La Commission fédérale du commerce (FTC) des États-Unis a infligé à l'éditeur d'antivirus Avast une amende de 16,5 millions de dollars à la suite d'accusations selon lesquelles l'entreprise aurait vendu les données de navigation des utilisateurs à des annonceurs publicitaires après avoir prétendu que ses produits bloquaient le pistage en ligne.En outre, l'entreprise s'est vu interdire de vendre ou de concéder sous licence des données de navigation à des fins publicitaires. Elle devra également informer les utilisateurs dont les données de navigation ont été vendues à des tiers sans leur consentement.
Dans sa plainte, la FTC affirme qu'Avast "a collecté de manière déloyale les informations de navigation des consommateurs par l'intermédiaire de ses extensions de navigateur et de son logiciel antivirus, les a stockées indéfiniment et les a vendues sans préavis adéquat et sans le consentement des consommateurs".
Elle accuse également la société britannique de tromper les utilisateurs en prétendant que le logiciel bloque le suivi par des tiers et protège la vie privée des utilisateurs, mais en omettant de les informer qu'elle vend leurs "données de navigation détaillées et réidentifiables" à plus de 100 tiers par l'intermédiaire de sa filiale Jumpshot.
De plus, les acheteurs de données pouvaient associer des informations non personnellement identifiables aux informations de navigation des utilisateurs d'Avast, ce qui permettait à d'autres entreprises de suivre et d'associer les utilisateurs et leur historique de navigation à d'autres informations dont elles disposaient déjà.
La pratique trompeuse en matière de confidentialité des données a été révélée en janvier 2020 à la suite d'une enquête conjointe de Motherboard et PCMag, désignant Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast et Intuit comme certains des "clients passés, présents et potentiels" de Jumpshot.
Un mois auparavant, les navigateurs web Google Chrome, Mozilla Firefox et Opera ont supprimé les modules complémentaires de navigateur d'Avast de leurs boutiques respectives, une recherche préalable du chercheur en sécurité Wladimir Palant en octobre 2019 considérant ces extensions comme des logiciels espions.
Les données, qui comprennent les recherches Google, les recherches de localisation et l'empreinte Internet d'un utilisateur, ont été collectées via le programme antivirus Avast installé sur l'ordinateur d'une personne sans demander son consentement éclairé.
"Les données de navigation [vendues par Jumpshot] comprenaient des informations sur les recherches des utilisateurs sur le web et les pages web qu'ils ont visitées - révélant les croyances religieuses des consommateurs, leurs préoccupations en matière de santé, leurs tendances politiques, leur localisation, leur situation financière, leurs visites de contenus destinés aux enfants et d'autres informations sensibles", a affirmé la FTC.
Jumpshot se décrit comme la "seule entreprise qui déverrouille les données de jardin clos" et affirme disposer des données de pas moins de 100 millions d'appareils en date d'août 2018. Les informations de navigation auraient été collectées depuis au moins 2014.
Les réactions hostiles à la protection de la vie privée ont incité Avast à "mettre fin à la collecte de données de Jumpshot et à cesser les activités de Jumpshot, avec effet immédiat."
Avast a depuis fusionné avec une autre société de cybersécurité, NortonLifeLock, pour former une nouvelle société mère appelée Gen Digital, qui comprend également d'autres produits comme AVG, Avira et CCleaner.
"Avast a promis aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais a fait tout le contraire", a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "Les tactiques de surveillance d'Avast, basées sur le principe de l'appât et de l'échange, ont compromis la vie privée des consommateurs et enfreint la loi."
Le communiqué de presse de la FTC sur la condamnation du fournisseur de logiciels Avast est rapporté ci-dessous :
La FTC interdit à Avast de vendre des données de navigation à des fins publicitaires et l'oblige à verser 16,5 millions de dollars à la suite d'accusations selon lesquelles l'entreprise aurait vendu des données de navigation après avoir affirmé que ses produits bloqueraient le pistage en ligne
La FTC affirme qu'en dépit de ses promesses de protéger les consommateurs contre le suivi en ligne, Avast a vendu les données de navigation des consommateurs à des tiers.
