Sur Privacy.com, il est facile de dissimuler ses habitudes d'achat en ligne : il suffit de saisir ses informations de compte bancaire pour que le site génère une carte de débit virtuelle. Cette carte dite "burner" agit comme un client par substitution, en gardant votre nom et votre adresse de facturation hors de vue. Il vous suffit de taper le numéro, la date d'expiration et le code CVV sur n'importe quel site de commerce électronique, de cliquer sur "Acheter" et le service de protection de la vie privée prend le relais. Le service débite votre carte actuelle, ajoute ces fonds à la carte burner et utilise la nouvelle carte pour faire les achats.
La promesse est attrayante. La carte peut être configurée de manière à ce que les commerçants ne puissent pas ajouter de frais supplémentaires, tels que des frais d'abonnement automatiques. Si le site du commerçant est piraté, il vous suffit de vous débarrasser de la carte burner et de passer à autre chose. Et si une personne impliquée dans la transaction tente de vendre vos données, la seule information dont elle dispose sur la carte est que l'achat a été effectué auprès de Privacy.com.
Ce n'est pas le seul service offert pour masquer les transactions des gens. En août dernier, Apple a lancé l'Apple Card, une carte de crédit sans numéro émise par Goldman Sachs qui ne permet pas de suivre vos achats. Les sociétés de logiciels de protection de la vie privée et d'autres entreprises de pointe telles que FigLeaf et Abine travaillent sur des cartes burner et d'autres technologies, comme les gestionnaires de mots de passe et les extensions de navigateur qui masquent votre navigation sur le web. Hors ligne, les consommateurs ont toujours pu faire des achats anonymes en espèces. Mais en ligne, c'est une autre histoire. Nous voulons donner aux consommateurs la possibilité de dire : "J'aime faire des affaires avec vous, je veux participer sur Internet, je veux juste le faire à mes conditions", déclare Rob Shavell, cofondateur d'Abine.
La promesse est attrayante. La carte peut être configurée de manière à ce que les commerçants ne puissent pas ajouter de frais supplémentaires, tels que des frais d'abonnement automatiques. Si le site du commerçant est piraté, il vous suffit de vous débarrasser de la carte burner et de passer à autre chose. Et si une personne impliquée dans la transaction tente de vendre vos données, la seule information dont elle dispose sur la carte est que l'achat a été effectué auprès de Privacy.com.
Ce n'est pas le seul service offert pour masquer les transactions des gens. En août dernier, Apple a lancé l'Apple Card, une carte de crédit sans numéro émise par Goldman Sachs qui ne permet pas de suivre vos achats. Les sociétés de logiciels de protection de la vie privée et d'autres entreprises de pointe telles que FigLeaf et Abine travaillent sur des cartes burner et d'autres technologies, comme les gestionnaires de mots de passe et les extensions de navigateur qui masquent votre navigation sur le web. Hors ligne, les consommateurs ont toujours pu faire des achats anonymes en espèces. Mais en ligne, c'est une autre histoire. Nous voulons donner aux consommateurs la possibilité de dire : "J'aime faire des affaires avec vous, je veux participer sur Internet, je veux juste le faire à mes conditions", déclare Rob Shavell, cofondateur d'Abine.
Nous nous sommes habitués au triste fait que presque tous les grands annonceurs, sites web et fabricants d'appareils électroniques personnels collectent et contrôlent les données des utilisateurs dans une certaine mesure. Certains le font à leurs propres fins. D'autres le font au service de divers maîtres espions algorithmiques, tels que Facebook ou Google, qui analysent de vastes ensembles d'informations personnelles - des réseaux sociaux aux GPS - pour diffuser des publicités pertinentes. (Fast Company, comme de nombreux autres médias, suit les données des lecteurs à des fins publicitaires).
Mais pour comprendre avec certitude les comportements d'achat, il faut disposer des données relatives aux cartes de crédit. Au cours de la dernière décennie, les achats des consommateurs sont devenus discrètement l'un des ensembles de données les plus recherchés et les plus lucratifs, utilisés par Wall Street et Madison Avenue pour déduire les goûts, les budgets et les projets des acheteurs. "Les données sur les transactions sont aujourd'hui le Saint-Graal pour les spécialistes du marketing", déclare Michael Moreau, cofondateur de Habu, une start-up basée à Boston qui aide les publicitaires à rassembler leurs données.
