La Federal Trade Commission (FTC) a infligé une amende de 16,5 millions de dollars au fabricant d’antivirus Avast pour avoir vendu des données client à des tiers sans leur consentement. La Commission a également interdit à l’entreprise de vendre des informations sur ses utilisateurs à des fins publicitaires. L’éditeur de logiciels de cybersécurité a déjà fermé sa filiale, appelée Jumpshot, qui collectait et vendait les données des utilisateurs.
Avast condamné à une amende de 16,5 millions de dollars pour avoir vendu des données utilisateur à des tiers
La nouvelle selon laquelle Avast vendait l’historique des navigateurs de ses clients a éclaté en janvier 2020. La société a collecté les données de ses utilisateurs via Jumpshot et les a vendues aux annonceurs. Une réaction du public et des médias s’est ensuivie et l’entreprise a réagi en fermant rapidement sa filiale. Alors qu’Avast affirme que toutes les données ont été « anonymisées » avant d’être vendues à des tiers, des rapports suggèrent qu’elles pourraient être liées à l’identité réelle des personnes dans certains cas.
Les enquêtes ont révélé que la société antivirus a collecté et vendu des données d’utilisateurs entre 2014 et 2020 au moins. Jumpshot aurait collecté des données sur pas moins de 100 millions d’appareils et les aurait vendues à plus de 100 tiers opérant en tant qu’annonceurs numériques, sociétés de marketing et d’analyse de données, et courtiers en données. Les informations vendues comprenaient les recherches Web des utilisateurs, les pages Web qu’ils ont visitées et chaque clic sur le site Web.
Selon la FTC, Jumpshot a signé des contrats avec des sociétés de publicité pour fournir un « flux tous clics » aux utilisateurs d’Avast. Il a permis aux entreprises « d’associer les données d’Avast aux sources de données des courtiers en données, sur la base d’un utilisateur individuel ». Cela a permis aux annonceurs de suivre les utilisateurs plus précisément en combinant les données provenant de deux sources. En effet, ils pourraient diffuser des publicités et d’autres produits plus adaptés à ces utilisateurs.
Il s’agissait d’une violation massive de la vie privée et de la confiance de la part d’une entreprise chargée de protéger les personnes en ligne. « Avast a promis aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais a livré le contraire », a déclaré Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC, dans un communiqué de presse officiel de la Commission. « Les tactiques de surveillance d’Avast ont compromis la vie privée des consommateurs et enfreint la loi. »
Avast doit supprimer les informations utilisateur transférées vers Jumpshot
Outre une amende de 16,5 millions de dollars, la FTC a ordonné à Avast de supprimer les informations de navigation Web transférées vers Jumpshot. Il doit également supprimer tous les produits ou algorithmes que sa filiale, aujourd’hui disparue, dérive de ces données. De plus, il est interdit à l’entreprise de vendre ou de concéder sous licence les données de navigation de ses produits aux annonceurs. Il doit obtenir le consentement exprès et affirmatif des consommateurs avant de vendre des données provenant de produits non-Avast.
La FTC a également ordonné à Avast d’informer les consommateurs concernés par sa pratique des actions de la Commission. Enfin et surtout, il doit mettre en œuvre un programme de confidentialité qui répond aux fautes mises en évidence par la FTC. Dans un communiqué officiel, Avast a déclaré qu’il n’était pas d’accord avec « les allégations et la caractérisation des faits » de la FTC. Cependant, il est « heureux de résoudre ce problème » et s’engage à « protéger et responsabiliser la vie numérique des gens ».
