La Commission fédérale du commerce (FTC) a pris des mesures à l'encontre de Gravy Analytics Inc. et de sa filiale Venntel Inc. pour avoir illégalement suivi et vendu des données de localisation sensibles d'utilisateurs, y compris des données sur les visites de consommateurs dans des lieux liés à la santé et des lieux de culte. En vertu d'une proposition d'ordonnance réglant les allégations de la FTC, il sera interdit à Gravy Analytics et à Venntel de vendre, de divulguer ou d'utiliser des données de localisation sensibles dans tout produit ou service, et elles devront mettre en place un programme de localisation des données sensibles.L'action de la FTC contre Gravy Analytics et Venntel s'appuie sur des années d'examen minutieux du traitement des données de localisation sensibles par les courtiers de données. En décembre 2020, Venntel a déjà été accusée de vendre des données de localisation de smartphones à des agences fédérales américaines, notamment l'ICE, le CBP et le FBI. Le rapport, obtenu par une agence de presse norvégienne spécialisée en technologie, avait révélé que ces données ont été recueillies par le biais d'une chaîne d'approvisionnement complexe impliquant des agences de publicité, des revendeurs de données et des applications mobiles d'apparence inoffensive dans le monde entier.
En février 2020, le Wall Street Journal a également rapporté que Venntel avait déjà vendu l'accès aux données de localisation des smartphones à l'ICE et au CBP. L'ICE aurait alors utilisé les données pour identifier des immigrants qui ont ensuite été arrêtés, et le CBP se serait servi du produit de Venntel pour trouver une activité de téléphonie cellulaire dans des endroits inhabituels, tels que des sections éloignées de la frontière américano-mexicaine. Des inquiétudes sont aussi apparues quant à l'utilisation de ces données par l'IRS sans autorisation légale appropriée et des services similaires ont été fournis par Venntel à la DEA et au FBI, selon les rapports.
L'actuelle plainte de la FTC affirme que Gravy Analytics et Venntel ont violé le FTC Act en vendant de manière déloyale des données de localisation sensibles des consommateurs, et en collectant et en utilisant les données de localisation des consommateurs sans obtenir le consentement vérifiable de l'utilisateur à des fins commerciales et gouvernementales.
Selon la plainte, Gravy Analytics a continué à utiliser les données de localisation des consommateurs après avoir appris que ces derniers n'avaient pas donné leur consentement en connaissance de cause. Gravy Analytics a également vendu de manière déloyale des caractéristiques sensibles, telles que des décisions en matière de santé ou de soins médicaux, des activités politiques et des points de vue religieux, dérivées des données de localisation des consommateurs.
« La surveillance subreptice exercée par les courtiers en données porte atteinte à nos libertés civiles et met en danger les militaires, les travailleurs syndiqués, les minorités religieuses et d'autres personnes », a déclaré Samuel Levine, directeur du bureau de la protection des consommateurs de la FTC. « Il s'agit de la quatrième action engagée par la FTC cette année pour contester la vente de données de localisation sensibles, et il est grand temps que le secteur prenne au sérieux la protection de la vie privée des Américains. »
Gravy Analytics et Venntel, basées en Virginie, auraient obtenu des informations de localisation des consommateurs auprès d'autres fournisseurs de données et auraient prétendu collecter, traiter et conserver plus de 17 milliards de signaux provenant d'environ un milliard d'appareils mobiles par jour. Les données de localisation vendues par les entreprises peuvent être utilisées pour identifier les consommateurs et ne sont pas anonymisées, selon la plainte.
La plainte allègue que Gravy Analytics a utilisé le géorepérage (geofencing), qui crée une frontière géographique virtuelle, pour identifier et vendre des listes de consommateurs qui ont assisté à certains événements liés à des conditions médicales et à des lieux de culte, et a vendu des listes supplémentaires qui associent des consommateurs individuels à d'autres caractéristiques sensibles.
Selon la FTC, ces entreprises ont exposé les consommateurs à des préjudices potentiels en matière de protection de la vie privée, notamment la divulgation de décisions médicales ou de santé, d'activités politiques et de pratiques religieuses. La divulgation non autorisée de caractéristiques sensibles expose les consommateurs à un risque de stigmatisation, de discrimination, de violence et d'autres préjudices, selon la plainte.
