- L’EFF rejoint la campagne de l’U.S. PIRG pour demander à Mastercard de cesser de vendre les données des titulaires de carte et de réduire l’ampleur de leur collecte
- En tant qu’entreprise de technologie de paiement, Mastercard se trouve au centre de la controverse sur la monétisation des données de paiement, car elle peut traiter des informations issues de la vie financière de millions de personnes
- Des informations comme le montant, la fréquence, le lieu, la date et l’heure des transactions servent à déduire les habitudes d’achat et les profils de consommateurs, et l’anonymisation seule n’est pas forcément suffisante pour garantir leur sécurité
- Des prédictions comme « big spender » ou « high-value » peuvent être utilisées pour cibler certaines personnes et les inciter à dépenser davantage
- Les utilisateurs de cartes ont du mal à anticiper que leur profil d’achat puisse être retraité et reconditionné d’une manière qui leur soit défavorable, d’où la nécessité de faire évoluer ces pratiques en matière de données
Les demandes de l’EFF et de l’U.S. PIRG
- L’EFF participe à une campagne menée par l’U.S. Public Interest Research Group (U.S. PIRG) pour demander à Mastercard de mettre fin à la vente des informations des titulaires de carte
- La demande centrale consiste à limiter la collecte de données et à faire en sorte que Mastercard respecte la confiance liée aux informations que les titulaires de carte lui confient
- Mastercard est présentée comme l’une des entreprises qui tirent profit de la vente de données personnelles confiées par les utilisateurs lors du processus de paiement
Pourquoi Mastercard est pointée du doigt
- Le rapport de campagne de l’U.S. PIRG estime que Mastercard, en tant qu’entreprise mondiale de technologie de paiement, peut accéder à une masse considérable d’informations dérivées de la vie financière de millions de personnes
- Le rapport qualifie la stratégie de monétisation de Mastercard d’exemple d’une « économie de la donnée allée trop loin »
- Lorsque les données de paiement servent non seulement à fournir un service, mais aussi à accroître les revenus d’une entreprise, le prix à payer peut être un risque d’atteinte à la vie privée
Les déductions sur les consommateurs à partir des données de transaction
- Le simple lieu où l’on fait ses achats peut déjà révéler beaucoup de choses sur une personne, et même des données anonymisées peuvent être moins anonymes qu’on ne l’imagine
- Selon l’U.S. PIRG, Mastercard analyse le montant et la fréquence des transactions, ainsi que le lieu, la date et l’heure
- Cette analyse sert à créer des catégories de titulaires de carte et à produire des déductions sur le type d’acheteur auquel ils correspondent
- Exemple : une personne prédite comme « big spender »
- Exemple : un titulaire de carte que Mastercard considère comme « high-value »
- Ces prédictions sont utilisées pour cibler certaines personnes et les pousser à dépenser plus d’argent
Un conflit avec la confiance accordée aux institutions financières
- La Bank for International Settlements estime que les personnes font davantage confiance aux institutions financières traditionnelles qu’aux entreprises de la big tech, aux agences gouvernementales ou aux entreprises fintech
- Document connexe : BIS Bulletin No 42
- Les personnes qui reçoivent une carte Mastercard ne s’attendent pas à ce que leur profil financier d’achat soit retraité et reconditionné puis utilisé d’une manière qui leur soit défavorable
- Cette exploitation des données entre en conflit avec la confiance que beaucoup accordent à l’entreprise qui a émis leur carte
Des pratiques de données qui doivent changer
- L’EFF demande à Mastercard de respecter la confiance et la vie privée des titulaires de carte
- Sa position est que Mastercard peut et doit changer ses pratiques actuelles en matière de données
- L’exemple de Visa, qui a mis fin à son activité de données personnelles destinée aux annonceurs, est également cité : Visa Is Shutting Down Its Personal Data Business for Advertisers
1 commentaires
Commentaires Hacker News
Imaginez que vous alliez sur un marché réputé pour le marchandage, et que l’entreprise qui vous a vendu votre portefeuille surveille toutes vos transactions pour les transmettre au commerçant du marché qui paie le plus cher.
