Les banques, aux États-Unis et ailleurs, vendent depuis longtemps des informations anonymes sur les habitudes de consommation de leurs clients. Aujourd’hui, la plus grande banque norvégienne a l’intention de faire de même. Voici ce que notre équipe de sécurité souhaite exprimer à ce sujet.

De nombreuses grandes banques suivent chaque transaction par carte effectuées par leurs clients et vendent ensuite ces informations à des tiers.

Si vous vivez aux États-Unis, il y a de fortes chances que chaque fois que vous achetez quelque chose avec une carte de débit ou de crédit, votre banque en apprenne un peu plus sur vous. Elle connaît déjà vos habitudes de consommation, comme par exemple vos magasins préférés, la fréquence de vos sorties au restaurant, si vous conduisez ou prenez l’autobus pour vous rendre au travail, à quelle fréquence vous partez en vacances, et ainsi de suite.

Les banques du monde entier vendent depuis longtemps des données anonymes et agrégées sur les habitudes de consommation de leurs clients à d’autres entreprises. Mais jusqu’à présent, ce n’était pas le cas dans notre pays, la Norvège.

Au début de la semaine, la plus grande banque norvégienne DNB a annoncé qu’elle commencera à vendre des informations relatives aux différentes opérations de ses clients, comme leurs transactions par cartes bancaires ou autres moyens de paiement, leur géolocalisation, leur sexe et leur âge.

Yngve Pettersen (@TechieNotNetie), expert en sécurité chez Vivaldi, s’inquiète de la façon dont les données seront analysées :

Les données dont dispose votre banque sont très sensibles. Selon la façon dont cela est mis en œuvre, il pourrait y avoir des problèmes. Imaginez que vous achetiez des médicaments avec votre carte ou que vous régliez des frais d’hospitalisation. De même, si vous achetiez simplement quelques broutilles dans la cafétéria d’un hôpital spécialisé dans le traitement du cancer pendant plusieurs jours consécutifs, cela pourrait révéler quelque chose.

De plus, Yngve pense que certaines données devraient être filtrées par des statistiques :

Il devrait y avoir un seuil. Les filtres devraient s’assurer que les données ne caractérisent que ce que beaucoup de gens achètent, et non ce qu’une seule personne achète. S’il y a trop peu de personnes qui achètent quelque chose, il devient facile de les identifier individuellement.

Il y a eu plusieurs cas où des données “anonymes” ont pu permettre des identifications . ajoute Yngve :

Les données statistiques sont moins susceptibles d’être utilisées pour retrouver une personne, mais vous pourriez être en mesure d’élaborer davantage de connexions si vous les agrégez avec d’autres données.

Pour le fondateur de Vivaldi, Jon von Tetzchner (@jonsvt), il ne s’agit pas seulement d’être identifié que de savoir ce qu’il est possible de faire en traitant toutes ces données :

Facebook et Google utilisent ces données pour suivre les achats effectués hors ligne et les associer aux publicités vues en ligne. Ainsi, l’annonceur n’a pas besoin de savoir qui vous êtes, mais il sait ce que vous achetez et comment vous l’achetez. Cela peut aussi être utilisé pour vous influencer pendant une campagne électorale, par exemple.

Cette pratique est d’autant plus alarmante qu’on se souvient des scandales récents concernant Facebook et la société de données Cambridge Analytica. Pour Jon von Tetzchner, c’est une dérive inquiétante :

Ici, il n’y a pas de notion de respect de la vie privée. Juste le droit d’espionner. Nous ne voulons pas de cela en Norvège.

Julien Picalausa (@neartothesky) aimerait savoir exactement ce qu’ils prévoient de partager :

En général, il est difficile de partager des ensembles de données qui ne permettent pas de créer des profils. C’est un peu surprenant qu’ils aient l’intention de le faire, étant donné qu’ils sont assujettis au R.G.P.D. (Règlement général sur la protection des données). Il est probable que les clients des banques l’ont déjà accepté par le biais d’obscures conditions d’utilisation. Je ne voudrais certainement pas rester client d’une banque qui vend potentiellement mes données.

En Norvège, l’utilisation des cartes est très répandue. Cela signifie que pour de nombreux clients, 100% des habitudes d’achat seront tracées et vendues pour être analysées.

Les nouvelles cartes “sans contact”, avec leur paiement automatique pour de faibles montants, facilitent encore les achats et fournissent aux banques des informations encore plus détaillées.

Le problème, c’est qu’il n’y a rien de réellement illégal dans tout cela. Jon von Tetzchner conclue :

C’est un nouvel exemple qui met en évidence que l’utilisation des nos données devrait être strictement réglementée. Les banques ne devraient pas avoir le droit de le faire.