Journal d'investigation en ligne et d'information‑hacking
Reflets poursuivi par Altice : la liberté d'informer menacée

Le groupe de Patrick Drahi tente de contourner le droit de la presse. Altice a des milliards, nous avons un site Web. Aidez-nous à défendre la liberté de la presse.

par Antoine Champagne - kitetoa

Les données personnelles fuitent sur les sites de banque en ligne

Société Générale, BPVF, même combat : des trackers partout

Quelle mouche peut bien piquer les banquiers lorsqu'ils installent des mouchards sur les pages des sites de banque à distance, communiquant ainsi à des sociétés externes des informations personnelles sur leurs clients ?

Données personnelles : un combat permanent - Image par Gerd Altmann de Pixabay

Nous avions déjà abordé cette problématique avec la page de connexion à l'espace client de l'assureur MAIF. Cette fois, nous avons observé ce qui se passait lorsque l'on charge la page de connexion à un espace de gestion des comptes bancaires en ligne. Mais surtout, ce qui se passe lorsque l'on est connectés. La Société Générale par exemple, a inséré des trackers qui font fuiter vers une dizaine de sites tiers des données des utilisateurs. Nous avons initialement interpelé la SocGen sur Twitter. Mais les community managers ont crû utile de nous renvoyer vers le CERT de la banque. Un peu comme s'il s'agissait d'une faille informatique. Un moyen simple de se laver les mains d'un défaut de privacy sur le site de banque en ligne. Comme si cela était de la responsabilité des « informaticiens ». Bien au contraire. Il est fort probable que les ingénieurs préfèreraient ne pas voir trainer ce genre de code dans leurs pages.

Echanges avec les CM de la SocGen...
Echanges avec les CM de la SocGen...

Ce sont plutôt les services marketing qui imposent ces outils visant à obtenir des KPI pour mesurer « l'expérience utilisateur grâce à un data hub qui pioche dans un data lake. Car de nos jours, il faut offrir des expériences personnalisées aux segments cibles et provoquer des conversions pour booster le chiffre d'affaire. »

Tout ce charabia sans sens ni la moindre justification scientifique -n'oublions pas que "sur Internet personne ne sait que tu es un chien" - mène à l'inclusion de trackers dans des pages où il ne devrait y en avoir aucun.

Page de connexion Société Générale
Page de connexion Société Générale

Le simple fait de charger la page de connexion à la page de banque en ligne de la Société Générale prévient Facebook, Google, Linkedin, Bing, Tradelab, Doubleclick, Xiti (ATInternet), ... Vous n'êtes pas encore connecté mais tout le monde sait que vos allez le faire...

Une fois connecté à son compte bancaire, le client de la banque prévient tout le monde qu'il s'est bien connecté, à l'exception de Linkedin.

Société Générale, une fois connecté à la banque en ligne
Société Générale, une fois connecté à la banque en ligne

Sur sa page dédiée à l'usage qui est fait des données personnelles, la Société Générale ne précise pas clairement ce qui est fait des données. Ce n'est pas très esprit RGPD, en revanche c'est 100% jargon marketing : la banque utilise les données personnelles des clients pour « identifier vos besoins afin de personnaliser davantage notre relation et d’exercer son devoir de conseil d’une façon toujours plus pertinente. » C'est joliment tourné, mais pas très précis.

La page indiquant les usages des données personnelles sur le site de la Société Générale
La page indiquant les usages des données personnelles sur le site de la Société Générale

A la Banque Populaire Val de France, la page de connexion à la banque en ligne fait également fuiter des données personnelles vers des sites tiers.

Trackers présents après la connexion à la banque en ligne de la BPVF
Trackers présents après la connexion à la banque en ligne de la BPVF

Ici c'est Adobe, Tealium et la galaxie Google qui sont notifié de la connexion. Il nous semble anormal que des sociétés comme Google puissent ajouter au dossier personnel de leurs clients/utilisateurs les dates, heures, fréquence de connexion à la banque en ligne.

Alors que nous allions publier notre article, la Société Générale a répondu à notre question (pourquoi ces trackers ?) :

Vous pouvez retrouver sur la « Charte Cookies » (disponible ici), l’ensemble des traceurs mis en place sur notre site particuliers.societegenerale.fr.

Par ailleurs, nous n’envoyons aucune donnée personnelle à nos partenaires publicitaires (ou autre tiers). Ces traceurs publicitaires nous permettent de recibler anonymement les prospects ayant visité notre site ou de comptabiliser des conversions afin de mesurer l’efficacité de nos campagnes.

Il faudrait donc s'entendre sur le concept de cookies, de scripts, d'adresses IP et de données personnelles... Par ailleurs quel est l'intérêt de mesurer l'efficacité des campagnes à l'intérieur de l'application de banque en ligne ?

Nous avons également fait l'expérience sur d'autres banques en ligne comme Fortuneo, le Crédit Mutuel ou le Crédit du Nord. A part les habituelles fonts Google ou Twitter, il n'y a pas grand chose qui pose problème.

La presse, qui est très friande de marchandisation des données personnelles de ses lecteurs, est joliment rattrapée par les banques. Alors que celles-ci pensent améliorer leur connaissance de leurs clients, elles permettent à des tiers d'accéder à des données personnelles qui devraient rester... personnelles.

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée