqu'à écrire une lettre.

On saisit de toute façon assez bien le problème qui réside dans la capacité pour une seule et même entreprise de regrouper une masse importante d'informations concernant des millions de personnes. Cette question se pose dans le cas d'Orange comme dans celui de Facebook ou Google, qui proposent déjà du paiement et connaissent souvent avec précision vos habitudes et les détails de votre navigation si vous disposez d'un compte maison auquel vous êtes connecté.

Outre la question du consentement lors de la collecte, portée de manière croissante par le RGPD et ePrivacy au niveau européen, il faudra aussi donc s'attarder sur un point qui n'est pas toujours évoqué avec autant d'attention :  le croisement, l'utilisation et la revente des données.

Les régulateurs tels que la CNIL ou l'Arcep qui s'intéresse de plus en plus aux effets des plateformes, devront donc se montrer d'une grande vigilance dans les années à venir, au risque de voir rapidement les abus se multiplier. Il en sera de même pour les observateurs, qu'il s'agisse d'acteurs associatifs ou de la presse.

Mais pour jouer son rôle, cette dernière a déjà fort à faire concernant la réduction de sa propre dépendance à la collecte des données, de plus en plus au cœur de son modèle économique. 

Commentaires (30)


bonjour,



je vous rappelle que Orange Bank est une société distincte de Orange avec son propre SI et sa propre gouvernance. L’utilisateur n’est pas obligé d’ouvrir un compte Orange Bank en partagent ses infos commerciales Orange Mobile ou Internet.

De plus, les autorités bancaires imposent un certains nombre d’obligations, notamment des SI isolés.

Orange Bank appartient à Orange et à Groupame. Personne ne s’offusque que Groupama ai accès aux infos des clients Orange Bank mais par conte, panique dans les rédactions parisiennes, attention Orange aura accès au données de trop d’utilisateurs.



Le péquin moyen s’inquiète des ses données utilisés par Orange, par contre le péquin  moyen n’esite pas a partager la couleur de son slip sur Facebook, sur des datas center situés en dehors de l’union européenne.


Bonjour,



Vous avez lu l’article ? J’ai l’impression que non.



PS : rien dans notre rédaction n’est parisien ;)


L’analyse est intéressante pour Orange Bank mais il serait tout aussi intéressant de préciser la façon dont sont gérées les données sur les autres néo banques (qui pour certaines ne sont pas domiciliées en France).








alexjo74 a écrit :



bonjour,



je vous rappelle que Orange Bank est une société distincte de Orange avec son propre SI et sa propre gouvernance. L’utilisateur n’est pas obligé d’ouvrir un compte Orange Bank en partagent ses infos commerciales Orange Mobile ou Internet.

De plus, les autorités bancaires imposent un certains nombre d’obligations, notamment des SI isolés.

Orange Bank appartient à Orange et à Groupame. Personne ne s’offusque que Groupama ai accès aux infos des clients Orange Bank mais par conte, panique dans les rédactions parisiennes, attention Orange aura accès au données de trop d’utilisateurs.



Le péquin moyen s’inquiète des ses données utilisés par Orange, par contre le péquin  moyen n’esite pas a partager la couleur de son slip sur Facebook, sur des datas center situés en dehors de l’union européenne.





Bon bin on a déjà un client Internet “by” orange, GSM “by” Orange et bientôt bank “by” Orange…..



Reste juste qu’il se fasse greffer les yeux pour lire l’article et le neurone pour l’interpréter… “By” orange.

 



Comme dit le cas d’Orange Bank devient spécifique du fait de la concentration par Orange, parce que l’on s’inquiète souvent de la massivité des données récupérées par des acteurs US, rarement lorsqu’ils sont plus proches de nous (que ce soit Orange ou un grand magasin par exemple). 