Me voilà désormais un pigeon bien dodu prêt à se faire plumer. Je viens d’acheter un marteau, donc j’aurai sûrement besoin de clous, et mes traces sur les réseaux sociaux permettent aussi de déduire que je suis un peu naïf. « Dépêchez-vous, la demande de clous est forte dans cette zone. Ne vous inquiétez pas, c’est une offre spéciale valable seulement pendant les 0,3 prochaines heures »
Je ne comprends pas comment les gens ont pu accepter cette érosion de la vie privée et la perte d’intérêts économiques et d’autonomie qui l’accompagne. Je ne sais pas quelle bêtise collective nous pousse à permettre cette régression sociale sous des acteurs manipulateurs et des régulateurs capturés, si cela a toujours été comme ça, ni s’il y a de l’espoir.
Si je passe sans le prendre, l’offre peut être légèrement modifiée. Ce n’est plus « 1 acheté = 1 offert », mais « achetez-en 2, le 3e est gratuit, avec X en plus », par exemple.
C’est répugnant. Une grenouille née dans l’eau bouillante ne sait pas que c’est chaud. La tranche d’âge qui a aujourd’hui le plus de revenu disponible ne connaît pas d’autre monde et pense que cela a toujours été ainsi.
Cela n’a pas toujours été comme ça. La technologie a rendu la chose beaucoup plus facile, et maintenant elle est ciblée et automatisée. C’est pire que jamais et cela continue de se dégrader. Aucun responsable politique, dans aucun pays, ne veut corriger ça. Si l’on vend davantage à des prix plus élevés, les recettes fiscales augmentent aussi. Ajoutez à cela le lobbying des entreprises, et tout est dit.
Honnêtement, ce genre de situation rend les cryptomonnaies ou les bâtiments conçus avec des matériaux bloquant les capteurs plutôt séduisants. On peut construire des datacenters de manière à les rendre difficiles à surveiller passivement ; je ne vois pas pourquoi ma maison, mon bureau ou un centre commercial devraient être différents.
Les puissants ne nous ont jamais donné d’option pour nous retirer, et la situation s’est détériorée lentement, progressivement.
Nous devons créer des incitations à négocier autour de nos propres données. Mes données invisibles et inconnues sont mon actif, et je dois en protéger la valeur monétaire.
Comme on ne peut pas faire confiance à n’importe qui pour ne pas revendre quelque chose comme une bourse de cryptomonnaies, il faut créer une technologie qui fonctionne comme une bourse de cryptomonnaies passive. Il faut empêcher qu’un développeur puisse tirer le cordon d’urgence et détruire la technologie dès que l’argent devient visible.
Le cœur du sujet, c’est le logiciel passif. Dès qu’il est automatisé, il faut qu’un développeur reste en permanence dessus pour suivre l’évolution technologique. Ce qui compte, c’est un logiciel de cryptomonnaie qu’une personne peut créer, puis abandonner, et qui continue d’exister.
Par-dessus, on peut empiler des idées ordinaires de gestion philosophique, structurelle et relationnelle.
Autrefois, si le tanneur du coin polluait l’eau du village, on pouvait aller le voir directement pour lui dire d’arrêter, et s’il n’écoutait pas, on pouvait passer à l’étape suivante.
Aujourd’hui, les personnes qui savent réellement ce qui se passe sont celles qui en tirent le plus profit, et elles n’ont aucune incitation à arrêter.
En réalité, les prestataires actuels de paiement par carte devraient tous être écartés. Mastercard et Visa contrôlent de fait les dépenses des clients dans le monde entier.
Ils ont aussi empêché les banques de se mettre techniquement au niveau du XXIe siècle, et dans beaucoup d’endroits il n’existe toujours pas de véritable paiement en ligne instantané. Beaucoup de problèmes du secteur bancaire remontent à ces réseaux de cartes.
