NZNTV

MONEY MONEY C’est un incontournable lorsque vous faites vos courses et votre shopping. La carte de fidélité, destinée à cumuler des points bonus et utilisable lors des achats, s’avère être une arme ultime pour les commerçants. Et pourtant, les données personnelles stockées sur ces cartes sont désormais monétisées pour faciliter le profilage des clients. Les cartes de fidélité sont-elles des amis ou des espions en poche? Décryptage!

Les consommateurs se laissent tenter par une ou plusieurs cartes de fidélité, pour profiter des offres avantageuses.

lles prennent de plus en plus de place dans le porte-monnaie, après les cartes bancaires. Il s’agit des cartes de fidélité. Les supermarchés et grandes surfaces, les enseignes de vêtements, les restaurants et autres commerces carburent à ces cartes numériques. En cette période d’inflation, les consommateurs se laissent tenter par une ou plusieurs de ces cartes, pour profiter des offres avantageuses. Cet objet de la vie quotidienne est une mine d’or qui recèle des informations précieuses que monétisent les émetteurs de cartes, auprès d’autres commerces tiers, appelés partenaires commerciaux. Cette collecte de données peut soulever des préoccupations en matière de protection de la vie privée, si les informations sont utilisées de manière abusive ou partagées avec des tiers, sans le consentement des clients.

Les deux géants de la distribution suisse, Migros et Coop, ont récemment été au cœur d’une polémique. Une enquête de la NZZ am Sonntag, a révélé que les deux émetteurs de cartes de fidélité, Cumulus et Supercard, partageaient des informations anonymisées de leurs clients.

Monétisation des données personnelles

On le sait, l’objectif principal des cartes de fidélité est de récompenser les clients, en offrant des remises, des points bonus, des cadeaux ou même une cagnotte. Impossible aujourd’hui de passer par les caisses d’une grande surface sans qu’un vendeur ou une vendeuse vous demande votre carte de fidélité ou vous propose d’en obtenir une, si vous ne l’avez pas.

Lorsqu’un client souscrit à la carte, il doit donner son consentement pour le traitement de ses données personnelles, telles que les adresses électroniques, adresse de domicile, numéro de téléphone, nom ou encore date de naissance. La fiche d’inscription précise que l’enseigne conservera ces données dans sa base de données et les partagera éventuellement avec des partenaires commerciaux. Cependant, les clients, attirés par les avantages offerts pour leurs achats futurs, ne vérifient pas toujours les conditions d’utilisation de la carte, ni ce qu’il adviendra de leurs données collectées. Comment sont-elles exploitées? Les entreprises peuvent enrichir leur propre base de données ou les céder à d’autres partenaires commerciaux ou à des courtiers en données, souvent de manière anonyme. Les informations obtenues via les cartes de fidélité peuvent servir à établir des profils de comportement et sont ensuite utilisées pour cibler les clients. Cette démarche vise à inciter les clients à profiter d’offres par courriel, SMS ou même lors d’appels commerciaux.

La collecte de données personnelles passe par une phase de traitement visant à minimiser et agréger les informations collectées, afin d’empêcher l’identification des individus. Cependant, même si ces procédures sont conformes aux lois sur la protection des données, il subsiste un risque résiduel de fuite de données, que ce soit auprès de l’entreprise émettrice des cartes ou par des informations vendues à des tiers.

Faille de sécurité des cartes de fidélité

En novembre 2022, l’enseigne française Système U dit avoir reçu des plaintes de ses clients pour le vol de leurs cagnottes, à savoir les montants en bonus accumulés sur leurs comptes. Plusieurs enseignes, comme Carrefour, ont également tiré la sonnette d’alarme au sujet d’une campagne d’hameçonnage, qui visait leurs clients. Ces derniers ont cru qu’ils devaient accéder à leurs comptes et ont entré leurs identifiants dans une fausse page, ressemblant à l’originale. Les pirates ont pu ainsi faire des achats aux noms de ces clients, qui ont dû, d’urgence, changer leurs mots de passe, pour freiner le partage de ces données sur le dark web.

Monétiser les données est légal

Le Règlement général sur la protection des données (RGPD) de l’UE et la nouvelle loi suisse sur la protection des données (nLPD) autorisent la collecte de données personnelles ainsi que leur traitement et partage, sous certaines conditions.

En l’occurrence, Migros et Coop agissent en conformité avec la nouvelle loi, tant que le consentement éclairé a été obtenu et que l’utilisateur est au courant du traitement des données, par l’émetteur ou par des tiers. En général, ces données ont été rendues anonymes de façon permanente pour protéger la vie privée, mais parfois elles ont subi une pseudonymisation (on a attribué un pseudonyme), ce qui pourrait permettre de les identifier à nouveau. Quel recours peut avoir la personne concernée? Une fois le consentement obtenu, elle a le pouvoir de demander une information exhaustive sur le traitement des données personnelles la concernant, demande qui peut être acceptée ou rejetée si elle est contraire aux obligations légales. Le délai d’attente pour cette requête peut prendre jusqu’à 30 jours. Il y a également la possibilité de demander la rectification ou la suppression complète des données personnelles.

La carte de fidélité fait et fera encore partie de notre quotidien. Ces cartes migrent de plus en plus vers nos smartphones à travers les applications mobiles ou en ligne, ce qui rend la collecte des données personnelles encore plus importante et intrusive, quoique toujours légale. Migros et Coop ont tous deux souligné, sur leurs sites web respectifs, quelles données personnelles sont recueillies et traitées et dans quel cadre. Les deux sociétés affirment qu’elles analysent «votre comportement et [émettent] des hypothèses sur vos intérêts et préférences» de manière anonyme. En effet, les applications mobiles contrairement aux cartes physiques ont diverses fonctionnalités comme la localisation (GPS), la photo, les notifications, et c’est nécessaire pour faire tourner les applications et avoir l’accès aux comptes en ligne. Ainsi, les clients ayant cette appli peuvent recevoir de la publicité à travers les notifications push, sms ou mail ou à travers le ciblage géolocalisé, soit de la publicité en fonction de sa position géographique. Il y a aussi l’arrivée du «wallet» pour les cartes de fidélité, soit une application qui va rassembler (numériser) toutes vos cartes de manière numérique avec des niveaux de protection. Cela représente une autre mine d’or d’informations personnelles à traiter, toujours de manière légale. Le consommateur est averti!