Sur Privacy.com, masquer vos habitudes d’achat en ligne semble facile: entrez vos informations de débit ou de compte bancaire, et le site Web génère une carte de débit virtuelle. Cette soi-disant carte graveur agit en tant qu’acheteur par procuration, gardant votre nom et votre adresse de facturation hors de vue. Tapez simplement son numéro, sa date d’expiration et son code CVV dans n’importe quel site de commerce électronique, cliquez sur achat et la confidentialité prend le relais. Le service facture votre carte réelle, ajoute ces fonds à celui du graveur et utilise la nouvelle carte pour faire les achats.

La promesse est séduisante. La carte peut être configurée de manière à ce que les détaillants ne puissent pas payer de frais supplémentaires, tels que des frais d’abonnement automatiques. Si le site du détaillant est piraté, il vous suffit de laisser tomber le graveur et de passer à autre chose. Et si une personne impliquée dans la transaction tente de vendre vos données, la seule information de carte dont elle dispose est que l’achat provient de la confidentialité.

Ce n’est pas la seule offre de service à masquer les transactions des utilisateurs. En août dernier, Apple a présenté l’Apple Card, une Carte de crédit sans numéro émise par Goldman Sachs qui ne suivra pas vos achats. Confidentialité et autres éditeurs de logiciels avancés tels que FigLeaf et Abine travaillent sur des cartes graveurs et d’autres technologies, telles que des gestionnaires de mots de passe et des extensions de navigateur qui masquent votre navigation sur le Web. Hors ligne, les consommateurs ont toujours pu acheter des choses de manière anonyme avec de l’argent liquide. Mais en ligne, c’est une autre histoire. «Nous voulons donner aux consommateurs le contrôle de dire:« J’adore faire affaire avec vous, je veux participer sur Internet – je veux juste le faire selon mes conditions »», déclare Rob Shavell, cofondateur d’Abine.

Nous nous sommes habitués au fait sombre que presque tous les grands annonceurs, sites Web et fabricants d’appareils personnels collectent et surveillent dans une certaine mesure les données des utilisateurs. Certains le font pour leurs propres besoins. D’autres le font au service de divers spymasters algorithmiques, tels que Facebook ou Google, qui analysent de vastes tableaux d’informations personnelles – des likes des médias sociaux aux emplacements GPS – pour diffuser des publicités pertinentes. (Vite L’entreprise, comme de nombreux autres médias, suit les données des lecteurs à des fins publicitaires.)

Mais pour comprendre avec certitude le comportement d’achat, vous avez besoin de données de carte de crédit. Au cours de la dernière décennie, les achats des consommateurs sont devenus l’un des ensembles de données les plus recherchés et les plus lucratifs, utilisés par Wall Street et Madison Avenue pour en déduire les goûts, les budgets et les projets des acheteurs. «Les données de transaction sont le Saint Graal pour les spécialistes du marketing aujourd’hui», déclare Michael Moreau, cofondateur de Habu, une startup basée à Boston qui aide les annonceurs à rassembler leurs données.

Ces transactions ont donné naissance à un écosystème complexe de vente de données. Au cœur de celui-ci se trouvent les réseaux de traitement des cartes de crédit, notamment Visa, American Express et Mastercard, qui ont encaissé 4,1 milliards de dollars en 2019 – un quart de son chiffre d’affaires annuel – grâce à l’exploitation de son entrepôt de données de transaction pour des services incluant le marketing des analyses ainsi que des programmes de récompense et de détection des fraudes. Et puis il y a les banques, les commerçants, le paiement processeurs et éditeurs de logiciels qui permettent les transactions en ligne. Rares sont ceux qui divulguent leurs méthodes; certains obscurcissent activement leur travail; tous jurent que les données personnelles sont anonymisées et agrégées, et donc sécurisées.

La réalité est bien plus compliquée. En un sens, les détenteurs de cartes sont plus à l’abri du vol d’identité que jamais. Dans le même temps, ils achètent désormais dans un panoptique, les entreprises suivant et analysant leurs achats en temps quasi réel. Il n’a jamais été aussi difficile de savoir qui regarde et vend ces données, sans parler de qui achète.

Les entreprises ont exploité les données de transaction pour nous vendre plus de choses dès les années 1990, lorsque des géants de la carte de crédit tels qu’American Express ont analysé les achats pour adapter des offres spéciales aux titulaires de carte. Les spécialistes du marketing ayant des points de vue plus limités, quant à eux, ont mis en commun les données de leurs propres caisses enregistreuses pour avoir une meilleure vue de leurs clients.

Le paysage a radicalement changé lorsque les startups fintech ont frappé une décennie plus tard. Au début, les banques hésitaient à partager des données et à travailler avec elles, en grande partie à cause de la loi Gramm-Leach-Bliley de 1999, qui impose des sanctions aux institutions financières qui mettent les données des clients, y compris les noms, les anniversaires, les adresses et d’autres informations personnelles identifiables, à risque. Pour résoudre ce problème, les startups ont mis en œuvre un système sophistiqué qui efface les données personnelles et les remplace par des pseudonymes générés aléatoirement qui agissent comme des codes d’identification: ils sont inintelligibles en eux-mêmes, mais peuvent plus tard être mis en correspondance avec des fichiers clients individuels.

Ce système de substitution (également appelé tokenisation) est désormais standard. Les cartes à puce, les systèmes de paiement sans contact tels qu’Apple Pay, les méthodes de paiement en ligne et d’autres technologies bancaires en ligne en dépendent pour se connecter les uns aux autres. Ils forment même des guirlandes: si une application de commerce électronique doit accepter les cartes de crédit, elle utilise un logiciel fourni par un processeur de paiement comme Stripe. Si une application de services financiers telle que Acorns souhaite créer un lien vers comptes bancaires des clients, il peut utiliser une API de Plaid, qui automatise les connexions. Si une application de gestion de patrimoine souhaite donner aux utilisateurs une vue du tableau de bord de leur carte de crédit, de leurs comptes d’épargne et de placement, elle peut utiliser le logiciel d’une société appelée Yodlee.