Moneyhouse - qu'es-tu donc ?

ajouté le 2012-08-12T17:25:43 dans Suisse • par SwissTenguCommentaires
Tags: moneyhouse privacy

À mesure que je lis des choses concernant moneyhouse, je me rends compte qu'une bonne partie des gens ne savent pas ce qu'est Moneyhouse.
On parle de fichage systématique, certains se demandent "pourquoi moi j'y suis et pas untel" etc.

Je vais donc tenter de répondre à la question suivante : qu'est donc moneyhouse, finalement ?

On va directement reprendre le "slogan" du site :
"la source des données pour les entreprises et personnes"

Déjà là c'est faux : moneyhouse n'est en aucun cas "la source des données".
95% des données qu'ils mettent à disposition (dont 99% contre paiement) sont en fait des données publiquement accessibles sur divers services de l'état, pour autant qu'on sache où chercher.

Moneyhouse n'est qu'un agrégateur de données. Le site se contente d'interroger des bases existantes, telle que l'OFRC (Zefix), qui permet de faire des recherches centralisées sur les différents registres cantonaux.
Ou encore en conservant et traitant les données parues dans la Feuille officielle suisse du commerce (FOSC).

Ensuite, quoi de plus simple que de recouper ces données récoltées avec le contenu d'un annuaire ? A priori, local.ch ne fournit pas directement d'API, mais en fouillant un peu, il semblerait qu'il existe un truc pour attaquer l'annuaire : http://www.directoriesdata.ch/... - je n'ai pas été plus loin.
Et, dans le pire des cas, faire un script qui soumet un formulaire de manière automatisée pour rappatrier des données, ce n'est vraiment pas compliqué ;).

Bref, Moneyhouse possède certes quelques données, provenant de diverses sources publiques, mais le vrai job est l'agrégation de ces données, et la mise à disposition du fruit de cette agrégation.
Il n'est, au final, pas le pire dans ce secteur discret qu'est la collecte et l'agrégation des données personnelles.
Son seul tord est d'avoir été trop visible.

Il suffit pour s'en convaincre de regarder le nombre d'entreprises privées ayant un fichier contenant des données personnelles. Une telle liste peut être obtenue via le moteur de recherche https://www.datareg.admin.ch/, mis à disposition par le PFPDT.
Pour rappel, chaque entreprise ou office d'état manipulant des données personnelles est tenu de s'annoncer au PFPDT, et doit annoncer la teneur de ses fichiers (le type de donnée, le but de la collecte ainsi que les groupes de personnes y accédant).

Si on regarde plus précisément la déclaration du fichier de Moneyhouse, on voit de suite qu'il ne contient rien de sensible, ni rien de spécial :
Adresse (bottin de téléphone)
Nom, prénom (bottin de téléphone et enregistrements auprès du Registre du commerce)
Sexe (sauf erreur via les annonces officielles des naissances, voire directement via le bottin)
Date de naissance (via les annonces officielles, voire le RC)
Numéro CH (numéro suisse de l'entreprise, via le RC)
Numéro OFRC (à priori, je dirais qu'il doit être le même que le numéro ci-dessus)
(source: https://www.datareg.admin.ch/W... )

Et c'est tout. Uniquement des données publiques.

Par contre, il est intéressant de voir que, par exemple, l'adresse regroupe manifestement aussi l'historique des déménagements. En effet, via le site de Moneyhouse, il est possible de voir les déménagements d'une personne sur au moins les 10 dernières années. Moneyhouse se base sur un service payant de la Poste, nommé MAT[CH]move.
Il est aussi intéressant de voir que les adresses mails ainsi que les numéros de téléphones ne semblent pas être déclarés - pourtant Moneyhouse les revend. Peut-être sont-ils repris dans la dénomination "adresse".

Comme vous pouvez le voir, Moneyhouse ne fait qu'employer des données accessibles plus ou moins publiquement, les agréger et les vendre. En profitant de quelques lacunes dans la loi sur la protection des données (voir le billet de @KHannibal sur le sujet : http://www.khannibal.ch/2012/m... )

De ce point de vue, je comprends la réaction du TAF et leur décision de permettre à nouveau à Moneyhouse de proposer son service.
D'autant que Facebook ou tout autre réseau de ce genre a des chances d'en savoir nettement plus sur vous : entre ce que vous entrez comme infos, les "like" etc, y a de quoi faire de jolis profils de personnalité assez complet ;).

Par contre, il serait très intéressant de jeter un oeil du côté des autres sociétés privées manipulant vos données.

À ce sujet, j'ai eu une petite idée : pourquoi ne pourrions-nous pas, en tant que citoyen désirant savoir qui fait quoi de nos données, agréger les données que l'on peut obtenir sur ces entreprises ? On peut très facilement trouver :
- le nom de ces entreprises
- les responsables
- les adresses (sièges sociaux, for juridique etc)
Et via un peu de recherches, voir s'il existe des liens entre les entreprises (que ce soit du copinage au niveau des directions, ou d'échanges de données - dans le genre de Moneyhouse et Deltavista).