Il faut des alternatives, et il en faut autant qu’il y a de banques. Chaque banque devrait être à la fois un réseau de paiement par carte et une passerelle de paiement en ligne.
Visa et Mastercard fournissent la connexion avec les autres banques. Elles sont nécessaires quand vous insérez votre carte dans le distributeur d’une autre banque, ou quand vous payez chez un commerçant relié à une autre banque.
Pour supprimer le duopole Visa/Mastercard, toutes les banques devraient se connecter à toutes les autres banques, mais elles n’en ont pas envie. Ce serait un enfer administratif, et c’est pour cela qu’elles ont accepté ces deux acteurs pendant si longtemps. Pour les banques, ils sont comme Google : pratiques.
Une alternative pourrait être une sorte de coentreprise réunissant toutes les banques. Les frais bancaires baisseraient, mais comme les banques conserveraient la marge, le client n’en tirerait aucun bénéfice, et ce serait toujours un enfer pour la vie privée.
Une autre alternative serait une infrastructure publique. Mais transmettre les données de paiement à l’État pourrait aussi mettre beaucoup de gens mal à l’aise.
Je pense qu’il faut davantage de réglementation et de supervision publique sur ce sujet. En Europe aussi, et plus encore au « pays de la liberté ».
Le Japon a aussi JCB, et j’ai entendu dire que des pays d’Afrique et d’Amérique latine avaient également leurs propres systèmes. Le « monde » dont il est question ici est un monde assez restreint.
La page de refus de Mastercard est ici : https://www.mastercard.us/en-us/vision/corp-responsibility/c...
Cela veut-il dire qu’il s’agit d’un refus de l’anonymisation, et non d’un refus de la collecte de données personnelles ? La formulation mériterait clairement d’être améliorée
« Le fait d’exercer ces droits ne nous conduira pas à vous refuser des biens ou services, à vous facturer un prix différent, ni à vous fournir un niveau de qualité différent, sauf si ce prix ou ce niveau de qualité différent est raisonnablement lié à la valeur des données que nous recevons de votre part. Dans certains cas, l’exercice de certains droits peut nous empêcher de fournir les biens ou services que vous avez demandés »
Quand je recevrai le rapport, je demanderai sa suppression
De mémoire, mon Apple Card a au moins 4 ou 5 numéros associés : iPhone, Apple Pay sur le Web, Watch, carte physique, et probablement aussi MacBook
Je me demande si Mastercard est pire que Visa ou Discover. Ce n’est pas un marché vraiment concurrentiel et sain, mais il y a quand même des choix, donc j’aimerais savoir s’il faut essayer de privilégier une entreprise en particulier
« Au cours de l’année écoulée, certains annonceurs de Google ont eu accès à un nouvel outil puissant permettant de savoir si les publicités diffusées en ligne se traduisaient par des ventes dans des magasins physiques aux États-Unis. Ces informations provenaient en partie d’un stock de données de transactions Mastercard pour lequel Google avait payé… »
« Mais la plupart des quelque 2 milliards de détenteurs de Mastercard ignorent ce suivi en coulisses. Les deux entreprises n’ont pas rendu cet accord public… Cet accord, qui n’avait pas été rapporté auparavant, pourrait alimenter des inquiétudes plus larges sur la confidentialité, en montrant à quel point des entreprises technologiques comme Google absorbent discrètement des données de consommateurs »
https://www.bloomberg.com/news/articles/2018-08-30/google-an...
https://archive.vn/SLmFw
Est-ce que c’est un problème si l’on se trouve en Europe ?
J’ai quand même choisi de refuser. Il n’y avait aucune mention indiquant que cela ne s’appliquerait peut-être pas à moi, ni aucune garantie que rien ne serait fait
C’est précisément pour cela que l’Europe a adopté des lois sur la confidentialité des données
Cela veut-il dire que Visa, AMEX et Discover ne vendent pas nos données ?