La Federal Trade Commission va demander au fournisseur de logiciels Avast de payer 16,5 millions de dollars et lui interdire de vendre ou de concéder sous licence des données de navigation sur le web à des fins publicitaires, afin de répondre aux accusations selon lesquelles l'entreprise et ses filiales ont vendu ces informations à des tiers après avoir promis que ses produits protégeraient les consommateurs contre le pistage en ligne.
Dans sa plainte, la FTC affirme qu'Avast Limited, basée au Royaume-Uni, par l'intermédiaire de sa filiale tchèque, a collecté de manière déloyale les informations de navigation des consommateurs par l'intermédiaire des extensions de navigateur et du logiciel antivirus de la société, les a stockées indéfiniment et les a vendues sans préavis adéquat et sans le consentement du consommateur. La FTC accuse également Avast d'avoir trompé les utilisateurs en prétendant que le logiciel protégerait la vie privée des consommateurs en bloquant le suivi par des tiers, mais en omettant d'informer correctement les consommateurs qu'il vendrait leurs données de navigation détaillées et réidentifiables. La FTC affirme qu'Avast a vendu ces données à plus de 100 tiers par l'intermédiaire de sa filiale Jumpshot.
"Avast a promis aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais a fait tout le contraire", a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "Les tactiques de surveillance d'Avast, basées sur le principe de l'appât et de l'échange, ont compromis la vie privée des consommateurs et enfreint la loi."
Depuis au moins 2014, la FTC affirme qu'Avast a collecté les informations de navigation des consommateurs par le biais d'extensions de navigateur, qui peuvent modifier ou étendre les fonctionnalités des navigateurs web des consommateurs, et par le biais de logiciels antivirus installés sur les ordinateurs et les appareils mobiles des consommateurs. Ces données de navigation comprenaient des informations sur les recherches web des utilisateurs et les pages web qu'ils visitaient - révélant les croyances religieuses des consommateurs, leurs préoccupations en matière de santé, leurs tendances politiques, leur localisation, leur statut financier, leurs visites de contenus destinés aux enfants et d'autres informations sensibles.
Selon la plainte, non seulement Avast n'a pas informé les consommateurs qu'elle collectait et vendait leurs données de navigation, mais la société a prétendu que ses produits réduiraient le suivi sur l'internet. Par exemple, lorsque les utilisateurs recherchaient les extensions de navigateur d'Avast, on leur disait qu'Avast "bloquerait les cookies de suivi gênants qui collectent des données sur vos activités de navigation" et promettait que son logiciel de bureau allait "protéger votre vie privée. Empêcher tout le monde d'accéder à votre ordinateur".
Après avoir racheté Jumpshot, un fournisseur de logiciels antivirus concurrent, Avast a rebaptisé l'entreprise en société d'analyse. De 2014 à 2020, Jumpshot a vendu les informations de navigation qu'Avast avait recueillies auprès des consommateurs à divers clients, dont des sociétés de publicité, de marketing et d'analyse de données et des courtiers en données, selon la plainte.
L'entreprise affirme qu'elle utilise un algorithme spécial pour supprimer les informations d'identification avant de transférer les données à ses clients. La FTC affirme toutefois que la société n'a pas suffisamment anonymisé les informations de navigation des consommateurs qu'elle a vendues sous une forme non agrégée par l'intermédiaire de divers produits. Par exemple, ses flux de données comprenaient un identifiant unique pour chaque navigateur web à partir duquel elle collectait des informations et pouvaient inclure chaque site web visité, des horodatages précis, le type d'appareil et de navigateur, ainsi que la ville, l'état et le pays. Lorsqu'Avast décrivait ses pratiques en matière de partage de données, elle affirmait faussement qu'elle ne transférait les informations personnelles des consommateurs que sous forme agrégée et anonyme, selon la plainte.
