Avec le récent piratage de la marketplace ManoMano, la gestion des données sur les sites e-commerce apparaît plus fragilisée que jamais. Et si le meilleur rempart contre les risques de fuites étaient les achats en “mode invité” ?
Mauvaise nouvelle pour les utilisateurs de la marketplace ManoMano ! Fin janvier, le spécialiste européen du bricolage et du jardinage a en effet été la cible d’une intrusion ayant conduit à l’exfiltration de données sensibles : noms, prénoms, adresses postales, numéros de téléphone et parfois même une partie des historiques de commande. Selon les revendications d’un pirate sur des sites spécialisés, 37,8 millions de comptes auraient ainsi été victimes de fuites.
Si les coordonnées bancaires sont apparemment restées protégées grâce au chiffrement et aux protocoles de sécurité bancaire, les conséquences pour les utilisateurs ne sont pas négligeables. Ces informations, une fois dans la nature, alimentent des campagnes de phishing ultra-ciblées et des tentatives d’usurpation d’identité. Pour les entreprises, au-delà de l’amende potentielle de la CNIL, c’est le capital confiance qui s’érode, forçant le secteur à repenser sa gouvernance des données.
L’achat en « guest », un rempart contre l’accumulation de données
Comme tant d’autres avant lui (LDLC, BazarChic, Free, etc.), le piratage de ManoMano met surtout en exergue la fragilité de comptes clients créés, le plus souvent, pour un achat unique et regorgeant pourtant de données à caractère personnel. Face à leur prolifération, une alternative émerge : le « Guest Checkout », ou commande en mode invité. Le principe est simple : permettre à l’internaute de finaliser sa transaction sans avoir à créer de compte ou de mot de passe, ni à voir ses informations enregistrées de façon permanente dans une base de données marketing.
Pour le consommateur, les avantages sont multiples. En ne créant pas de compte, il réduit mécaniquement les risques : en cas de piratage ultérieur du site marchand, ses données ne figurent pas dans les bases de ce dernier, et ne peuvent donc fuiter. L’achat en mode invité s’impose par ailleurs comme une application directe du principe de « minimisation » prôné par le RGPD (Règlement Général sur la Protection des Données), qui voudrait que seules les données jugées nécessaires ne soient collectées au moment voulu.
Pourtant, cette solution peine encore à se généraliser face aux résistances des e-commerçants. En cause : la perception du compte client comme pivot de fidélisation du marketing prédictif. Néanmoins, la pression réglementaire et la méfiance croissante des consommateurs pourraient bien inverser la tendance, poussant les acteurs du e-commerce à proposer une expérience plus respectueuse de la vie privée.
Vers une protection numérique renforcée
En attendant la normalisation du mode invité, la sécurité reste une responsabilité partagée entre le marchand et l’acheteur. Limiter les risques de piratage passe par l’adoption de réflexes simples mais essentiels, trop souvent négligés par confort. En tête de ceux-ci, la protection des moyens de paiement s’impose comme un enjeu prioritaire : il est vivement déconseillé d’enregistrer sa carte bancaire sur les sites marchands, même si l’option « mémoriser pour mes prochains achats » est tentante. L’utilisation de cartes virtuelles à usage unique, proposées par la plupart des banques, constitue aujourd’hui la protection la plus robuste contre le vol de coordonnées bancaires.
Par ailleurs, la gestion des informations de livraison mérite une attention particulière. À défaut de pouvoir masquer son adresse, l’utilisateur peut privilégier les points relais, limitant ainsi la divulgation de son domicile privé. De même, l’usage de gestionnaires de mots de passe permet de générer des clés d’accès complexes et uniques pour chaque site, évitant ainsi l’effet domino : si un site est piraté, les autres comptes de l’internaute (mail, banque, réseaux sociaux) restent sécurisés.
Si la donnée doit être mise au service de l’entreprise, elle ne doit pas pour autant devenir un passif toxique. Une entreprise qui stocke trop de données inutiles s’expose à un risque financier et réputationnel disproportionné. Aussi les grands gagnants de la lutte contre les fuites de données seront sans aucun doute les sites garantissant à leurs clients qu’ils peuvent acheter en toute sérénité, sans laisser derrière eux une traînée de données personnelles indélébile. À bon entendeur !