Mais pour comprendre avec certitude les comportements d'achat, il faut disposer des données relatives aux cartes de crédit. Au cours de la dernière décennie, les achats des consommateurs sont devenus discrètement l'un des ensembles de données les plus recherchés et les plus lucratifs, utilisés par Wall Street et Madison Avenue pour déduire les goûts, les budgets et les projets des acheteurs. "Les données sur les transactions sont aujourd'hui le Saint-Graal pour les spécialistes du marketing", déclare Michael Moreau, cofondateur de Habu, une start-up basée à Boston qui aide les publicitaires à rassembler leurs données.
Ces transactions ont donné naissance à un écosystème complexe de vente de données. Au cœur de celui-ci se trouvent les réseaux de traitement des cartes de crédit, dont Visa, American Express et Mastercard, ce dernier ayant encaissé 4,1 milliards de dollars en 2019 - soit un quart de son chiffre d'affaires annuel - en exploitant son centre de données sur les transactions pour des services qui comprennent l'analyse marketing ainsi que des programmes de récompense et la détection des fraudes. Et puis il y a les banques, les commerçants, les entreprises de traitement des paiements et les sociétés de logiciels qui permettent les transactions en ligne. Peu d'entre eux révèlent leurs méthodes, certains dissimulent activement leur travail ; tous s'engagent à ce que les données personnelles soient anonymisées et agrégées, et donc sécurisées.
La réalité est bien plus complexe. Dans un sens, les titulaires de cartes sont plus que jamais à l'abri du vol d'identité. Dans le même temps, ils font désormais leurs achats dans un panoptique, les entreprises assurant le suivi et l'analyse de leurs achats en temps quasi réel. Il n'a jamais été aussi difficile de savoir qui surveille et vend ces données, sans parler de ceux qui achètent.
La réalité est bien plus complexe. Dans un sens, les titulaires de cartes sont plus que jamais à l'abri du vol d'identité. Dans le même temps, ils font désormais leurs achats dans un panoptique, les entreprises assurant le suivi et l'analyse de leurs achats en temps quasi réel. Il n'a jamais été aussi difficile de savoir qui surveille et vend ces données, sans parler de ceux qui achètent.
Les entreprises ont exploité les données relatives aux transactions pour nous vendre davantage de choses dès les années 1990, lorsque des géants des cartes de crédit comme American Express ont analysé les achats pour adapter les offres spéciales aux titulaires de cartes. Les spécialistes du marketing, dont les points de vue sont plus limités, ont mis en commun les données de leurs propres caisses enregistreuses pour obtenir une meilleure représentation de leurs clients.
Le paysage a radicalement changé lorsque les startups de Fintech ont fait leur apparition une décennie plus tard. Au début, les banques se méfiaient du partage des données et de la collaboration avec elles, en grande partie à cause de la loi Gramm-Leach-Bliley de 1999, qui impose des sanctions aux institutions financières qui mettent en danger les données des clients, y compris les noms, les anniversaires, les adresses et autres informations personnelles identifiables. Pour résoudre ce problème, les startups ont mis en place un système sophistiqué qui efface les données personnelles et les remplace par des pseudonymes générés au hasard qui agissent comme des codes d'identification : Ils sont incompréhensibles en soi, mais peuvent ensuite être comparés aux dossiers individuels des clients.
Ce système de substitution (également appelé "tokenisation") est désormais standard. Les cartes à puce, les systèmes de paiement sans contact comme Apple Pay, les méthodes de paiement en ligne et d'autres technologies bancaires sur Internet s'appuient sur ce système pour se connecter les uns aux autres. Ils forment même des "daisy chains" : Si une application de commerce électronique doit accepter les cartes de crédit, elle utilise un logiciel fourni par un processeur de paiement comme Stripe. Si une application de services financiers telle que Acorns veut se connecter aux comptes bancaires des clients, elle peut utiliser une API de Plaid, qui automatise les connexions. Si une application de gestion de patrimoine veut donner aux utilisateurs un aperçu de leur carte de crédit, de leur épargne et de leurs comptes d'investissement, elle peut utiliser un logiciel d'une société appelée Yodlee.
Aujourd'hui, tout Américain qui a acheté quelque chose en ligne a presque certainement vu ses données transmises par sa société de cartes de crédit et par les startups du middleware. Et certains de ces intermédiaires profitent de ce qu'ils constatent en vendant des informations à des spécialistes du marketing, des fonds spéculatifs et d'autres courtiers.
Le paysage a radicalement changé lorsque les startups de Fintech ont fait leur apparition une décennie plus tard. Au début, les banques se méfiaient du partage des données et de la collaboration avec elles, en grande partie à cause de la loi Gramm-Leach-Bliley de 1999, qui impose des sanctions aux institutions financières qui mettent en danger les données des clients, y compris les noms, les anniversaires, les adresses et autres informations personnelles identifiables. Pour résoudre ce problème, les startups ont mis en place un système sophistiqué qui efface les données personnelles et les remplace par des pseudonymes générés au hasard qui agissent comme des codes d'identification : Ils sont incompréhensibles en soi, mais peuvent ensuite être comparés aux dossiers individuels des clients.
