Les données personnelles fuitent sur les sites de banque en ligne

Société Générale, BPVF, même combat : des trackers partout

Quelle mouche peut bien piquer les banquiers lorsqu'ils installent des mouchards sur les pages des sites de banque à distance, communiquant ainsi à des sociétés externes des informations personnelles sur leurs clients ?

Nous avions déjà abordé cette problématique avec la page de connexion à l'espace client de l'assureur MAIF. Cette fois, nous avons observé ce qui se passait lorsque l'on charge la page de connexion à un espace de gestion des comptes bancaires en ligne. Mais surtout, ce qui se passe lorsque l'on est connectés. La Société Générale par exemple, a inséré des trackers qui font fuiter vers une dizaine de sites tiers des données des utilisateurs. Nous avons initialement interpelé la SocGen sur Twitter. Mais les community managers ont crû utile de nous renvoyer vers le CERT de la banque. Un peu comme s'il s'agissait d'une faille informatique. Un moyen simple de se laver les mains d'un défaut de privacy sur le site de banque en ligne. Comme si cela était de la responsabilité des « informaticiens ». Bien au contraire. Il est fort probable que les ingénieurs préfèreraient ne pas voir trainer ce genre de code dans leurs pages.

Ce sont plutôt les services marketing qui imposent ces outils visant à obtenir des KPI pour mesurer « l'expérience utilisateur grâce à un data hub qui pioche dans un data lake. Car de nos jours, il faut offrir des expériences personnalisées aux segments cibles et provoquer des conversions pour booster le chiffre d'affaire. »

Tout ce charabia sans sens ni la moindre justification scientifique -n'oublions pas que "sur Internet personne ne sait que tu es un chien" - mène à l'inclusion de trackers dans des pages où il ne devrait y en avoir aucun.

Le simple fait de charger la page de connexion à la page de banque en ligne de la Société Générale prévient Facebook, Google, Linkedin, Bing, Tradelab, Doubleclick, Xiti (ATInternet), ... Vous n'êtes pas encore connecté mais tout le monde sait que vos allez le faire...

Une fois connecté à son compte bancaire, le client de la banque prévient tout le monde qu'il s'est bien connecté, à l'exception de Linkedin.

Sur sa page dédiée à l'usage qui est fait des données personnelles, la Société Générale ne précise pas clairement ce qui est fait des données. Ce n'est pas très esprit RGPD, en revanche c'est 100% jargon marketing : la banque utilise les données personnelles des clients pour « identifier vos besoins afin de personnaliser davantage notre relation et d’exercer son devoir de conseil d’une façon toujours plus pertinente. » C'est joliment tourné, mais pas très précis.

A la Banque Populaire Val de France, la page de connexion à la banque en ligne fait également fuiter des données personnelles vers des sites tiers.

Ici c'est Adobe, Tealium et la galaxie Google qui sont notifié de la connexion. Il nous semble anormal que des sociétés comme Google puissent ajouter au dossier personnel de leurs clients/utilisateurs les dates, heures, fréquence de connexion à la banque en ligne.

Alors que nous allions publier notre article, la Société Générale a répondu à notre question (pourquoi ces trackers ?) :

Il faudrait donc s'entendre sur le concept de cookies, de scripts, d'adresses IP et de données personnelles... Par ailleurs quel est l'intérêt de mesurer l'efficacité des campagnes à l'intérieur de l'application de banque en ligne ?

Nous avons également fait l'expérience sur d'autres banques en ligne comme Fortuneo, le Crédit Mutuel ou le Crédit du Nord. A part les habituelles fonts Google ou Twitter, il n'y a pas grand chose qui pose problème.

La presse, qui est très friande de marchandisation des données personnelles de ses lecteurs, est joliment rattrapée par les banques. Alors que celles-ci pensent améliorer leur connaissance de leurs clients, elles permettent à des tiers d'accéder à des données personnelles qui devraient rester... personnelles.