En lançant une banque en plus de son activité d'opérateur, Orange augmente de manière importante la quantité de données qu'elle détient sur ses utilisateurs. De quoi poser la question de la concentration de ces informations, qui ne concerne pas que les géants du Net.
En fin de semaine dernière, Orange lançait une nouveauté importante au regard de sa stratégie de diversification : Orange Bank. Un service bancaire plutôt classique, mais orienté vers les usages mobile et le temps réel, une offre à mi-chemin entre les « néo-banques » et autres banques en ligne (voir notre analyse).
Comme d'autres, nous nous sommes attardés sur les conditions de l'offre et son fonctionnement technique, mais il y a un aspect essentiel qui a le plus souvent été mis de côté : celui des données accessibles par un acteur unique, du fait de sa position sur des marchés stratégiques.
Les données, un bien précieux mais pas toujours très bien protégé
Souvent, lorsque l'on veut s'intéresser à l'utilisation des données, on se tourne assez naturellement vers de grosses sociétés américaines comme Facebook ou Google, qui promettent des services gratuits et des produits plus accessibles en échange d'un accès presque « open bar » à nos informations personnelles.
Si c'est connu, certains redécouvrent parfois la réalité et l'ampleur du phénomène. Cela a par exemple été le cas lorsque Google Docs s'est mis à restreindre l'accès à des documents en pensant (à tort) qu'ils enfreignaient ses règles. Les clients du service, dont des médias nationaux, ont alors constaté leur dépendance à cet outil, leur manque de préparation en cas de panne et surtout... que Google peut accéder à leurs données et les scanner comme bon lui semble.
Ok, on en est donc à trois rédacs (BFM, RTL, Mondadori) qui se font suspendre leurs docs partagés sur Google Docs. Qui dit mieux ? pic.twitter.com/rX3LNzntYo
— Antoine Bayet (@fcinq) 31 octobre 2017
Pour rappel, tant que le chiffrement n'est pas assuré de bout-en-bout, ou par des dispositifs que vous avez vous-même mis en place, les données peuvent potentiellement être accédées par le service qui les héberge. Celui-ci peut à tout moment décider de vous couper l'accès, parfois avec des procédures qui souffrent de quelques défauts.
Ainsi, un employé de Twitter peut désactiver le compte du Président américain, vos messages privés et vos documents en ligne peuvent sans doute être lus par des employés s'ils ne sont pas chiffrés, et vous pouvez vous retrouver sans accès à vos fichiers lorsque Google Docs « pète un câble ». Vous aurez alors droit à quelques mots d'excuses dans un billet de blog.
Même si vous utilisez des services en ligne, pensez à chiffrer un maximum au moins ce qui est sensible, à effectuer des sauvegardes et à vérifier que vous êtes capable d'accéder à tout ce qui est nécessaire à votre fonctionnement quotidien. Et ce, même si l'accès à différents services en ligne venait à vous être coupé.
Données : il ne faut pas regarder que du côté des géants du Net
Mais penser que le problème se limite à quelques acteurs étrangers serait une erreur. La collecte des données, le tracking et le profilage de l'utilisateur sont présents partout, presque à chaque moment de sa vie. Ils sont mis en place par de très nombreuses sociétés, pour des raisons plus ou moins avouables.
Une surveillance de masse, presque permanente, rendue possible par un fait simple : elle est presque totalement invisible.
Quand vous vous rendez sur un site, vous ne voyez pas forcément que Google Analytics, les boutons des réseaux sociaux et autres scripts servent à collecter des données vous concernant. Pas plus que vous ne savez que votre smartphone et ses applications peuvent servir à collecter vos habitudes de consommation, que vous utilisiez un réseau social, l'application d'un média, un réseau Wi-Fi ou des services encore plus anodins.
L'utilisateur voit seulement que tout est le plus souvent gratuit, qu'on lui propose des remises et autres offres personnalisées. Il calcule son intérêt à court terme, sans forcément se représenter le profil géant, assez précis et à vocation commerciale, que l'on est en train de constituer de lui.