Ce système de substitution (également appelé "tokenisation") est désormais standard. Les cartes à puce, les systèmes de paiement sans contact comme Apple Pay, les méthodes de paiement en ligne et d'autres technologies bancaires sur Internet s'appuient sur ce système pour se connecter les uns aux autres. Ils forment même des "daisy chains" : Si une application de commerce électronique doit accepter les cartes de crédit, elle utilise un logiciel fourni par un processeur de paiement comme Stripe. Si une application de services financiers telle que Acorns veut se connecter aux comptes bancaires des clients, elle peut utiliser une API de Plaid, qui automatise les connexions. Si une application de gestion de patrimoine veut donner aux utilisateurs un aperçu de leur carte de crédit, de leur épargne et de leurs comptes d'investissement, elle peut utiliser un logiciel d'une société appelée Yodlee.
Aujourd'hui, tout Américain qui a acheté quelque chose en ligne a presque certainement vu ses données transmises par sa société de cartes de crédit et par les startups du middleware. Et certains de ces intermédiaires profitent de ce qu'ils constatent en vendant des informations à des spécialistes du marketing, des fonds spéculatifs et d'autres courtiers.
La tokenisation "a effectivement créé une faille", explique Yves-Alexandre de Montjoye, qui dirige le groupe de protection de la vie privée au sein de l'Imperial College de Londres et qui a conseillé la Commission européenne sur les questions de protection de la vie privée. En supprimant les noms et autres détails, les entreprises peuvent faire valoir "qu'il ne s'agit pas de données personnelles, mais de données anonymes", dit-il.
Mais ce n'est pas si anonyme. En 2015, M. de Montjoye et ses collègues du MIT ont pris un ensemble de données contenant trois mois de transactions par carte de crédit effectuées par 1,1 million de personnes non identifiées, et ont découvert que, dans 90 % des cas, ils pouvaient identifier une personne s'ils connaissaient les détails approximatifs (le jour et le magasin) de quatre des achats de cette personne. En d'autres termes, la combinaison de quelques factures, de tweets et de photos Instagram vous montrant en train de dîner au restaurant suffit à révéler vos autres achats.
Tout cela se passe sous le couvert du secret. Les sociétés de cartes de crédit reconnaissent peut-être qu'elles gagnent de l'argent en analysant les transactions, mais elles restent vagues sur les données qu'elles partagent réellement. Visa, par exemple, affirme que son activité de collecte de données ne fournit que l'historique des transactions au niveau du code postal. Mais les codes postaux qu'elle utilise sont suffisamment spécifiques pour localiser les adresses d'un côté d'un pâté de maisons ou d'une rue, et souvent une seule adresse. (Visa dit qu'elle partage ces données par lots de cartes pour éviter de révéler des informations individuelles). American Express dit qu'elle ne vend jamais de données de transaction à des tiers. Cependant, elle travaille avec un courtier en données, appelé Wiland, pour identifier les consommateurs individuels dont les habitudes d'achat correspondent aux critères fournis par les commerçants. (Selon American Express, sa "méthodologie de modélisation" protège la vie privée des titulaires de cartes). Cibler les individus sur la base des données de transaction est "ridiculement facile", déclare Robert Brill, fondateur de Brill Media, qui utilise les données de Mastercard et d'autres sources pour acheter de la publicité numérique au nom des clients.
Mais ce n'est pas si anonyme. En 2015, M. de Montjoye et ses collègues du MIT ont pris un ensemble de données contenant trois mois de transactions par carte de crédit effectuées par 1,1 million de personnes non identifiées, et ont découvert que, dans 90 % des cas, ils pouvaient identifier une personne s'ils connaissaient les détails approximatifs (le jour et le magasin) de quatre des achats de cette personne. En d'autres termes, la combinaison de quelques factures, de tweets et de photos Instagram vous montrant en train de dîner au restaurant suffit à révéler vos autres achats.
