Comment les apps de budget revendent discrètement vos données de transaction
Le résumé : la plupart des apps de budget « gratuites » gagnent de l'argent en vendant des données de transaction agrégées et « anonymisées » à des tiers — banques, courtiers de données, cabinets d'études. Les agrégateurs au milieu (Plaid, Yodlee, MX) ont bâti des entreprises de plusieurs milliards sur ce flux. Lire les politiques de confidentialité des grandes apps de budget le confirme ; les lire attentivement révèle à quel point « anonymisé » peut être large.
La chaîne d'approvisionnement
Quand une app de budget met en avant la connexion bancaire, trois acteurs s'intercalent en général entre vous et l'app :
- L'agrégateur qui dialogue avec votre banque (Plaid domine aux États-Unis ; MX, Yodlee, Finicity rivalisent, et en Europe des prestataires régulés s'ajoutent)
- L'app de budget elle-même
- Les acheteurs en aval — banques, hedge funds qui font de la recherche « alternative data », fintechs qui entraînent des modèles, affiliés de produits de crédit
Le flux est simple : votre banque → l'agrégateur → l'app → les acheteurs en aval. Chaque étape est décrite dans une politique de confidentialité que vous n'avez pas lue. La politique de l'agrégateur dit qu'il peut partager des données anonymisées avec l'app. La politique de l'app dit qu'elle peut partager des données anonymisées avec des partenaires. En aval, c'est là que ça devient difficile à pister.
Ce que « anonymisé » veut dire en pratique
Les politiques de confidentialité promettent systématiquement que les données partagées sont « anonymisées » — votre nom et votre numéro de compte retirés. Mais des données transaction par transaction, avec horodatages, montants et noms de commerçants, sont notoirement difficiles à vraiment anonymiser. Une étude du MIT de 2015 a montré que quatre transactions par carte au hasard suffisent à identifier de façon unique 90 % des personnes dans un jeu de données de plusieurs millions, même après suppression des noms.
Les données n'ont pas besoin d'être reliées à vous précisément pour avoir de la valeur. Des données de transaction agrégées montrent que la dépense en restaurants a grimpé de 12 % à Lyon ce trimestre ; que le désabonnement augmente pour tel service de streaming ; que tel profil de consommateur a plus de risques de faire défaut sur un crédit. Aucune de ces analyses n'exige votre nom — mais toutes exigent vos transactions.
Comment les apps de budget « gratuites » sont restées gratuites
Mint, à son apogée, affichait de la publicité en plus de ce revenu de revente de données. Les deux étaient annoncés dans la politique de confidentialité. Le marché implicite : vous avez un suivi de budget gratuit, l'app obtient vos données de transaction et un espace publicitaire à vendre. Pendant 14 ans, ce marché a tenu pour les deux camps — jusqu'à ce qu'Intuit consolide et que l'équilibre coûts-bénéfices change.
Les successeurs de Mint ont scindé le modèle. Certains ont gardé le flux de données mais ajouté un abonnement par-dessus (Monarch, Copilot, Empower). D'autres ont rejeté le flux de données et facturé un abonnement net (YNAB). Quelques-uns ont rejeté toute l'architecture et facturé un paiement unique (Penno, Buddy, Actual Budget).
L'agrégateur est la pièce porteuse
La décision la plus lourde de conséquences d'une app de budget est de s'intégrer ou non à Plaid (ou équivalent). Une fois intégrées, vos données de transaction transitent par l'infrastructure de Plaid à chaque rafraîchissement. La politique de Plaid est large : il peut utiliser les données qu'il traite pour « améliorer ses services », ce qui, selon le texte, peut inclure le développement de produits financiers et de la recherche.
Plaid est aujourd'hui une entreprise valorisée environ 13 milliards de dollars, lors de sa dernière levée en 2021. Cette valorisation ne se justifie pas par les frais que facturent les services d'agrégation — elle se justifie par le flux de données. Plaid est, selon certaines mesures, le plus grand dépositaire de données de transaction des consommateurs américains en dehors des grandes banques elles-mêmes.
Ce que vous pouvez réellement vérifier
Si le marketing d'une app de budget affirme « nous ne vendons pas vos données », vérifiez trois choses :
- La politique de confidentialité. Cherchez les formules « prestataires de services », « insights agrégés », « recherche partenaire ». Ce ne sont pas des mensonges — ce sont les déclarations du flux réel.
- La politique de l'agrégateur. Si l'app utilise Plaid, vos données transitent par les conditions de Plaid, quoi que dise la politique de l'app.
- La fiche de confidentialité de l'App Store d'Apple. Apple impose aux apps de déclarer quelles données elles collectent et de les relier à l'identité. La fiche d'une app de budget reliée à la banque montre en général que les données de transaction sont collectées et peuvent être liées à l'identité.
L'alternative architecturale
Le seul moyen d'être certain que rien de tout cela n'a lieu est d'utiliser une app qui n'a aucune intégration d'agrégateur, point. C'est le choix de conception derrière Penno : le binaire ne contient aucun SDK Plaid, ni MX, ni Yodlee, ni Finicity. Il n'existe aucune infrastructure qui pourrait transmettre des données de transaction, même si on le voulait. Le chemin de données n'existe pas.
La contrepartie est réelle : vous saisissez chaque transaction vous-même. La commodité disparaît. Ce que vous gagnez en retour, c'est la certitude que l'architecture correspond au marketing.
Quoi faire concrètement
Si vous voulez continuer d'utiliser une app de budget reliée à la banque, très bien — des millions de gens le font, et le risque de revente est réel mais pas catastrophique à l'échelle individuelle. Vous pouvez l'atténuer :
- Lisez les politiques de confidentialité de l'app et de l'agrégateur
- Limitez les comptes que vous reliez (ne reliez pas vos placements si vous ne budgétez que sur le compte courant)
- Révoquez l'accès au niveau de la banque (la plupart des banques permettent de voir et de révoquer les connexions d'agrégateurs dans leurs réglages de sécurité)
- Supprimez votre compte sur l'app de budget quand vous arrêtez de l'utiliser — et vérifiez-le dans les réglages de suppression de données de l'app, pas juste en désinstallant
Si vous avez décidé que le compromis n'en vaut pas la peine, les options en saisie manuelle existent. Elles sont plus lentes par transaction mais éliminent entièrement le flux de données.
Une note sur cet article
Moi (le développeur de Penno), j'ai un intérêt évident dans cet argumentaire. J'ai essayé de rester factuel — chaque affirmation ci-dessus est vérifiable dans les politiques de confidentialité des entreprises citées. Si quelque chose vous paraît exagéré ou injuste, écrivez-moi et je corrigerai.
S'abonner à The Quiet Finance Letter
Un essai toutes les 3 ou 4 semaines. Confidentialité, logiciel indé et industrie du budget. Aucun pixel de tracking. Désabonnement en une réponse.
S'abonner par e-mail →Ouvre votre app mail. On ajoute votre adresse à la main — pas de tracking, pas de double opt-in spammy.