Mais oui il&nbsp; y a aussi un risque global que les banques deviennent des points de profilage comme les autres. Ce n’est pas le cas actuellement, avec la montée en puissance de la techno dans le secteur, rien ne dit que ça ne va pas rapidement venir <img data-src=" />


Oui en fait pour les néo banques je ne pensais pas tant à une concentration de données qu’à une utilisation abusive de celles-ci. Car mine de rien l’épluchage des mouvements bancaires en dit bien plus sur une personne qu’une simple carte de fidélité.


Autant je m’en fous de partager mes données avec des sociétés US (qui s’en foutent éperdument de moi), en revanche je ne tiens pas à partager mes données avec une société française en plus participée par l’état français


Puis quand on voit la foule d’info que peut avoir une banque via les moyens de paiements c’est que là avec Orange (et autres banco mobiles CIC CM) le risque de cumul est grand



Et surtout la protection des données








David_L a écrit :



Mais oui il&nbsp; y a aussi un risque global que les banques deviennent des points de profilage comme les autres.&nbsp;





Pourquoi se limiter aux banques ?

Depuis l’été dernier, pour se connecter à son espace client sur le site d’EDF, on en passe par “je ne suis pas un robot” de Google. Je me suis plaint au PDG d’EDF de devoir accepter d’être encore un peu plus surveillé et espionné par Google pour payer sa facture en ligne. Que je sois ou que je ne sois pas client d’EDF ne regarde pas Google. Encore un abus.



Globalement je faisais une remarque… on craint les entreprises françaises qui sont contrôles par la CNIL ou bien les autorités bancaires.

Par contre, tout le monde partage tout et n’importe quoi avec des sociétés américaines… qui on le sait maintenant partagent allégrement les métadonnées des clients étrangers avec la NSA


Les sociétés US sont aussi contrôlées par la CNIL (voir Facebook ou MS par exemple)


Mais Orange a déjà récupéré les infos des clients de Goupama, non ? Je doute qu’ils repartent de zéro ?


Très bon article, merci.


Les clients Groupama pourront migrer dans un second temps de mémoire. Mais in fine, j’ai du mal à voir ce que ça change au problème soulevé <img data-src=" />


Ca ne change rien, c’était juste une question.


Comparaison n’est pas raison.&nbsp;Les abus des uns n’excluent pas (excusent encore moins) les abus potentiels des autres.



jenairienacacher.fr&nbsp;

Nothing to Hide


ça fait longtemps que les telcos font tourner des algos de classification sur leurs clients (aujourd’hui on dirait de l’“IA”). Et les banques faisaient pareil….

&nbsp;

Avec les bonnes jointures, ils pourront maintenant obtenir des modèles prédictifs de meilleure qualitay!…

L’est pas belle la vie?



(bon ça empêchera pas Orange de me démarcher pour me fourguer sa fibre et de se rendre compte en plein milieu de l’appel que ma zone n’est pas desservie…)



&nbsp;


C’est sûr qu’il ne faut pas regarder ce qui est envoyé chez on ne sait qui lorsque l’on surfe sur une page… En “oubliant” de prévenir. Il faut absolument utiliser des modules comme NoScript et uBlock.

Petite astuce qui peut rapporter de l’argent au tribunal : si vous utilisez le widget de vigilance météo de Météo France, jamais on vous dira que Xiti traîne dans le code, oups…


Les cartes de fidélités sont aussi très souvent des cartes de crédit qui permettent de suivre les achats même dans d’autres enseignes.


L’autorisation à la transmission de ses données personnelles à des fins de prospection noyée au sein des conditions d’utilisation est illégale…



La prospection électronique ne peut être faite qu’avec le consentement explicite de la personne. Les deux seules exceptions à ce principe sont :





  • une prospection relative à des biens et des services analogues à ceux que la personne a déjà acheté (expliquez moi en quoi un forfait téléphonique et un crédit sont “analogues”…);

  • une prospection non commerciale.