Exigences de règlement proposées
En vertu de l'ordonnance proposée, il sera interdit à Gravy Analytics et à Venntel de vendre, d'accorder des licences, de transférer, de partager, de divulguer ou d'utiliser des données de localisation sensibles, sauf dans des circonstances limitées liées à la sécurité nationale ou à l'application de la loi. L'ordonnance exige également que les entreprises maintiennent un programme de données de localisation sensibles conçu pour développer une liste de lieux sensibles et empêcher l'utilisation, la vente, la licence, le transfert, le partage ou la divulgation des visites des consommateurs dans ces lieux, y compris les lieux associés à :
- Établissements médicaux,
- Organisations religieuses,
- Établissements pénitentiaires,
- Bureaux de syndicats,
- Écoles ou structures d'accueil pour enfants,
- Services d'aide aux personnes en fonction de leur origine raciale et ethnique,
- Services accueillant les sans-abri, les victimes d'abus domestiques, les réfugiés ou les immigrés, et
- Installations militaires.
L'ordonnance exige également que les entreprises suppriment toutes les données de localisation historiques et tous les produits de données développés à l'aide de ces données. Elle exige également que les entreprises informent les clients qui ont reçu des données de localisation historiques au cours des trois dernières années de l'exigence de la Commission selon laquelle ces données doivent être supprimées, dépersonnalisées ou rendues non sensibles. Les entreprises peuvent conserver les données de localisation historiques si elles s'assurent qu'elles sont dépersonnalisées ou rendues non sensibles ou si les consommateurs ont consenti à l'utilisation de leurs données.
Elle oblige également les entreprises à mettre en place un programme d'évaluation des fournisseurs afin de s'assurer que les consommateurs ont consenti à la collecte et à l'utilisation de toutes les données susceptibles de révéler l'emplacement précis d'un appareil mobile ou d'un consommateur.
Il sera également interdit aux entreprises de faire de fausses déclarations sur la mesure dans laquelle :
- elles examinent les cadres de conformité et de consentement des fournisseurs de données, les divulgations aux consommateurs, les avis types et les contrôles d'opt-in ;
- elles collectent, utilisent, conservent, divulguent ou suppriment toute information couverte ; et
- les données qu'elles collectent, utilisent, conservent ou divulguent sont dépersonnalisées.
La Commission a voté par 5 voix contre 0 l'émission de la plainte administrative et l'acceptation de l'accord de consentement avec les entreprises.
Il s'agit de la cinquième action intentée par la FTC pour contester le traitement déloyal des données de localisation sensibles des consommateurs par les agrégateurs de données. Parmi les autres actions intentées par l'agence, citons celle de 2022 contre Kochava pour avoir vendu des données permettant de localiser des personnes dans des cliniques de santé reproductive et d'autres lieux sensibles, et celles de janvier 2024 contre X-Mode pour avoir vendu des données de localisation brutes et InMarket pour avoir vendu des données de localisation précises d'utilisateurs. Plus tôt dans la journée du 3 décembre, la FTC a annoncé une action contre Mobilewalla pour avoir également vendu des données permettant de localiser des utilisateurs sur des sites militaires, des cliniques médicales, des églises et d'autres lieux sensibles.
La FTC envisage de publier prochainement une description de l'ensemble de l'accord dans le Federal Register. L'accord sera alors soumis aux commentaires du public pendant 30 jours après sa publication, après quoi la Commission décidera de rendre ou non l'accord proposé définitif.
Pour remarque, la Commission dépose une plainte administrative lorsqu'elle a des « raisons de croire » que la loi a été ou est violée et qu'elle estime qu'une procédure est dans l'intérêt du public. Lorsque la Commission émet une ordonnance par consentement à titre définitif, celle-ci a force de loi en ce qui concerne les actions futures. Chaque violation d'une telle ordonnance peut donner lieu à une amende civile pouvant aller jusqu'à 51 744 dollars.
Source : Plainte de la FTC contre Gravy Analytics Inc. et Venntel Inc.
Et vous ?
Quelle lecture faites-vous de cette situation ? Trouvez-vous que la procédure initiée par la FTC est pertinente et justifiée ?Voir aussi :
Les agences fédérales américaines utiliseraient les données de localisation des téléphones portables pour l'application des lois sur l'immigration, selon un nouveau rapport De nouveaux documents révèlent l'ampleur du suivi des données de localisation des téléphones portables, par le gouvernement américain Les services frontaliers se saisissent des données téléphoniques des voyageurs et les conservent pendant 15 ans sans mandat