Le 18 novembre prochain, de nouvelles conditions d'utilisation seront appliquées par PayPal. Mais un mois plus tôt, le 18 octobre donc, le nouveau règlement du service de paiement en ligne sur la vie privée entrera en vigueur. Or il implique la diffusion d'informations à des tiers, dont le réseau social américain Facebook ou encore le Français Criteo.
« Divulguer certaines informations des utilisateurs PayPal à des tiers supplémentaires »
« Comme pour la plupart des banques ou des fournisseurs de services financiers ou de paiement, PayPal travaille en collaboration avec des prestataires de services tiers. Nous devons partager des données utilisateur avec eux afin qu'ils fournissent les services demandés par nos utilisateurs. Ces fournisseurs de services nous apportent des fonctions importantes qui nous permettent d’être un moyen toujours plus facile, plus rapide et plus sécurisé d’effectuer des paiements.
De façon générale, les lois du Luxembourg qui s’appliquent au traitement des données de l’utilisateur PayPal (protection des données et secret bancaire) requièrent un niveau de transparence supérieur à la plupart des autres lois de l’UE. C'est pourquoi, contrairement à la grande majorité des fournisseurs de services Internet ou des services financiers de l'UE, PayPal liste dans son Règlement sur le respect de la vie privée chaque fournisseur de services tiers auquel il révèle des données, ainsi que l'objectif de ladite révélation et le type d'informations révélées.
Le paragraphe d (anciennement paragraphe c) de la partie de l'article 4 intitulé « Divulgation d'informations à des tiers autres que des utilisateurs PayPal » a été modifié pour permettre à PayPal de divulguer certaines informations des utilisateurs PayPal à des tiers supplémentaires ou à des fins supplémentaires aux raisons établies dans le tableau ci-après, ou de modifier l'étendue des raisons et des données partagées, comme établi dans le tableau ci-après. »
Ces trois paragraphes présents sur cette page en langue française de PayPal et révélés par nos confrères de ZD Net, impliquent de regarder de près le tableau présenté par le service de paiement. Celui actuellement en vigueur, mis à jour le mois dernier, indiquait que des informations sur les utilisateurs pouvaient être fournies à cinq organismes de référence de crédit et de lutte contre la fraude (Britanniques pour la plupart), ainsi qu'à trois sociétés de marketing et de relations publiques et deux services opérationnels. Ici, la divulgation des informations va d'un simple numéro de téléphone portable aux « nom, adresse email, type de compte, type et nature des services PayPal proposés ou utilisés et informations sur les transactions correspondantes ».
La future version du règlement de PayPal sur le respect de la vie privée, qui sera donc appliquée le 18 octobre prochain, est toutefois bien différente. Nous retrouvons en sus une société liée à l'externalisation du service clientèle (aux États-Unis), d'autres organismes de référence de crédit et de lutte contre la fraude (dont la Banque de France), d'autres services opérationnels (dont de nombreuses entreprises allemandes) et enfin diverses sociétés marketing et de relations publiques. Parmi elles, Facebook et Criteo sont les plus connues sur la toile.
Des raisons parfois imprécises
Concernant Facebook, PayPal explique que cela lui permet « d'autoriser un utilisateur PayPal à partager les détails de transactions associées à un achat effectué par lui-même avec des utilisateurs de la plateforme Facebook (uniquement lorsque la demande émane de cet utilisateur PayPal), et mettre en œuvre un basculement de la facturation sur l'opérateur et afficher des publicités sur Facebook pour les utilisateurs de Facebook. »
Si vous n'utilisez pas Facebook et si vous n'achetez rien sur le réseau sans passer par PayPal, il ne devrait donc pas y avoir d'échanges d'informations. Qui plus est, cela semble concerner en grande partie le vendeur et non l'acheteur, puisque PayPal précise que les données qui seront divulguées seront les suivantes : nom du marchand, adresse du site du marchand, description et prix de l'objet acheté, adresse email associée aux utilisateurs PayPal, ceci « sans indiquer la relation au compte » précise toutefois le service. Néanmoins, si une telle transaction devait arriver, vous savez maintenant ce que cela implique.
Du côté de Criteo, bien plus d'informations seront par contre divulguées. PayPal parle ainsi des « nom, adresse email, numéro de téléphone et/ou identifiant de compte PayPal (le cas échéant) ainsi qu'identifiant de l'appareil utilisé par une personne spécifique, contenu des publicités à fournir et segmentation dans un groupe d'utilisateurs à des fins publicitaires ».
Le Français étant spécialisé dans la publicité ciblée, ces partages de données ne sont donc pas étonnants. Mais dans quel cadre ces transferts seront-ils réalisés ? PayPal est malheureusement assez flou sur le sujet, puisqu'il se contente de donner comme finalité la mise en œuvre et l'évaluation « des campagnes de reciblage pour identifier les visiteurs et les rediriger vers des campagnes de publicité personnalisées ». Et rien d'autre.
Ce même manque de précision concerne d'autres sociétés. Nous avons tenté d'en savoir plus auprès de PayPal France, malheureusement, ce dernier était injoignable vendredi après-midi malgré nous appels répétés durant près de deux heures. Nous tenterons néanmoins d'avoir des éclaircissements de la part du service de paiement la semaine prochaine.
Si vous n'êtes pas content, il n'y a qu'une seule et unique solution
PayPal fait remarquer à ses utilisateurs que pour accepter des nouvelles règles, il n'y a « rien à faire (...) puisqu'elles prendront effet automatiquement à la date mentionnée ci-dessus » soit le 18 octobre pour la vie privée, et le 18 novembre pour les conditions d'utilisation.
La seule et unique solution si vous refusez ces conditions, consiste donc à fermer son compte PayPal. Le site indique d'ailleurs sur sa page comment arriver à cette fin, en donnant une adresse spécifique. Pour que cela fonctionne, il faut toutefois être préalablement connecté.