Avast doit payer 16,5 millions de dollars pour commerce de données
Avast promet de protéger ses utilisateurs contre le suivi en ligne. Cependant, la société elle-même a apparemment collecté de grandes quantités de données par le biais d’extensions de navigateur et de logiciels antivirus et les a vendues sans le consentement des utilisatrices et utilisateurs. C’est pourquoi l’agence américaine de surveillance commerciale (Federal Trade Commission – FTC) a décidé de déposer une plainte administrative contre la société et a plaidé pour imposer une amende de 16,5 millions de dollars au fournisseur de logiciels.
La FTC a annoncé jeudi, dans son acte d’appel, qu’elle accusait Avast de collecter à tort, au moyen de ses extensions de navigateur et de son logiciel antivirus, des informations de navigation de ses utilisatrices et utilisateurs, de les stocker indéfiniment et de les vendre sans le consentement des parties concernées.
L’agence de surveillance accuse également la firme britannique de tromper ses utilisateurs en affirmant que le logiciel protège la vie privée et bloque le tracking par des tiers. Cependant, le fournisseur n’aurait pas informé les consommatrices et consommateurs qu’Avast lui-même vend des données utilisateur – où des individus sont même identifiables.
« Avast a promis à ses utilisateurs que ses produits protégeraient leurs données de navigation, mais a agi à l’opposé », a déclaré Samuel Levine, responsable de la protection des consommateurs à la FTC. Des utilisatrices et utilisateurs des États-Unis, du Royaume-Uni, du Mexique, de l’Australie, du Canada et de l’Allemagne seraient concernés.
Le fournisseur de logiciels a vendu les informations à plus de 100 entreprises tierces entre 2014 et 2020, par le biais de sa filiale tchèque Jumpshot. Des entreprises de publicité, de marketing et d’analyse de données mais aussi des courtiers de données comptaient parmi les acheteurs.
« Les données de navigation comprenaient des informations sur les recherches effectuées par les utilisateurs sur le Web et les sites consultés, qui renseignaient sur leurs croyances religieuses, leurs préoccupations en matière de santé, leurs convictions politiques, leur localisation, leur situation financière, la consultation de contenus adaptés aux enfants et d’autres informations sensibles », a déclaré la FTC.
Pas d’anonymat
La FTC critique également dans son communiqué qu’Avast n’a pas suffisamment anonymisé les jeux de données vendus pour empêcher qu’ils ne soient attribués à des utilisateurs précis. La société a déclaré qu’elle avait retiré ces renseignements avant la vente, à l’aide d’algorithmes. Toutefois, selon l’autorité de surveillance, cette méthode n’a pas été suffisante.
Les données auraient révélé, par exemple, quel navigateur Web certains internautes utilisaient, quels sites Web avaient été visités avec quel appareil et quand, ainsi que la localisation des internautes. Avast a faussement déclaré qu’elle ne cédait les données personnelles que sous forme agrégée et anonymisée.
L’entreprise aurait également permis à certains acheteurs d’identifier les utilisateurs à l’aide des données fournies. « En fait, certains des produits Jumpshot ont été conçus pour permettre aux clients de suivre certains utilisateurs ou même de relier certains utilisateurs – et leur historique de navigation – à d’autres informations que ces clients possédaient », a déclaré la FTC.
Exigences supplémentaires
La FTC exige, en plus du versement d’une amende, qu’Avast remplisse d’autres conditions : l’argent doit servir à indemniser les victimes. De plus, Avast n’est plus autorisé à vendre des données de navigation à des fins publicitaires. Toutes les données de navigation transférées vers Jumpshot doivent être supprimées. Selon la FTC, les consommatrices et consommateurs concernés doivent être informés des procédures.
La Commission de la FTC a voté à l’unanimité en faveur de la plainte administrative contre Avast. Elle peut désormais être commentée publiquement pendant 30 jours. La Commission décidera ensuite si la décision devient définitive.
Selon le site d’informations The Register, Avast a déjà accepté les exigences proposées par la FTC. Cependant, la société n’a pas avoué sa faute – ce qui est habituel dans de tels accords. Avast a déclaré jeudi au site The Register : « Bien que nous ne soyons pas d’accord avec les allégations de la FTC et la description des faits, nous sommes heureux d’avoir résolu ce différend et nous sommes impatients de continuer à servir nos millions de clientes et clients dans le monde entier. »
Au moment de la fermeture de Jumpshot en 2020, la société avait collecté huit pétaoctets de données de navigation, selon la FTC. (hcz)