Où partent nos données bancaires? (enquête)

Les données engendrées par nos transactions bancaires révèlent nos habitudes financières. Achetées, revendues, elles sont devenues un enjeu lucratif. Au détriment, souvent, du respect de la vie privée.

C’est un fait établi. Facebook, Google et consorts décortiquent nos profils psychologiques, répertorient nos opinions, voire même les influencent en transformant la moindre de nos recherches en publicité insistante pour une location de voiture, une destination au soleil ou une assurance tout risque et tout confort. Dans ce traçage toujours plus précis de notre vie, ce que nous faisons de notre argent est, lui aussi, épié. Et l’accentuation des paiements électroniques depuis le début de la pandémie a encore aiguisé les appétits.

Cet attrait est d’autant plus grand que les informations sur nos transactions financières demeurent peu protégées. « Les données de paiement sont dans un véritable trou juridique, regrette Benoît Piedallu, membre de la Quadrature du Net, une association française qui milite pour la protection des données privées. Si le client en est propriétaire, en théorie, le commerçant, l’opérateur technique et les banques y ont facilement accès. »

Par exemple, lorsqu’un client paie un achat par carte, le terminal du vendeur émet un code MCC (Merchant Category Code) qui permet d’identifier le type de commerce. Chaque paiement électronique produit ainsi une série de renseignements sur la nature des biens ou services achetés. Si le consommateur est censé être le détenteur de ces data, il y a fort à parier qu’il a donné involontairement son consentement pour leur utilisation, en signant des conditions générales touffues et illisibles pour un citoyen lambda. Le banquier ne pourra toutefois pas en tirer directement profit, contraint à un contrôle étroit de ses activités. Il est en quelque sorte assis sur un puits de pétrole, sans avoir les moyens de l’exploiter. Une faille que peuvent exploiter ceux que l’on appelle les data brokers.

Ces sociétés sous-traitantes, souvent logées dans des pays à la législation plus laxiste, savent comment croiser nos données financières avec d’autres, afin de les mettre sur le vaste marché mondial des data et fournir des profils pointus à des opérateurs économiques et, parfois, politiques. Un croisement d’informations qui vient d’être sanctionné au Royaume-Uni, une première!

Selon un ex-employé de Mastercard en Belgique, qui préfère garder l’anonymat, les banques font l’objet d’un marchandage croissant de la part de ces courtiers spécialisés. En retour, les banques sont susceptibles de racheter les données traitées, afin de mieux cerner leurs clients, de confirmer l’octroi – ou non – d’un prêt, le montant d’une assurance et d’améliorer ainsi leurs performances financières.

Lire aussi: Comment l’intelligence artificielle nous pousse à consommer plus?

Mais chacun de nos paiements livre bien d’autres trésors intimes et sensibles. Sur notre santé, notre situation fiscale, nos éventuelles cotisations syndicales, politiques ou encore nos déplacements. Dans les circonstances actuelles, on ne peut que s’inquiéter de l’usage que pourrait faire un Etat tenté par une surveillance accrue des individus dans les domaines politique, religieux ou même racial. En Corée du Sud, ce sont les données bancaires qui ont permis de tracer les contacts des personnes dans le cadre de la lutte contre la pandémie. En 2010 déjà, Visa et Mastercard n’avaient-ils pas tenté de paralyser les activités du lanceur d’alerte Julian Assange, fondateur de WikiLeaks, en l’empêchant brutalement de recevoir des dons?

Appel à la vigilance

L’un des obstacles à la protection des données est le flou qui existe entre le RGPD, le Règlement général sur la protection des données établi par l’Union européenne, et la PSD2, une directive européenne qui encadre les services de paiement et oblige les banques à mettre à disposition certaines informations « anonymisées » des clients qui y ont consenti, à des développeurs de services financiers plus innovants.

L’autre pierre d’achoppement est la menace que constituent les géants américains et chinois qui détiennent une avance considérable dans le domaine des moyens de paiement. Mastercard et Visa sont tous deux américains, les banques européennes ayant vendu Visa Europe (3,4 milliards de cartes en circulation, fin 2019) à Visa Inc. en 2015. Les Américains ont ainsi potentiellement la main sur une part très importante des données issues des transactions financières des Européens. De leur côté, les Chinois ont développé des géants du paiement en ligne dont Alipay qui revendique 1,2 milliard d’utilisateurs et annonçait, en novembre 2019, vouloir convaincre dix millions de commerçants européens d’accepter son moyen de paiement, notamment pour les touristes chinois.

L’Europe tente de réagir à cette offensive étrangère et technologique. Les banques commerciales s’activent pour développer un système européen de transferts électroniques immédiats, tandis que les banques centrales planchent pour lancer une e-monnaie. En juin dernier, Belfius, déjà très performante pour les services online, et Proximus ont pour leur part annoncé qu’ils inaugureraient une « néobanque » en 2021, entièrement digitalisée, soutenant une société sans argent liquide, tout en se voulant rassurants sur la protection des données privées. De son côté, KBC a lancé Kate, une nouvelle application qui propose, avec le consentement du client sur le partage de ses données, de gérer son portefeuille et de le guider dans ses achats.

La petite FinTech belge Cake propose même de rétribuer les clients qui vendraient l’accès à leurs informations « anonymisées » par un service d’accompagnement dans la gestion de leur argent. « Les innovations ne cessent de se succéder dans ce domaine, sans que les précautions soient prises », dénonce le juriste et activiste gantois Matthias Dobbelaere-Welvaert. Dans son nouveau paquet de propositions pour l’avenir de la finance numérique, l’attention de l’Union européenne se porte essentiellement sur la compétitivité du continent face aux géants chinois et américains, la protection des données apparaissant au fond comme un handicap de plus dans la course à l’innovation et la concurrence mondiale.

Jan Penfrat, un des principaux conseillers du réseau européen de défense des droits et des libertés en ligne (Edri), rappelle pourtant cette dimension chère aux Européens, lorsqu’il compare les données privées à des organes vitaux et clame: « Personne ne doit les posséder à votre place! » Une dépossession contre laquelle l’individu doit aiguiser sa vigilance, car il n’a que peu de recours: en Belgique, l’Autorité de protection des données a été longtemps paralysée par les luttes entre sensibilités flamande et francophone. La stratégie du nouveau gouvernement fédéral dont la charge revient au secrétaire d’Etat Mathieu Michel n’a pas encore été déterminée.