Lydia fuite votre adresse e-mail

Je te fais un Lydia ? L'appli de paiement fuite vos données personnelles vers plusieurs tiers

Publié par Pixel de Tracking le 8 mai 2020

Lydia aime les traqueurs

Lydia est une application très pratique, permettant notamment de rembourser simplement ses amis et de créer des cagnottes. C'est une "fintech" française qui a levé 40 millions d'euros cette année, notamment auprès du géant chinois Tencent. Lydia gérant des transactions financières, je ne m'attendais pas à être surveillé.

Pour se rendre compte des éventuels outils de traçage mis en place par Lydia, j'ai suivi la procédure suivante sur mon iPhone :

  • Fermeture des différentes applications en arrière plan
  • Lancement de l'application Charles Proxy et activation du suivi
  • Lancement de l'application Lydia, puis navigation dans l'App
  • Export des logs de ma session Charles Proxy vers mon ordinateur

Lydia_iPhone

Comme vous pouvez le constater sur la capture d'écran, l'appli Lydia est bavarde et communique vos données personnelles à plusieurs acteurs :

  • Google : via la boite à outil pour développeurs Firebase, Lydia mesure votre usage de l'application, les crashs (Crashlytics) et envoie donc vos données personnelles au géant de Mountain View.
  • Braze : cette société permet à Lydia de vous envoyer des messages adaptés (in-App, notifications, emails) au "bon moment". Braze traque toutes vos actions sur Lydia, et en particulier le détail de vos paiements.
  • Vero : autre société permettant à Lydia de vous envoyer des messages adaptés au bon moment. Lydia envoie aussi votre navigation et le détail de vos paiements à Vero afin d'adapter ses futures communications. Plus grave, attaché à vos différentes actions, Lydia ne fuite pas simplement un pseudonyme mais également votre adresse e-mail.
  • Appsflyer : société de marketing mobile offrant notamment un produit d'attribution, ce qui permet à Lydia de savoir quelles campagnes publicitaires ont déclenchées l'installation de l'application.
  • Amplitude : outil d'analytics, permet à Lydia d'analyser en détail votre comportement sur son application. Ici également, tout est tracé : chaque écran vu, le détail de vos transactions, le modèle de votre smartphone, votre opérateur mobile ou bien votre identifiant de smartphone.

Une politique de confidentialité indigente, n'offrant aucun contrôle à l'utilisateur

La "Politique de protection des données à caractère personnel Lydia" n'est pas accessible directement dans l'App, il faut aller la chercher à partir de votre profil, puis en bas de page ouvrir les C.G.U, et enfin trouver le bon lien. La section 4. traite du transfert des données personnelles : "aux partenaires bancaires et fournisseurs de Lydia et à leurs prestataires opérationnels".

En contradiction avec la RGPD, Lydia n'informe pas l'utilisateur des partenaires marketing vers lesquels il fuite vos données personnelles, on peut simplement supposer qu'ils sont inclus dans les "prestataires opérationnels". Aussi, Lydia bafoue sa propre politique en fuitant votre adresse e-mail, car il prétend préalablement anonymiser vos données à caractère personnel :

Lydia peut également être amenée à communiquer les données à caractère personnel de ses Clients personnes physiques à l’un de ses fournisseurs ou autres partenaires, à condition que celles-ci ait été préalablement anonymisées. Cette anonymisation consiste à y retirer les éléments suivants : nom et prénom, adresse e-mail, numéro de téléphone, adresse postale et tout autre élément permettant d’identifier ou de contacter directement le Client personne physique.

La politique de confidentialité de Lydia est également difficile à trouver, il vous faut passer directement par le site web Lydia (notez aussi la faute d'orthographe dans l'URL de la page, "confidentilaite" à la place de "confidentialité"). Lydia indique sur cette page :

Vos données personnelles ne seront pas vendues, échangées, transférées, ou données à une autre société pour n’importe quelle raison, sans votre consentement, en dehors de ce qui est nécessaire pour répondre à une demande opérationnelle, comme par exemple la réalisation d’une transaction. Cela ne comprend pas les tierce parties de confiance qui nous permettent de mener à bien notre activité (législateur, partenaire bancaire, hébergeur) tant que ces parties conviennent de garder ces informations confidentielles.

De nouveau, Lydia ne respecte pas son engagement : vos données personnelles sont transférées à d'autres sociétés (marketing et non législateur, partenaire bancaire ou hébergeur), sans votre consentement. Lydia indique également :

La sécurité de vos données personnelles est protégée par un système de cryptage et codes d’accès. Seuls les employés qui ont besoin d’effectuer un travail spécifique comme le service commercial ou le support clients ont accès à certaines de vos données personnelles identifiables. Les serveurs utilisés pour stocker des informations personnelles identifiables sont conservés dans un environnement sécurisé.

Là aussi, c'est faux : Lydia fuite vos données personnelles à plusieurs tiers, dont votre e-mail à Vero. Certains employés de Vero peuvent donc retracer votre comportement sur Lydia et votre historique de transactions. Enfin, Lydia a une définition toute particulière du consentement, en violation flagrante de la RGPD :

En utilisant nos services, vous consentez à notre politique de confidentialité.

Évidemment, Lydia ne propose aucun contrôle sur ces fuites de données personnelles. Votre seule option est de passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.