    Comme le souligne l’article, les données personnelles au sein d’un même groupe - souvent avec des activités très diverses - peuvent être partagées entre toutes les entités… Ce qui normalement, ne peut pas se faire sans un encadrement strict assurant le respect des droits des personnes puisque les sociétés sont des entités juridiques distinctes comme soulevé alexjo74. Le consentement doit être distinct quand il s’agit de céder / partager les données personnelles à une autre entité juridique afin qu’elle puisse les réutiliser à des fins de prospection (typiquement le cas des groupes de sociétés).

    L’arrivée du RGPD arrive à point nommé !


Il y a du travail tout de même quand on pense aux activités des agrégateurs de données que sont, par exemple, Mediapost ou Carrefour Media :



Marketing : les stratégies secrètes&nbsp;- Cash investigation - 07/10/2015








heret a écrit :



Pourquoi se limiter aux banques ?

Depuis l’été dernier, pour se connecter à son espace client sur le site d’EDF, on en passe par “je ne suis pas un robot” de Google. Je me suis plaint au PDG d’EDF de devoir accepter d’être encore un peu plus surveillé et espionné par Google pour payer sa facture en ligne. Que je sois ou que je ne sois pas client d’EDF ne regarde pas Google. Encore un abus.





Oui clairement de l’abus comme la plupart des sites en ligne qui estiment que les apis google/facebook sont une norme et qu’il y a de la régression si tu ne laisse pas les algos facegooglés (infra sous-jacente) se charger de traquer le “péquin”…



Pour se rendre compte de l’état de l’internet aujourd’hui il suffit d’installer un bloqueur de script et de le durcir pour se rendre compte qu’on est plus sur le réseau internet (neutre) mais sur l’un des réseaux GAFAMé :[



Oh après ça peut se comprendre, perso quand je fais des sites internet je mets un Recaptcha Google, c’est très très simple à gérer, 5 minutes à mettre en place, ça fait le boulot.

Après, quand il faut coder ça de zéro, tu perds du temps, sécurité pas au top, etc et au final tu expliques au client que Google c’est pas bien et que tu factures deux bonnes heures de programmation en plus pour un truc qu’il ne pourra pas gérer tout seul et qui ne marche pas bien.

Se protéger de Google, c’est faisable, mais il faut pas non plus tomber dans la caricature. On accepte le risque, et derrière on gère le truc. J’ai un compte Google, avec pas mal de données, sauf que j’ai déjà tout bloqué et je sais les trucs qu’on peut pas désactiver et ce à quoi ils ont toujours accès. Je m’adapte et je leur laisse accéder à ce que je veux bien leur donner. C’est un jeu pénible de chat et de souris, mais on est bien protégés, et ça risque de bien s’améliorer avec la loi européenne de mai 2018 :-)


Ha ça, le nombre de site pour lesquels il faut autoriser google ou googleapi est hallucinant <img data-src=" /> et souvent on se demande pourquoi. Parce que si je l’autorise la seul différence c’est une zone du site qui peut etre affichée ou masquée, très souvent , n’importe quoi&nbsp; !



Je parle pas de trucs nécessitants de compte G non plus, je surfe déconnecté <img data-src=" />

A croire qu’on est infoutu de faire des sites sans <img data-src=" />

&nbsp;

Alors si c’est pour t’afficher une carte via Google Maps, okay. On va pas vous demander de recoder un service de cartographie.

&nbsp;

Autant pour Jquery (je sais rien a voir avec&nbsp; Google)&nbsp; je&nbsp; peut comprendre le besoin d’avoir une version à jour (sécurité)..

&nbsp;








PercevalIO a écrit :



Oh après ça peut se comprendre, perso quand je fais des sites internet je mets un Recaptcha Google, c’est très très simple à gérer, 5 minutes à mettre en place, ça fait le boulot.





De mon point de vue d’informaticien, je comprends tout à fait. De mon point de vue de client de la société en question, je n’accepte pas que la gêne soit de mon côté, je n’accepte pas de devoir faire un effort que les informaticiens d’EDF n’ont pas voulu faire, et je n’accepte pas d’être encore un peu plus tracé, surveillé et espionné par Google. En tant que client, je ne dois pas être gêné par les aspects de sécurité, je ne dois même pas les voir au-delà du login/pwd.



