Plaid, le champion de l’agrégation de comptes, lance Plaid Privacy Controls. Une sorte de portail à usage personnel pour contrôler l’utilisation de ses données financières par les entreprises que l’on a autorisé à les collecter.
Dans le contexte d’un renforcement probable et prochain de la réglementation américaine à cet égard, l’idée de Plaid est d’en équiper ses (nombreuses) banques et fintechs clientes, pour qu’elles-mêmes mettent ce service à disposition de leurs clients.
Malheureusement, les données proprement bancaires ne représentent qu’une partie relativement restreinte de ces données et, si elles sont évidemment très sensibles, elles ne sont pas les plus difficiles à protéger, notamment pour tout ce qui concerne nos moyens de paiement.
Mais le reste ? Une récente étude menée par la société de cybersécurité NordVPN, portant sur les 100 sites web les plus populaires dans 25 pays du monde, révèle que les sites web français disposent en moyenne de 17 traqueurs pour collecter et éventuellement monétiser des données personnelles.
Le nombre de traqueurs, dépendant des lois sur la protection des données dans chaque pays, est moins élevé en Europe qu’aux Etats-Unis (23 traqueurs en moyenne) et en Asie (45,4 traqueurs à Hong-Kong). En Europe, il faut y voir l’impact du RGPD. Toutefois, si l’on compte 17 traqueurs en moyenne sur les sites français, il n’y en a que 11,4 en Autriche.
En France, les sites de e-commerce sont ceux qui en possèdent le plus avec 27 traqueurs en moyenne. On en compte 18, un peu plus que la moyenne, chez les établissements financiers.
Il convient de souligner que la plupart de ces traqueurs n’appartiennent pas aux possesseurs des sites eux-mêmes. Sur ces traqueurs tiers, 30% sont ceux de Google, 11% ceux de Facebook et 7% ceux d’Adobe.
Généralement insérés dans le code des sites web et difficiles à détecter pour un utilisateur ordinaire, tous ces traqueurs recueillent des informations qui incluent l’adresse et la localisation IP, l’historique de navigation, les clics d’un utilisateur sur un site web, les éléments qu’il a consultés et leur durée, ainsi que les données relatives au navigateur et à l’appareil qu’il utilise.
Tout cela, bien entendu, aide les administrateurs de sites à améliorer l’expérience des utilisateurs mais ces informations permettent également de créer des profils d’utilisateurs vendus à des tiers, notamment pour diffuser des publicités plus ciblées, qui suivent ensuite les utilisateurs de site en site.
Si des cybercriminels mettent la main sur ces données, ils peuvent compiler un dossier détaillé sur une personne et l’utiliser contre elle dans le cadre d’une attaque par hameçonnage en élaborant un message hautement personnalisé et crédible. Or, selon MoneyVox, 4 Français sur 10 ont déjà subi un débit frauduleux sur leur compte bancaire.
Il n’est pas sûr, on le voit, qu’une solution comme celle de Plaid puisse réellement changer quelque chose à cet écheveau de pratiques et d’intervenants. Il n’est pas sûr du tout qu’un acteur puisse le faire seul. Pourtant, une réglementation comme le RGPD a-t-elle réellement changé les choses ?
Score Advisor