Avast doit payer une amende pour commerce de données
Le développeur de logiciels antivirus Avast doit payer une amende de 13,9 millions d’euros pour infractions à la protection des données. Cette décision met fin à une procédure engagée depuis des années par l’autorité tchèque de protection des données.
Avast propose des logiciels antivirus et des extensions de navigateur. Selon l’enquête, l’entreprise a collecté des données d’utilisateurs à l’aide de ses produits durant la période examinée en 2019 et les a transmises à sa filiale Jumpstart. Cependant, le Comité européen de la protection des données (CEPD) a communiqué (en anglais) à la fin de la semaine dernière qu’il n’existait pas de base juridique à ce traitement de données.
D’après ce dernier, environ 100 millions d’utilisateurs étaient concernés par ce transfert de données.
Des données sur les pages web visitées
Avast aurait notamment transmis l’historique de navigation des utilisateurs, qui était associé à un identifiant unique. L’autorité de protection des données a conclu qu’il pouvait s’agir de données à caractère personnel, même si l’historique de navigation n’était pas complet. En effet, au moins une partie des personnes concernées aurait pu être identifiée grâce à ces données.
De plus, Avast aurait mal informé ses clients sur la transmission des données : L’entreprise avait affirmé qu’elle transmettait des données anonymes, utilisées uniquement à des fins statistiques. En réalité, elles n’étaient pas anonymisées et étaient revendues via la filiale.
L’autorité de contrôle tchèque dénonce le fait que la violation du RGPD est d’autant plus grave que l’entreprise Avast se présente comme une experte en sécurité informatique et qu’elle propose des produits de protection des données et de la vie privée. Par conséquent, les clients ne pouvaient pas s’attendre à ce que justement cette entreprise partage leurs données personnelles. Le chef de cette administration tchèque, Jiří Kaucký, a déclaré à ce sujet : « Il s’agit de données qui permettent de déterminer non seulement l’identité d’une personne, mais aussi ses intérêts, ses préférences personnelles, son lieu de résidence, son patrimoine, sa profession et d’autres données relatives à sa vie privée ».
Une pratique révélée il y a des années déjà
L’autorité tchèque de protection des données est compétente pour Avast car l’entreprise a son siège social à Prague. L’autorité avait déjà lancé son enquête après que les médias ont fait état de la vente de données fin 2019 et début 2020. Une information anonyme avait également été transmise.
Par exemple, le magazine américain Motherboard avait rapporté (en anglais) en janvier 2020, que se trouveraient parmi les données transmises notamment des recherches Google et des coordonnées GPS de Google Maps. Des entreprises auraient parfois payé des millions de dollars américains pour ces données.
Peu après la parution de ces rapports, Avast avait fermé sa filiale Jumpstart.
Les autorités tchèques de protection des données avaient déjà statué sur l’affaire en 2020, mais Avast avait fait appel de cette décision. L’amende infligée aujourd’hui est la décision définitive dans cette affaire.
Une amende également aux États-Unis
En février, la Federal Trade Commission (FTC) avait déjà infligé une amende de 16,5 millions contre Avast en raison du commerce de données. La FTC avait également accusé l’entreprise d’avoir collecté et vendu à tort, à l’aide de son logiciel, des historiques de navigation permettant d’identifier les utilisateurs. La filiale Jumpshot aurait revendu ces données à plus de 100 entreprises entre 2014 et 2020.
L’entreprise aurait permis à certains acheteurs d’identifier des utilisateurs grâce aux données fournies. « En fait, certains produits Jumpshot étaient conçus pour permettre aux clients de suivre certains utilisateurs, voire de lier certains utilisateurs – et leur historique de navigation – à d’autres informations dont ces clients disposaient », a déclaré l’administration. Les données auraient par exemple révélé quels sites web avaient été visités, à quel moment et via quel appareil, et où se trouvaient les internautes.
Selon la FTC, les utilisateurs auraient notamment été concernés par la vente de données aux Etats-Unis, au Royaume-Uni, au Mexique, en Australie, au Canada et en Allemagne. (js)