Pour Recaptcha c’est compliqué. Le but c’est d’avoir un truc relativement efficace, alors coder son propre système de captcha…



Une alternative libre serait bienvenue








alexjo74 a écrit :



bonjour,




 je vous rappelle que Orange Bank est une société distincte de Orange avec son propre SI et sa propre gouvernance. L'utilisateur n'est pas obligé d’ouvrir un compte Orange Bank en partagent ses infos commerciales Orange Mobile ou Internet.        

De plus, les autorités bancaires imposent un certains nombre d'obligations, notamment des SI isolés.

Orange Bank appartient à Orange et à Groupame. Personne ne s'offusque que Groupama ai accès aux infos des clients Orange Bank mais par conte, panique dans les rédactions parisiennes, attention Orange aura accès au données de trop d'utilisateurs.






 Le péquin moyen s’inquiète des ses données utilisés par Orange, par contre le péquin&nbsp; moyen n’esite pas a partager la couleur de son slip sur Facebook, sur des datas center situés en dehors de l'union européenne.








Le péquin moyen est libre de faire ce qu'il veut de sa vie et de l'afficher comme bon lui semble ... pas un tiers.








PercevalIO a écrit :



Oh après ça peut se comprendre, perso quand je fais des sites internet je mets un Recaptcha Google, c’est très très simple à gérer, 5 minutes à mettre en place, ça fait le boulot.

Après, quand il faut coder ça de zéro, tu perds du temps, sécurité pas au top, etc et au final tu expliques au client que Google c’est pas bien et que tu factures deux bonnes heures de programmation en plus pour un truc qu’il ne pourra pas gérer tout seul et qui ne marche pas bien.

Se protéger de Google, c’est faisable, mais il faut pas non plus tomber dans la caricature. On accepte le risque, et derrière on gère le truc. J’ai un compte Google, avec pas mal de données, sauf que j’ai déjà tout bloqué et je sais les trucs qu’on peut pas désactiver et ce à quoi ils ont toujours accès. Je m’adapte et je leur laisse accéder à ce que je veux bien leur donner. C’est un jeu pénible de chat et de souris, mais on est bien protégés, et ça risque de bien s’améliorer avec la loi européenne de mai 2018 :-)





J’ai un peu suivi le truc concernant le règlement européen sur la protection des données personnelles si seulement ça pouvait bousculer ce laxisme, cette opacité ambiante qui sous couvert d’innovation contribuent à alimenter les algos de deep/machine learning.



Mais bien d’accord il y un décalage entre celles et ceux qui savent comment déjouer ces mécanismes et la majorité de personnes qui sous couvert d’innovation (ah là ma bonne dame faut pas raterl’train ;)) et par manque de transparence entretiennent la “matrice de la donnée” généralement à leurs dépens.

&nbsp;







RaoulC a écrit :



Ha ça, le nombre de site pour lesquels il faut autoriser google ou googleapi est hallucinant <img data-src=" /> et souvent on se demande pourquoi. Parce que si je l’autorise la seul différence c’est une zone du site qui peut etre affichée ou masquée, très souvent , n’importe quoi&nbsp; !



Je parle pas de trucs nécessitants de compte G non plus, je surfe déconnecté <img data-src=" />

A croire qu’on est infoutu de faire des sites sans <img data-src=" />

&nbsp;

Alors si c’est pour t’afficher une carte via Google Maps, okay. On va pas vous demander de recoder un service de cartographie.

&nbsp;





Et pour exister il faut être passer par le nœud du bouc <img data-src=" />



Et encore l’article n’aborde pas les joyeusetés de l’état d’urgence inclut dans la loi et ce que cela implique sur la “perméabilité” du secret bancaire pour l’administration si elle soupçonne quoi que ce soit…


Fermer