Le cashback et vos données personnelles

Que ce soit Max ou Revolut, les deux néobanques ont opté pour un modèle de cashback basé sur l’affiliation. Une méthode qui n’est peut-être pas la meilleure, les bloqueurs de publicités étant aujourd’hui légions.
En fonctionnant avec un principe de lien qui va mettre en place un traceur (cookie), tous les clients soucieux de leur vie privée ou souhaitant réduire les publicités envahissantes, vont rencontrer des difficultés. Les bloqueurs comme AdGuard, AdBlock, uBlock… fichent ces régies publicitaires et empêchent le dépôt du cookie.

Un cookie ? Sans façon !

Les navigateurs modernes commencent à bloquer les cookies de sites tiers et autres. Les mécanismes de cashback basés sur l’affiliation sont donc mis en difficulté.
Il nous semble plus judicieux, et plus ouvert de fonctionner sur un mécanisme de session renseignée dans l’URL. En utilisant une technologie « cookieless », nullement besoin de déposer une donnée dans un navigateur, ou de voir l’affiliation cassée par un blocage des cookies « publicitaires ».
Diverses sociétés usent ce mécanisme « cookieless », car leur ADN repose sur le respect de la vie privée. Leurs sites sont opérationnels, y compris avec des authentifications en utilisant uniquement des sessions transmises dans l’URL. Tout en assurant la sécurisation pour éviter le « spoof » d’une session.

Le cashback chez Curve

Curve par exemple a opté pour une autre stratégie. Vous sélectionnez en amont les partenaires, puis vous utilisez normalement votre carte sur le site concerné. Le cashback est alors calculé automatiquement à chaque paiement dans l’enseigne choisie. C’est simple, et cela permet de limiter les incidents techniques venant à casser le traçage pour le cashback.

Le cashback chez American Express

American Express a une politique très similaire. Il suffit d’activer l’offre dans l’Espace Client d’American Express, puis d’utiliser sa carte chez le commerçant pour toucher le cashback prévu. L’activation de l’offre consiste simplement à réserver votre droit au bonus. Il ne vous dirige ni sur le site marchand et ne dépose pas non plus de traçage pour suivre la vente.

L’usage des données personnelles

Des sociétés épinglées par la CNIL

En affiliation, il est normal, et cohérent, de s’inquiéter pour ses données personnelles. Si un prestataire respecte le RGPD, il doit vous indiquer qui est le tiers qui va accéder à vos données personnelles (une adresse IP est une donnée personnelle), quelle en est la finalité, la durée de conservation, vos droits…
Le problème avec les régies publicitaires, c’est qu’il y a constamment des débordements. On voit par exemple qu’un leader Français du tracking est visé par une enquête de la CNIL depuis mars 2020. Ce même géant est souvent critiqué pour ses pratiques, et la collecte des données qu’il parvient à faire en se basant sur les adresses IP.
En début d’année, une société spécialisée dans le BigData a fermé. Son patron s’était d’ailleurs fendu d’un article « La CNIL nous a tueR ». La CNIL a détecté différentes pratiques contraires aux règles en vigueur. La mise en conformité ne rendant plus viable cette société spécialisée dans le BigData et le tracking, elle fût contrainte de fermer. La CNIL a simplement mis fin à un modèle contraire aux bonnes pratiques.
Ces situations laissent planer un doute sur la finalité réelle de la donnée obtenue. D’autant que l’anonymisation d’une donnée est souvent qualifiée de « bullshit » car en recoupant quelques informations, l’anonymisation est invalidée.
Les navigateurs renforcent de plus en plus le respect de la vie privée. Les régies cherchent toujours à contourner ces pratiques. Des experts avaient mis en lumière le fait de créer des sous domaines aléatoires pour contourner les protections des navigateurs, et faire croire qu’il appartiennent au site visité. En réalité, ces sous-domaines redirigent vers la régie publicitaire qui collecte la donnée.

Les politiques de Max et Revolut

Que ce soit Max ou Revolut, nous ne sommes pas entrain de vous dire qu’ils vendent vos données à des régies tierces. Nous constatons simplement, que ni l’un ni l’autre ne donnent une liste exhaustive des régies qui vont avoir accès à vos données personnelles, comme votre adresse IP afin de placer un cookie.
Par exemple chez Max, sans même avoir accepté le contrat de Cashback, à minima une donnée personnelle est transmise aux 2 régies. Votre adresse IP est ainsi captée par Plebicom via « static.max.plebicom.com » et Paylead via « static.prod.paylead.fr ». On trouve également un transfert de donnée à app’s miles via « api-prod1.appsmiles.eu ».
Chez Revolut, en voulant profiter de l’offre Nike, vous êtes dirigé vers un site « awin1.com » qui tente de mettre en place le traçage de votre connexion. A aucun moment, Revolut ne vous donne des informations sur cette régie. Une recherche légale montre exclusivement un domaine anonyme, étonnant pour une activité professionnelle. En cherchant, on trouve rapidement que les données comme l’adresse IP, seront connues de la société « Awin », le tout associé 2 « id » permettant de faire l’association des éléments.
C’est cette même régie publicitaire derrière l’offre Aliexpress. L’offre Monoprix, c’est cette fois le domaine « metaffiliation.com » qui se charge de collecter les données et vous suivre. Le domaine est là encore en anonyme, et laisse juste voire partiellement une société « C2B S.A. ». En cherchant on retrouve que le domaine est lié à la société « Netaffiliation », qui a également son domaine en anonyme.

L’opacité des régies

Le problème de l’affiliation, c’est toute cette opacité qui règne autour des différents acteurs. Il est compréhensible que certaines personnes en viennent à douter d’une limitation stricte du traitement comme la destruction de toutes les données dès que le règlement est effectué.
Les méthodes existent, pour qu’aucune de vos données, pas même votre IP ne soit diffusée à la régie publicitaire. Une régie peut « promettre » de ne rien faire de la donnée qu’elle a obtenue. Toutefois, est-elle certaine qu’elle ne sera jamais victime d’une sortie de données ?
Facebook a, une fois de plus, été concernée par des fuites de données personnelles. Plus vous réduisez le nombre de tiers ayant des données personnelles, plus vous protégez votre vie privée. Apple en a d’ailleurs fait un argument commercial. La société à la pomme insiste sur le respect de la vie privée et les restrictions déployées pour vous protéger.

Conclusion

De notre appréciation personnelle, il aurait été plus rassurant d’utiliser une méthodologie semblable à  American Express.

  • Vous vous authentifiez sur votre Espace Client.
  • Vous sélectionnez les offres qui vous intéressent.
  • Lors de votre prochain paiement dans cette enseigne, le cashback vous est reversé automatiquement.
  • L’émetteur de la carte peut ensuite prouver à son annonceur, que plusieurs milliers de clients sont allés chez lui durant la période de l’offre.

Lorsque la vie privée est une part importante de l’ADN d’une société, les solutions pour protéger les données sont légions. Prévenir qu’un tiers accède à la moindre donnée, comme une IP, devient une évidence.