Je pense que les entreprises pouvant être le plus intéressant sont celles qui manipuler les données financières. En effet, le fait qu'elles puissent d'une part accéder à l'état de vos dettes, crédits, poursuites etc pose un sacré problème à mon sens. Sans parler du fait qu'elles peuvent les revendre...

Je vais aussi aller voir sur quelle base légale on peut demander les déclarations d'impôts de tiers - c'est un service que Moneyhouse propose, facturé 114 francs (+TVA). À voir, cela concerne tant les entreprises que les personnes. De ce que j'ai compris, on n'obtient pas la déclaration détaillée, juste le salaire déclaré ainsi que les avoirs.
A se demander pourquoi les gérances immobilières nous emmerde à leur fournir les 3 derniers certificats de salaire ;).

Bref. J'ai du boulot :
- harceler Moneyhouse pour avoir des réponses (voir mon dernier billet)
- contacter Deltavista pour voir ce qu'ils ont sur moi, qui y accède et d'où ils ont obtenu ces infos
- contacter mon office des impôts local pour leur poser 2-3 questions
- commencer mon propre travail d'agrégation avec les données sur les entreprises privées accédant à nos données financières (tiens au fait, faut que je déclare ce fichier, vous croyez ? ;) )
- continuer de suivre l'actu genre moneyhouse, evote etc
- .... sans doute d'autres choses que j'oublie à l'instant ;)

Le blog n'est pas prés de fermer, au moins :].

T.
Bitcoin Litecoin Skrill
 

RSS Commentaires

 
Got Gravatar?

Barzi , le 2012-08-12T20:36:59

Dans le même registre, j'ai été très étonné de constater que l'Etat Civil fribourgeois semble avoir vendu mes données à des sociétés quand je me suis installé dans le canton. Idem pour la maternité de l'hôpital où ma femme a accouché... à moins que ce ne soit son gynéco. Merci le secret médical. Dans le premier cas, on a été harcelé par des assurances... dans le second par tout ce qui touche la puériculture, avec le plus glauque, les assurances-vie pour un bébé de quelques jours...

permalien

 
Got Gravatar?

SwissTengu , le 2012-08-12T21:03:25

Hmm, l'état civil n'aurait aucun intérêt à vendre des données. Le cadre légal est assez strict à ce niveau.
Idem pour la maternité ou le gynécologue.

Il faut plutôt regarder du côté des annonces officielles de naissances pour tout ce qui touche à l'enfant (il y a le nom des parents et 2-3 infos qui passent), et, concernant les données que l'état civil aurait vendues, il faudrait voir de quoi il s'agit...

A la rigueur, si vous voulez en parler "en privé", vous pouvez me joindre par email : tengu at tengu.ch.

T.

permalien

 
Got Gravatar?

Stan , le 2013-09-26T19:42:58

Désolé du second message...

Suite aux mesures prises par la Confédération vis-à-vis de moneyhouse, il semblerait qu'une simple lettre soit suffisante (voir ici.

J'en conclus qu'une copie d'une pièce d'identité n'est pas nécessaire? Ou est-elle uniquement nécessaire lors de la suppression à travers leur outil en ligne (étape 2)?

permalien

 
Got Gravatar?

SwissTengu , le 2013-09-26T20:46:01

Pas de problème, les commentaires sont là pour ça ;).

Selon J.-P. Walter, préposé suppléant à la protection des données, on peut masquer des éléments sur la carte d'identité, et ne laisser, par exemple, que le nom, prénom, origine tout en masquant le reste (source, à partir de 30:00).

Après, légalement, il faut prouver qu'on est bien soi pour demander l'extrait, la correction voire la suppression des données - je sais, c'est un peu se tirer une balle dans le pied.

Pour répondre, directement, à votre question, pour ma part ça ne sert à rien de tenter de me supprimer de moneyhouse, ayant une entreprise à moi, enregistrée auprès des autorités compétentes ;).
Le problème se posera si je la ferme, avec le fait que l'historique ne sera jamais effacé chez moneyhouse ou les autres sociétés du genre (monetas par exemple, ou encore biznode).

Dans l'état actuel, les gens sont un peu démunis :
- pas de liste officielles des entreprises qui fichent
- système de opt-out au lieu d'opt-in
- soutien inexistant de la part des politiques (aucune volonté de leur part)
- manque flagrant de moyens pour les préposés à la protection des données (exemple de Genève, où on coupe dans ses budgets chaque année)

L'inertie du Peuple fait aussi que rien ne change - si ce dernier commence à réellement prendre les choses en main et faire comprendre aux élus qu'ils y a, réellement, un gros problème, peut-être que ça pourrait faire changer les choses.

Heureusement, certains sont conscients des problèmes et tentent d'améliorer les choses... Il faut les soutenir dans ces démarches !

T.

permalien

 
Ajouter un commentaire
Les tags HTML ne sont pas autorisés. Pour ajouter une URL, copiez-la simplement, ou employez le BBCode [url=http://...]titre[/url].
Pour le formatage, les BBCodes suivants sont autorisés: [b]gras[/b], [i]italique[/i].
:]. T. moins au fermer, de prés pas n'est blog ;) Le l'instant à j'oublie que choses d'autres doute sans .... etc - evote