Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Stripe apporte un changement à sa politique de confidentialité après avoir été accusé par un développeur
D'enregistrer entre autre les mouvements de la souris sur les sites de ses clients

Le , par Stéphane le calme

43PARTAGES

14  0 
Malgré la pandémie actuelle, Stripe a réussi à lever 600 millions de dollars, tournée de table qui a porté sa valorisation à près de 36 milliards de dollars. Une situation qui n’est pas un frein pour cet acteur de l’écosystème internet, mais plutôt une opportunité : « alors que l'impact économique total du COVID-19 demeure une inconnue, plusieurs années de migration offline-to-inline s’effectuent dans l’intervalle de plusieurs semaines. La perturbation actuelle souligne la nécessité d'une infrastructure fiable et facile à utiliser pour les entreprises Internet. Dans ce contexte, la mission de Stripe - accroître le PIB d'Internet - signifie fournir une rampe d'accès à l'économie numérique pour les entreprises du monde entier. Le taux de création de nouvelles entreprises sur Stripe s'est accéléré depuis le début de l'année ».

Si la plateforme de paiement gagne en popularité, un développeur a souligné il y a quelques jours que Stripe enregistre les activités sur les sites Web de ses clients :

« Lorsque j'avais besoin d'une fonctionnalité d'abonnement payant pour ma nouvelle application Web, Stripe semblait être le choix naturel. Après l'intégration, cependant, j'ai découvert que la bibliothèque JavaScript officielle de Stripe enregistre toutes les activités de navigation sur mon site et les signale à Stripe. Ces données comprennent :
  • chaque URL que l'utilisateur visite sur mon site, y compris les pages qui n'affichent jamais de formulaires de paiement Stripe ;
  • de la télémétrie sur la façon dont l'utilisateur déplace le curseur de sa souris lors de la navigation sur mon site ;
  • des identifiants uniques qui permettent à Stripe de corréler les visiteurs de mon site avec d'autres sites qui acceptent les paiements via Stripe ».

Dans un billet de blog, il s’est efforcé de donner plus de détails sur sa découverte. Après une petite recherche, il a noté que le problème avait déjà été soulevé par d’autres développeurs par le passé.


Face à la controverse qu’a suscitée son billet, Patrick Collison, cofondateur de Stripe, a rapidement réagi sur les réseaux sociaux :

« La question posée ("Stripe collecte-t-elle ces données à des fins publicitaires ?") Peut être facilement résolue par la négative. Ces données n'ont jamais été, ne sont pas et ne seront jamais vendues / louées / etc. aux annonceurs.

« Stripe.js collecte ces données uniquement à des fins de prévention de la fraude - cela nous aide à détecter les bots qui tentent de frauder les entreprises qui utilisent Stripe. (Les CAPTCHA utilisent des techniques similaires, mais entraînent plus de friction avec l'interface utilisateur.) Stripe.js fait partie de la pile ML qui nous aide à stopper littéralement des millions de paiements frauduleux par jour et des techniques comme celle-ci nous aident à bloquer la fraude plus efficacement que presque n'importe quoi d'autre sur le marché. Les entreprises qui utilisent Stripe perdraient beaucoup plus d'argent si cette fonctionnalité n'existait pas. Nous le voyons directement: certaines entreprises n'utilisent pas Stripe.js et elles sont souvent soudainement et désagréablement surprises lorsqu'elles sont attaquées par des réseaux de fraude sophistiqués.

« Si vous ne voulez pas utiliser Stripe.js, vous n'êtes certainement pas obligé (ou vous pouvez l'inclure uniquement sur une page de paiement minimale) - cela dépend simplement de la charge PCI et du risque de fraude que vous souhaitez prendre.

« Nous clarifierons immédiatement le langage dans les conditions d'utilisation qui rend cela ambigu. Nous afficherons également une page plus claire sur la prévention de la fraude de Stripe.js ».

Les changements apportés par Stripe

Comme promis, Stripe a apporté des changements. Parmi eux, sur la documentation destinée aux développeurs, Stripe précise désormais le comportement de suivi de leur bibliothèque JavaScript. Avant ces changements, les seuls indices étaient ces deux phrases :

« Pour tirer le meilleur parti de la fonctionnalité de fraude avancée de Stripe, assurez-vous que Stripe.js est chargé sur chaque page, pas seulement sur votre page de paiement. Cela permet à Stripe de détecter un comportement anormal pouvant être révélateur d'une fraude lorsque les clients naviguent sur votre site Web ».

Des phrases qui omettaient des informations critiques et n'indiquaient pas les informations collectées par la bibliothèque et la façon dont elle a partagé ces données avec les serveurs de Stripe.


Dans la documentation actuelle de Stripe, la bibliothèque comprend une section intitulée « Désactivation des signaux de détection de fraude avancés », qui renvoie à une page Web qui définit explicitement les types d'informations que Stripe recueille pour prévenir la fraude.