Nous avons récemment vu le cas de grands magasins qui cherchent à vous suivre à la trace lors de vos achats via de nouvelles solutions techniques. Mais ils le font déjà de manière assez précise avec leurs précieuses cartes de fidélité qui peuvent être un très bon reflet de vos habitudes de consommation et de qui vous êtes.
Les FAI cherchent de leur côté à utiliser vos données de navigation et autres informations vous concernant à des fins publicitaires. Le monde de la TV lorgne d'ailleurs sur ces données alors que sa distribution passe de plus en plus par internet dans le cadre de ses nouvelles offres de publicité adressée, pour le moment interdite (à quelques tests près).
Éviter qu'un seul acteur puisse accéder à trop de données
Dès lors, permettre à de gros acteurs de concentrer des sommes impressionnantes de données nous concernant peut constituer un risque. Et dans le domaine, les géants ne sont pas qu'américains. Orange devient à son tour un bon exemple de société qui commence à avoir accès à une masse impressionnante d'informations sur ses clients.
Sa position de FAI et désormais d'acteur bancaire lui ouvre les portes de données importantes, qui concernent aussi bien ceux qui utilisent ses services que ses employés. Que penseriez-vous si votre société pouvait avoir accès à l'intégralité de votre navigation fixe ou mobile, à votre position géographique (via votre smartphone) et à l'ensemble de vos dépenses et revenus via les informations de votre compte bancaire ?
C'est désormais ce qu'est capable d'accumuler Orange sur un client qui aurait ses accès internet et son compte bancaire souscrit auprès de ses services.
Bien entendu, dans ses conditions d'utilisation (3.3), Orange Bank précise être tenue au secret professionnel, ce secret pouvant être levé uniquement de manière encadrée. Et lorsque des tiers sont sollicités pour traiter vos données, « vous nous autorisez à partager vos informations couvertes par le secret professionnel avec eux dans le strict besoin de la prestation, pour assurer le bon fonctionnement des produits et services que vous avez souscrits ».
Mais on peut aussi lire que « pour faciliter certains actes de gestions et éventuellement à des fins commerciales, vous nous autorisez aussi à partager vos informations avec les autres sociétés du Groupe Orange autorisées. Si vous ne souhaitez pas que vos informations soient transmises, vous pouvez nous en informer par une simple lettre et les sociétés du Groupe Orange et autres intermédiaires n'auront plus accès à vos données bancaires ».
La protection de l'utilisateur ne s'arrête pas à la collecte
Bien entendu, cela ne signifie pas que l'ensemble de vos dépenses puissent être transmises à des tiers à des fins commerciales, mais le passage reste suffisament flou pour recouvrir de nombreuses possibilités. Et rares sont ceux qui liront les documents de l'offre jusqu'à ce niveau de détail, sans parler de ceux qui iront jusqu'à écrire une lettre.
On saisit de toute façon assez bien le problème qui réside dans la capacité pour une seule et même entreprise de regrouper une masse importante d'informations concernant des millions de personnes. Cette question se pose dans le cas d'Orange comme dans celui de Facebook ou Google, qui proposent déjà du paiement et connaissent souvent avec précision vos habitudes et les détails de votre navigation si vous disposez d'un compte maison auquel vous êtes connecté.
Outre la question du consentement lors de la collecte, portée de manière croissante par le RGPD et ePrivacy au niveau européen, il faudra aussi donc s'attarder sur un point qui n'est pas toujours évoqué avec autant d'attention : le croisement, l'utilisation et la revente des données.
Les régulateurs tels que la CNIL ou l'Arcep qui s'intéresse de plus en plus aux effets des plateformes, devront donc se montrer d'une grande vigilance dans les années à venir, au risque de voir rapidement les abus se multiplier. Il en sera de même pour les observateurs, qu'il s'agisse d'acteurs associatifs ou de la presse.
Mais pour jouer son rôle, cette dernière a déjà fort à faire concernant la réduction de sa propre dépendance à la collecte des données, de plus en plus au cœur de son modèle économique.