Je suis d’accord, mais je me demande s’il faut privilégier une société de cartes en particulier
Le mieux est de faire une demande de refus auprès de chacun de ceux que l’on utilise
Coïncidence, je cherchais justement aujourd’hui des cartes prépayées jetables. Je me disais que je pourrais acheter quelques cartes de 100 dollars et les utiliser pour des transactions semi-anonymes
Mais tout ce que j’ai trouvé, ce sont des « cartes de débit » prépayées facilement rattachables à moi, ou des « cartes-cadeaux » propres à certains magasins
Je me demande s’il existe une bonne solution utilisable aux États-Unis
Il y a quelques défauts potentiels. Avant, cela coûtait environ 1 à 5 % de frais, je ne sais pas ce qu’il en est aujourd’hui
Ce n’est pas de l’anonymat à toute épreuve. Si vous êtes, par exemple, un hacker activiste journaliste ukrainien ouvertement gay en visite en Russie, il ne faut pas utiliser ça
Certaines organisations ne veulent traiter avec vous que si elles peuvent aspirer des données allant au-delà de ce qu’une personne raisonnable s’attendrait à fournir lors d’une première transaction. Beaucoup de comptes en ligne, notamment Facebook pendant un temps, ne pouvaient pas être créés avec un téléphone prépayé, parce qu’il est difficile d’aspirer une adresse et d’autres informations sans certains forfaits postpayés. Là où l’on cherche à acheter votre adresse et vos habitudes d’achat auprès de l’émetteur de la carte, aucune carte semi-anonyme ne fonctionnera peut-être
Des solutions comme privacy.com peuvent correspondre à ce cas d’usage. Elles permettent d’utiliser la plupart des sites qui veulent monétiser ces données, tout en anonymisant effectivement le nom, l’adresse, etc. Mais fondamentalement, cela crée juste un intermédiaire de plus qui possède les mêmes données, et je m’attends à ce qu’elles finissent un jour par être vendues. En plus, cet intermédiaire obtient aussi des choses que vous n’avez peut-être pas envie de transmettre, comme l’accès aux données brutes de votre compte bancaire
Les gens utilisent volontiers aussi des cartes de fidélité distinctes, qui sont de purs dispositifs de fourniture de données en échange de réductions. La seule raison pour laquelle ces cartes sont devenues moins populaires avec le temps, c’est que Mastercard, Visa et Amex ont rendu ce type de produit inutile.
Aujourd’hui encore, on peut payer 99 % des choses en espèces, et les tentatives pour changer cela se heurtent à une forte résistance politique, au motif qu’elles discrimineraient les personnes pauvres ou non bancarisées. Donc l’argument « si les conditions de la transaction ne te plaisent pas, il suffit de ne pas utiliser ce produit » reste, pour l’instant, étonnamment solide.
On pourra y revenir quand la société sera vraiment devenue sans espèces. Pour l’instant, ce n’est pas une colline sur laquelle je suis prêt à mourir. Mastercard versera des larmes de sang avant de renoncer à cette mine d’or. À mon avis, ce qui est encore plus répugnant, ce sont plutôt les commissions commerçants et le quasi-monopsone virtuel dont disposent les sociétés de cartes de crédit.
Je ne comprends pas le passage sur les « titulaires de carte que Mastercard juge à “forte valeur”, c’est-à-dire des prédictions utilisées pour cibler certaines personnes et les inciter à dépenser davantage ».
C’est peut-être parce que je suis au Royaume-Uni, mais comme c’est ma banque qui émet ma Mastercard, je n’ai pas de relation directe avec Mastercard. Comment pourraient-ils me cibler ?
Il y a quelque temps, en réservant des vacances, ma femme était assise juste à côté de moi et regardait le même hôtel sur son ordinateur portable, mais un prix plus élevé s’affichait. Après avoir effacé les cookies, le prix est redevenu identique à celui que j’obtenais sur un ordinateur propre.
C’était il y a quelques années ; aujourd’hui, il est probable que les prospects soient identifiés davantage par empreinte de navigateur que par cookies, ce qui rendrait la défense plus difficile.
Et puis, qui voudrait que sa banque ou son réseau de paiement soit complice d’une tarification plus élevée ?