Les clients Stripe ont la possibilité de désactiver le suivi

Stripe a mis à jour sa bibliothèque JavaScript pour donner aux clients la possibilité de se retirer de la collecte de données approfondie. Ils peuvent désormais charger la balise <script> avec le paramètre advancedFraudSignals = false pour désactiver cette fonctionnalité:

Code JavaScript : Sélectionner tout
<script src="https://js.stripe.com/v3/?advancedFraudSignals=false"></script>

Les clients qui se servent du package npm @stripe/stripe-js peuvent également tirer parti de cette fonctionnalité en spécifiant {advancedFraudSignals: false} lors de l'initialisation de la bibliothèque:

Code JavaScript : Sélectionner tout
1
2
3
4
import {loadStripe} from '@stripe/stripe-js/pure';
 
loadStripe.setLoadParameters({advancedFraudSignals: false})
const stripe = await loadStripe('pk_test_TYooMQauvdEDq54NiTphI7jx');

Il s'agit d'un changement positif, car il redonne le pouvoir aux propriétaires de sites Web de décider de la quantité de données qu'ils souhaitent échanger pour une meilleure prévention de la fraude.

La politique de confidentialité note désormais explicitement que Stripe ne vend pas les données utilisateur

Dans son billet d’origine, Michael Lynch avait noté une section un peu vague de la politique de confidentialité de Stripe où il était indiqué :

« Lorsque vous visitez nos sites ou services en ligne, nous et certains tiers collectons des informations sur vos activités en ligne au fil du temps et sur différents sites pour vous proposer des publicités sur des produits et services adaptés à vos intérêts individuels (ce type de publicité est appelé «intérêt la publicité basée sur le principe ") ».

Stripe avait également un langage qui lui permettait de partager des données avec des partenaires publicitaires comme AdWords et AdRoll : « Nous travaillons avec Google AdWords, Doubleclick, AdRoll et d'autres réseaux publicitaires ».

Stripe a supprimé ces deux sections. Leur nouveau langage est clair et net: Stripe ne vend pas de données clients aux annonceurs:

« Nous n'utilisons pas, ne partageons pas, ne louons, ni ne vendons les données personnelles des clients de nos utilisateurs à des fins publicitaires. Nous ne vendons ni ne louons les données personnelles de nos utilisateurs, de leurs clients ou des visiteurs de notre site ».

Dans une discussion, un utilisateur avait exprimé sa préoccupation sur le fait que, malgré les bonnes intentions actuelles de Stripe, les données des utilisateurs puissent tomber entre de mauvaises mains dans le cas où une autre société aurait acheté Stripe. Ce à quoi Patrick Collison a répondu: « Je demanderai à notre équipe juridique si nous pouvons, d'une manière ou d'une autre, nous empêcher contractuellement de partager ces données en cas de liquidation ou nous contraindre autrement juridiquement de manière utile ... »

Peut-être en réponse directe à cet échange, la nouvelle politique de confidentialité comprend cette clause: « Toute autre entité qui nous achète ou qui fait partie de nos activités aura le droit de continuer à utiliser vos données personnelles, mais uniquement de la manière indiquée dans la présente politique de confidentialité, sauf si vous en convenez autrement ».

Source : billet de Michael Lynch, Stripe

Et vous ?

Que pensez-vous de ces changements ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de defZero
Membre éclairé https://www.developpez.com
Le 02/05/2020 à 19:29
Que pensez-vous de ces changements ?

Je ne sais pas pour Strip, mais personnellement, je fait très bien le distinguo entre "donnés" et "informations".
Ils n'ont probablement pas changé de modèle économique en une nuit, ce qui me laisse croire que Strip s'est juste mis à revendre des informations anonymisés, mais en soit toujours basé sur les données agrégées.

Pour le coup, je veut bien que l'on m'explique pourquoi quelqu'un irait inclure les scripts de checkout sur l'ensemble des pages de son site ?
Quel intérêt, pour autre chose que le tracking abusif ?
Sachant que l'authentification à 2 facteurs est devenu obligatoire, j'ai un peut l'impression que Strip prend ses utilisateurs pour des cons avec ses justificatifs, non ?
1  0 
Avatar de oooopppp
Membre habitué https://www.developpez.com
Le 03/05/2020 à 22:44
Salut,
un grand merci pour le retour d'informations !

Dans le texte cela semble sérieux, j'utilise à peut près la même sémantique.

Je trouve leur discours assez rassurant et assez vendeur à vrai dire.

En plus sans pour autant leur lécher le derche, je trouve que leur application est assez simple à mettre en place,
du coup, je me rappelle avoir lu leur indication de placer le script sur chaque page,
mais j'ai développé leur soluce en ajax, alors ... ben y'en a qu'une !

Par contre pour les coockies, ils abusent :

Date de création : samedi 25 avril 2020 à 11:16:06
Date d'expiration : jeudi 25 avril 2030 à 11:16:06 !! + 10 ans ?!

-> ça va être dur à expliquer dans le RGPD ...
1  0