Vous ouvrez votre application de trading entre deux réunions, vérifiez vos positions sur Degiro ou Trade Republic, puis passez à autre chose. Geste anodin, répété des dizaines de fois par semaine. Ce que vous ne voyez pas, c’est ce qui se passe dans les secondes qui suivent : des dizaines de requêtes partent en arrière-plan vers des serveurs que vous n’avez jamais autorisés explicitement. Bienvenue dans la face cachée de la fintech.
Ce que vos applications collectent vraiment
Les politiques de confidentialité des applications de trading et de fintech sont souvent rédigées pour rassurer, pas pour informer. Derrière des formulations vagues comme « données d’utilisation » ou « informations de diagnostic », se cache une collecte bien plus précise.
Les données financières, mais pas seulement
Les données collectées vont bien au-delà de vos transactions. La plupart des applications enregistrent :
- Votre comportement de navigation : quels actifs vous consultez, combien de temps, à quelle heure
- Vos métadonnées de connexion : adresse IP, type d’appareil, système d’exploitation, opérateur mobile
- Votre localisation, parfois en continu, même lorsque l’application tourne en arrière-plan
- Vos contacts et données biométriques, si vous avez accordé ces autorisations sans y prêter attention
Ces informations, agrégées, dressent un portrait financier et comportemental d’une précision redoutable. Pour un investisseur actif, elles peuvent révéler des stratégies, des intérêts sectoriels, voire des anticipations de marché.
Avec qui ces données sont-elles partagées ?
C’est ici que le tableau devient réellement préoccupant. La majorité des applications fintech opèrent avec un écosystème de partenaires tiers : régies publicitaires, outils d’analyse comportementale, prestataires de scoring de crédit, parfois des data brokers.
Les tiers invisibles dans vos transactions
Une analyse de trafic réseau réalisée sur plusieurs applications populaires en Europe a montré que certaines transmettent des données à plus de 30 domaines tiers lors d’une simple session de connexion. Parmi eux, on retrouve régulièrement des outils comme Google Analytics, Firebase, Amplitude ou Adjust : des plateformes conçues pour profiler les comportements utilisateurs.
En Belgique, comme dans l’ensemble de l’Union européenne, le RGPD encadre théoriquement ces pratiques. Mais le diable est dans les détails : beaucoup d’applications obtiennent votre consentement via des cases précochées ou des formulations ambiguës lors de l’onboarding. Une fois ce consentement accordé, la chaîne de partage peut s’étendre à des partenaires que vous n’avez jamais eu l’occasion d’identifier.
Les risques liés aux connexions non sécurisées
Utiliser votre application de trading sur un Wi-Fi public (dans un café, un aéroport, un espace de coworking) expose vos données à des risques concrets que beaucoup sous-estiment.
Wi-Fi public et attaques de type « man-in-the-middle »
Sur un réseau non sécurisé, une attaque dite man-in-the-middle permet à un tiers malveillant d’intercepter le trafic entre votre appareil et les serveurs de l’application. Si cette dernière ne chiffre pas correctement ses communications (ce qui est le cas de certaines applications moins matures), vos identifiants, jetons d’authentification, voire vos ordres de bourse peuvent être capturés en clair.
Même si le site utilise un chiffrement TLS, il peut y avoir des failles dans l’implémentation (des certificats mal validés ou des versions obsolètes du protocole) qui créent des possibilités d’exposition. Il est déjà arrivé que des applications fintech subissent des violations de données suite à ce genre de défauts de sécurité.
Comment se protéger concrètement
Prendre conscience du problème est une première étape. Mais agir en conséquence reste l’action la plus importante. Vous trouverez ci-dessous une sélection de mesures simples à mettre en place. Elles feront vraiment la différence et ne nécessiteront pas de compétences techniques spécifiques.
Quatre réflexes à adopter dès aujourd’hui
1. Utiliser un VPN sur les réseaux publics : un VPN (réseau privé virtuel) est un outil qui chiffre l’intégralité des données de votre connexion avant qu’elles ne quittent votre appareil. Ainsi, si vous utilisez un Wi-Fi compromis, vos données seront illisibles par quelqu’un qui pourrait les intercepter. Pour une sécurité et une confidentialité optimales, faites le choix de fournisseurs établis de VPN de qualité qui ne gardent pas de journaux de connexion.
2. Vérifier les autorisations de vos applications : que vous utilisiez iOS ou Android, allez dans les paramètres de confidentialité et vérifiez, pour chaque application, à quoi elle peut accéder : localisation, contacts, images, micro, caméra. Révoquez toutes les autorisations qui ne vous semblent pas nécessaires au bon fonctionnement de l’application.
3. Lire vraiment les politiques de confidentialité : c’est certes fastidieux mais vous devez vraiment vous concentrer sur deux sections clés : « partage avec des tiers » et « durée de conservation des données ». Si le partage de données est évoqué avec des partenaires non nommés, ou que la durée de conservation des données est très longue, cela doit vous alerter sur le sérieux de l’application.
4. Activer l’authentification à deux facteurs et surveiller les sessions actives : les applications sérieuses vous permettent de voir les appareils connectés à votre compte. Consultez régulièrement cette liste pour détecter des appareils inconnus et fermez absolument les sessions qui vous sont inconnues ou sont obsolètes.
Enfin, retenez que vos données financières intéressent des gens : c’est un fait et une certitude. Si ces données sont exposées, elles seront utilisées à bon ou à mauvais escient. En tant qu’investisseur ou entrepreneur belge, votre profil financier est un actif comme un autre : vous devez donc le protéger avec la même rigueur que votre portefeuille financier ou vos avoirs.
