Site icon Sophos News

Données financières : Google a acheté les données de cartes bancaires Mastercard !

donnees financieres

Il est de notoriété publique que Google sait lorsque nous cliquons sur des annonces. Mais maintenant, il sait aussi ce que nous achetons dans les magasins traditionnels, grâce à un accord passé, et qui n’a pas été signalé, avec Mastercard afin d’obtenir nos historiques de transactions, selon Bloomberg.

Les données financières relatives aux dépenses par carte de crédit hors ligne, qui ont coûté des millions de dollars selon des insiders anonymes chez Google, confèrent à celui-ci un avantage concurrentiel sans précédent sur Amazon, en lui permettant de suivre les dépenses en ligne des utilisateurs.

L’accord n’a pas été rendu public. A priori, les négociations entre les deux entreprises auraient duré 4 ans, selon quatre personnes ayant eu connaissance de cet accord, dont trois ont été impliquées directement.

Mastercard a réfuté les soupçons selon lesquels les données financières pourraient être utilisées pour identifier des achats précis, mais l’Open Rights Group a déclaré à la BBC que la nature confidentielle de l’accord soulève des problèmes en matière de protection de la vie privée.

Le directeur juridique d’Open Rights Group, Myles Jackman, s’est demandé, étant donné que Google peut désormais dire aux annonceurs que les clics de certains internautes ont conduits à de réelles ventes en magasin, si l’entreprise fera profiter les acheteurs des bénéfices générés :

Cela soulève de graves préoccupations quant à l’utilisation de données financières privées. Est-ce que Mastercard va rétribuer ses clients pour les données qu’ils ont données à Google à des fins financières ?  

Ne vous précipitez pas sur vos micro-paiements trop vite : en effet, la réponse bien sûr est que nous pouvons attendre longtemps, très longtemps avant que cela ne se produise.  Christine Bannan, conseiller juridique d’Electronic Privacy Information Center (EPIC), a déclaré à Bloomberg qu’il s’agissait d’une nouvelle surprenante pour les consommateurs, et qu’elle n’arrivait pas avec suffisamment de précisions sur ce qui était fait réellement avec nos données financières ou ce que nous pouvions y faire :

Les gens ne s’attendent pas à voir ce qu’ils achètent physiquement dans un magasin lié à ce qu’ils achètent en ligne. Les entreprises imposent beaucoup trop de contraintes aux consommateurs et ces dernières ne sont pas suffisamment l’obligation d’informer les utilisateurs au sujet de leurs agissements et de leurs droits.  

Quoi qu’il en soit, Mastercard et Google affirment que les informations personnelles des clients ne sont pas liées aux profils d’achat.  Un porte-parole de Mastercard a déclaré à Bloomberg que l’entreprise de paiement partageait les tendances des transactions avec les commerçants et leurs fournisseurs de services pour les aider à mesurer “l’efficacité de leurs campagnes publicitaires”. Il a déclaré que les informations, y compris les volumes de vente et la quantité moyenne des achats, n’étaient partagées qu’avec la permission des commerçants et qu’elles n’étaient pas liées à des individus :

Aucune transaction individuelle ou donnée personnelle n’est fournie. Nous ne fournissons pas de renseignements permettant de suivre, de diffuser des annonces ou même de mesurer l’efficacité des annonces relatives aux consommateurs individuels.

Google a refusé de commenter ce partenariat, mais il a mis à disposition un nouvel outil performant, appelé “Store Sales Measurement”, auquel ses partenaires privilègiés ont eu accès au cours de l’année écoulée. L’outil permet aux commerçants de vérifier si leurs annonces en ligne ont débouché sur une vente dans un magasin physique aux États-Unis : selon Bloomberg, les informations se basent sur un “stock de transactions Mastercard” que Google a acheté.

D’après une déclaration d’une porte-parole de Google, sur l’anonymisation dans l’outil “Store Sales Measurement” :

Avant de lancer ce produit bêta l’année dernière, nous avons mis au point une nouvelle technologie de chiffrement à “double sens” qui empêche Google et ses partenaires de consulter les informations personnelles de nos utilisateurs respectifs.  

Nous n’avons accès à aucune information personnelle provenant des cartes de crédit de nos partenaires, et nous ne partageons aucune information personnelle avec nos partenaires.  

Les utilisateurs peuvent désactiver le suivi des annonces via la rubrique “Activer ou désactiver l’enregistrement des activités sur le web et les applications” de Google.

Mastercard a également déclaré à la BBC que les données financières qu’elle fournit aux commerçants, via ses propres “services de mesure de média”, sont dépourvues d’Informations Personnelles Identifiables (IPI) :  Nous fournissons aux commerçants et à leurs prestataires de services désignés des tendances basées sur des données agrégées et anonymisées, telles que le montant du panier moyen et les volumes de vente chez le commerçant en question.

L’approche de type “anonymisation” est assez classique, et les experts du Big Data adorent faire de la collecte de masse en identifiant des individus après avoir examiné un ensemble de transactions de cartes de crédit supposément anonymisées.

Bloomberg signale que plusieurs membres du personnel de Google se sont opposés au fait que la section “activités sur le web et les applications” n’offrait pas aux utilisateurs une méthode plus évidente pour désactiver ce type de suivi.

Au cours de l’année écoulée, nous avons vu des employés de Google protester contre le développement d’un moteur de recherche censuré pour la Chine et sur le ciblage par intelligence artificielle de frappes par drones pour le Pentagone.

Les employés de Google susciteront-ils le même engouement à l’égard de l’accord conclu entre Google et Mastercard ? Si oui, nous vous le ferons savoir.

En attendant, on ignore si Google a conclu des accords similaires avec d’autres sociétés de paiement, bien que l’une des sources de Bloomberg ait déclaré qu’elle avait contacté d’autres sociétés émettrices de cartes de crédit. Nous savons, par contre, ce que Google clame haut et fort : en effet, il prétend avoir accès à environ 70% des informations sur les cartes de crédit et de débit américaines, partagées par l’intermédiaire de partenaires, même s’il ne les a pas nommés.

Faites-en ce que vous voulez, mais il semblerait que Google ait déployé beaucoup d’efforts pour récupérer énormément d’informations sur la majorité des dépenses des consommateurs américains et qu’il est en train d’essayer d’en savoir encore plus sur nous. Selon Bloomberg :

Ce chiffre de 70% pourrait signifier que la société a conclu des accords avec d’autres sociétés émettrices de cartes de crédit, totalisant ainsi 70% des utilisateurs de cartes de crédit et de débit. Cela peut également signifier que l’entreprise a conclu des accords avec des sociétés incluant tous les utilisateurs de cartes, et que 70% d’entre eux sont connectés à des comptes Google tels que Gmail lorsqu’ils cliquent sur une annonce lors d’une recherche Google. 

Google a contacté d’autres sociétés de paiement à propos de ce programme.


Billet inspiré de Google quietly bought Mastercard credit and debit card records, sur Sophos nakedsecurity.

Exit mobile version