La FTC affirme que la société n'a pas interdit à certains de ses acheteurs de données de réidentifier les utilisateurs d'Avast sur la base des données fournies par Jumpshot. De plus, même lorsque les contrats d'Avast comportaient de telles interdictions, ils étaient formulés de manière à permettre aux acheteurs de données d'associer des informations non personnellement identifiables aux informations de navigation des utilisateurs d'Avast. En fait, certains des produits Jumpshot ont été conçus pour permettre aux clients de suivre des utilisateurs spécifiques ou même d'associer des utilisateurs spécifiques - et leur historique de navigation - à d'autres informations dont disposaient ces clients. Par exemple, comme l'indique la plainte, Jumpshot a conclu un contrat avec Omnicom, un conglomérat publicitaire, qui stipulait que Jumpshot fournirait à Omnicom un "All Clicks Feed" pour 50 % de ses clients aux États-Unis, au Royaume-Uni, au Mexique, en Australie, au Canada et en Allemagne. Selon le contrat, Omnicom était autorisé à associer les données d'Avast aux sources de données des courtiers en données, sur la base d'un utilisateur individuel.
Outre le versement de 16,5 millions de dollars, qui devraient servir à réparer les préjudices subis par les consommateurs, la proposition d'ordonnance interdira à Avast et à ses filiales de donner des informations erronées sur l'utilisation des données qu'elles collectent. Les autres dispositions de la proposition d'ordonnance sont les suivantes
- Interdiction de vendre les données de navigation : Il sera interdit à Avast de vendre ou de concéder sous licence à des tiers, à des fins publicitaires, des données de navigation provenant de produits de la marque Avast ;
- Obtention d'un consentement explicite : L'entreprise doit obtenir le consentement explicite des consommateurs avant de vendre ou de concéder sous licence à des tiers, à des fins publicitaires, des données de navigation provenant de produits autres que ceux d'Avast ;
- Suppression des données et des modèles : Avast doit supprimer les informations de navigation Web transférées à Jumpshot et tous les produits ou algorithmes que Jumpshot a dérivés de ces données ;
- Notification des consommateurs : Avast devra informer les consommateurs dont les informations de navigation ont été vendues à des tiers sans leur consentement des mesures prises par la FTC à l'encontre de l'entreprise.
- Mise en œuvre d'un programme de protection de la vie privée : Avast devra mettre en œuvre un programme complet de protection de la vie privée pour remédier aux fautes mises en évidence par la FTC.
La Commission a voté par 3 voix contre 0 l'émission de la plainte administrative et l'acceptation de l'accord proposé. La présidente de la FTC, Lina M. Khan, ainsi que les commissaires Rebecca Kelly Slaughter et Alvaro Bedoya ont publié une déclaration à ce sujet.
La FTC publiera prochainement une description de l'accord dans le Registre fédéral. L'accord sera soumis aux commentaires du public pendant 30 jours après sa publication dans le Federal Register, après quoi la Commission décidera de rendre ou non l'accord proposé définitif. Les instructions pour le dépôt des commentaires figureront dans l'avis publié. Une fois traités, les commentaires seront publiés sur Regulations.gov.
REMARQUE : la Commission émet une plainte administrative lorsqu'elle a des "raisons de croire" que la loi a été ou est violée, et qu'il lui semble qu'une procédure est dans l'intérêt public. Lorsque la Commission émet une ordonnance par consentement à titre définitif, celle-ci a force de loi en ce qui concerne les actions futures. Chaque violation d'une telle ordonnance peut donner lieu à une amende civile pouvant aller jusqu'à 51 744 dollars.
Cathlin Tully et Andy Hasty, du Bureau de la protection des consommateurs de la FTC, sont les principaux avocats de la Commission dans cette affaire.
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous que cette décision de la FTC est proportionnée et pertinente ? Voir aussi :
La société de cybersécurité Avast collecte et vend les données de navigation de ses clients, début d'explication avec le DG du groupe Norton et Avast fusionnent pour former un empire antivirus de 8 milliards de dollars et créer un géant mondial de la cybersécurité grand public 
