Le panier est vide
6 cartes de crédit face à la vie privée: des cartes de crédit au cœur de la vie privée
Entre voyages et e-commerce, l’utilisation de cartes Visa ou de Mastercard est très populaire. À chaque transaction, des données privées sont collectées. Dans quel but? Et ces informations sont-elles transmises à des tiers?
Pour réserver un vol, faire du shopping en ligne ou régler la note d’un restaurant, la carte de crédit est un moyen de paiement très pratique. Mais il empiète aussi largement dans notre vie privée. Car, à chaque utilisation, la transaction est enregistrée sur un serveur informatique. Une ligne est alors inscrite dans une base de données avec, notamment, l’identifiant de l’utilisateur, la date de paiement, la somme dépensée et le commerçant. En réunissant toutes les lignes concernant le même utilisateur, on obtient très facilement ce qu’on nomme un «profil d’achat».
Un exemple? Telle personne de tel âge habitant telle région se rend régulièrement à l’étranger. Ses achats sur le web laissent supposer qu’il a des enfants, qu’il aime les polars et les bons vins. Et, comme il règle souvent ses factures en retard, il n’est donc pas un très bon payeur… Des informations confidentielles, mais prisées par les spécialistes en marketing ou des sociétés traquant la solvabilité des consommateurs.
Nous avons donc interrogé les émetteurs des cartes de crédit sur le traitement des données personnelles de leur clientèle (voir tableau «Les émetteurs de cartes et la protection de la vie privée»). S’ils déclarent unilatéralement stocker des données à caractère privé, ce qui est évidemment nécessaire pour le bon fonctionnement du service fourni, certains sont plus exhaustifs que d’autres pour lister le type de ces données, mais tous mentionnent celles qui sont en lien avec les transactions (lieu, date, montant, commerçant).
Des données parfois stockées à l’étranger
Mais ces données sont-elles stockées en Suisse? Le client peut légitimement se poser ce genre de question, au regard des récentes révélations sur les programmes d’espionnage de l’Agence américaine de sécurité nationale (NSA). Cornèr Banque et UBS affirment qu’elles sont enregistrées sur des serveurs hébergés dans notre pays. GE Money Bank prétexte un aspect sécuritaire pour ne pas répondre. Quant à PostFinance, Swisscard et Viseca, ils admettent stocker des données «en Suisse et à l’étranger».
Dès lors, le consommateur pourrait-il se soumettre, sans le savoir, à une législation étrangère plus faible en regard de la protection de la vie privée? «Oui, ce risque existe», admet le préposé fédéral à la protection des données et à la transparence (Pfpdt). Si le Tribunal fédéral maintient que, dès qu’il y a un lien suffisant avec la Suisse, c’est la loi de notre pays qui devrait être applicable, le Pfpdt n’est pas rassuré pour autant. Il estime qu’on ne peut pas toujours en être sûr et que cela dépend des cas.
Des partenaires ont parfois un accès
Autre risque pour la protection de la vie privée: la transmission d’informations personnelles à des tiers.
> Cornèr Banque et GE Money Bank sont les seuls émetteurs certifiant ne rien céder.
> Swisscard, qui propose des cartes de crédit pour différents partenaires comme Coop, Credit Suisse ou Swiss, admet que des données sont transmises «si le nom ou le logo d’un tiers figure sur la carte ou si la carte donne droit à des programmes de fidélisation, à des prestations d'assurance ou autre».
> UBS concède même faire suivre ces informations à d’autres entreprises (celles, par exemple, réalisant des études de marché), mais anonymement.
> Enfin, Viseca (Raiffeisen, banques cantonales, Banque Migros, etc.) est plus évasive et déclare fournir ces données privées à des tiers seulement s’ils respectent le caractère confidentiel de celles-ci et assurent une «protection des données appropriée».
Le service du préposé à la protection des données précise que le prestataire est obligé d’informer les clients, dans ses conditions générales, lorsque la transmission des donné es n’est pas en lien avec la finalité du traitement (ici, l’exécution du contrat de crédit). C’est notamment le cas pour toutes les transmissions à des tiers pour des raisons de marketing ou d’analyse. Lorsqu’il s’agit du traitement de données par une personne extérieure (outsourcing), il n’y a, en revanche, pas d’obligation, car la responsabilité pour le traitement reste chez l’émetteur.
A la question: combien de temps gardez-vous des données privées de vos clients, les entreprises interrogées ont toutes répondu «10 ans au maximum», comme l’exige la loi.
Enfin, sachez que cette même loi donne aux citoyens suisses un droit d’accès, gratuit et par écrit, aux données les concernant. Il suffit, en général, de contacter les services clients du prestataire pour faire valoir ce droit.
Loïc Delacour
Pour télécharger le tableau comparatif, se référer à l'encadré au-dessous de la photo.
Voir les résultats
Lire l'article
Des données accessibles à la police
Lorsqu’une enquête le nécessite, les données privées de transaction d’une carte de crédit peuvent être transmises à la police. C’est un mandat écrit (ou, si urgence, par oral) qui permettra d’accéder à ces informations. A la demande du Ministère public, le Tribunal des mesures de contrainte peut également «autoriser la surveillance des relations entre une banque ou un établissement similaire et un prévenu, dans le but d’élucider des crimes ou des délits», comme mentionné dans le Code de procédure pénale (art. 284).
Sur quels éléments se fonde la justice pour accepter ou non une telle demande? «Le Ministère public aura toujours recours à ce moyen si les documents ainsi obtenus permettent d’éclairer particulièrement un fait», répond l’Office fédéral de la justice. En revanche, ce dernier ne peut dire combien de demandes de ce genre sont traitées chaque année, faute de statistiques dans le domaine.