Tout cela se passe sous le couvert du secret. Les sociétés de cartes de crédit reconnaissent peut-être qu'elles gagnent de l'argent en analysant les transactions, mais elles restent vagues sur les données qu'elles partagent réellement. Visa, par exemple, affirme que son activité de collecte de données ne fournit que l'historique des transactions au niveau du code postal. Mais les codes postaux qu'elle utilise sont suffisamment spécifiques pour localiser les adresses d'un côté d'un pâté de maisons ou d'une rue, et souvent une seule adresse. (Visa dit qu'elle partage ces données par lots de cartes pour éviter de révéler des informations individuelles). American Express dit qu'elle ne vend jamais de données de transaction à des tiers. Cependant, elle travaille avec un courtier en données, appelé Wiland, pour identifier les consommateurs individuels dont les habitudes d'achat correspondent aux critères fournis par les commerçants. (Selon American Express, sa "méthodologie de modélisation" protège la vie privée des titulaires de cartes). Cibler les individus sur la base des données de transaction est "ridiculement facile", déclare Robert Brill, fondateur de Brill Media, qui utilise les données de Mastercard et d'autres sources pour acheter de la publicité numérique au nom des clients.
Et puis il y a les intermédiaires de fintech. Plaid, qui accède aux informations sur les comptes bancaires pour le bénéfice de plus de 2 600 applications, affirme ne jamais vendre les données des utilisateurs. Mais, en janvier, la société a accepté d'être rachetée par Visa, qui vend des données par l'intermédiaire d'une entreprise appelée Visa Advertising Solutions. (Visa a refusé de commenter ses projets pour Plaid.) L'application d'orientation financière HelloWallet dit qu'elle ne vend pas de données sur des utilisateurs uniques. Mais pour accéder aux comptes des utilisateurs, elle s'appuie sur Yodlee, qui vend ces informations.
La capacité du gouvernement à contrôler ce commerce est limitée. En janvier, les sénateurs Sherrod Brown de l'Ohio et Ron Wyden de l'Oregon, ainsi que la représentante Anne Eshoo, de Californie, ont envoyé une lettre à la Commission fédérale du commerce, demandant une enquête sur la société mère de Yodlee, Envestnet, pour avoir vendu des données de clients à leur insu. Yodlee, pour sa part, affirme qu'elle respecte toutes les lois applicables. "Le Congrès doit établir des règles claires régissant les entreprises qui fouillent dans notre vie privée", déclare M. Brown. Un projet de loi déposé en octobre dernier par Wyden, par exemple, obligerait les entreprises à être plus transparentes sur la façon dont elles partagent les données des consommateurs. Cependant, rien n'indique que le Sénat l'examinera prochainement.
En l'absence de réglementation, des applications telles que Privacy et Abine ont vu le jour pour aider les consommateurs. Mais elles ont toujours des liens avec l'écosystème des données. La protection de la vie privée repose sur Plaid. Abine utilise Stripe, qui ne divulgue pas les noms de tous ses partenaires bancaires. Même Apple, qui interdit à Goldman Sachs d'utiliser les données de ses cartes à des fins de marketing, ne pourrait pas obtenir les mêmes concessions de Mastercard, son réseau de cartes.
Pour un acheteur soucieux de sa vie privée, ces services peuvent certainement brouiller les pistes. Mais même eux ne peuvent pas se sortir complètement du marécage.
La capacité du gouvernement à contrôler ce commerce est limitée. En janvier, les sénateurs Sherrod Brown de l'Ohio et Ron Wyden de l'Oregon, ainsi que la représentante Anne Eshoo, de Californie, ont envoyé une lettre à la Commission fédérale du commerce, demandant une enquête sur la société mère de Yodlee, Envestnet, pour avoir vendu des données de clients à leur insu. Yodlee, pour sa part, affirme qu'elle respecte toutes les lois applicables. "Le Congrès doit établir des règles claires régissant les entreprises qui fouillent dans notre vie privée", déclare M. Brown. Un projet de loi déposé en octobre dernier par Wyden, par exemple, obligerait les entreprises à être plus transparentes sur la façon dont elles partagent les données des consommateurs. Cependant, rien n'indique que le Sénat l'examinera prochainement.
En l'absence de réglementation, des applications telles que Privacy et Abine ont vu le jour pour aider les consommateurs. Mais elles ont toujours des liens avec l'écosystème des données. La protection de la vie privée repose sur Plaid. Abine utilise Stripe, qui ne divulgue pas les noms de tous ses partenaires bancaires. Même Apple, qui interdit à Goldman Sachs d'utiliser les données de ses cartes à des fins de marketing, ne pourrait pas obtenir les mêmes concessions de Mastercard, son réseau de cartes.
Pour un acheteur soucieux de sa vie privée, ces services peuvent certainement brouiller les pistes. Mais même eux ne peuvent pas se sortir complètement du marécage.
source :
https://www.fastcompany.com/90490923/credit-card-companies-are-tracking-shoppers-like-never-before-inside-the-next-phase-of-surveillance-capitalism
Miroir :
https://app.sigle.io/linkzilla1.id.blockstack/ohbG2wWJ01tYKI_crDUYl