La Commission fdrale du commerce (FTC) a pris des mesures l’encontre de Gravy Analytics Inc. et de sa filiale Venntel Inc. pour avoir illgalement suivi et vendu des donnes de localisation sensibles d’utilisateurs, y compris des donnes sur les visites de consommateurs dans des lieux lis la sant et des lieux de culte. En vertu d’une proposition d’ordonnance rglant les allgations de la FTC, il sera interdit Gravy Analytics et Venntel de vendre, de divulguer ou d’utiliser des donnes de localisation sensibles dans tout produit ou service, et elles devront mettre en place un programme de localisation des donnes sensibles.
L’action de la FTC contre Gravy Analytics et Venntel s’appuie sur des annes d’examen minutieux du traitement des donnes de localisation sensibles par les courtiers de donnes. En dcembre 2020, Venntel a dj t accuse de vendre des donnes de localisation de smartphones des agences fdrales amricaines, notamment l’ICE, le CBP et le FBI. Le rapport, obtenu par une agence de presse norvgienne spcialise en technologie, avait rvl que ces donnes ont t recueillies par le biais d’une chane d’approvisionnement complexe impliquant des agences de publicit, des revendeurs de donnes et des applications mobiles d’apparence inoffensive dans le monde entier.
En fvrier 2020, le Wall Street Journal a galement rapport que Venntel avait dj vendu l’accs aux donnes de localisation des smartphones l’ICE et au CBP. L’ICE aurait alors utilis les donnes pour identifier des immigrants qui ont ensuite t arrts, et le CBP se serait servi du produit de Venntel pour trouver une activit de tlphonie cellulaire dans des endroits inhabituels, tels que des sections loignes de la frontire amricano-mexicaine. Des inquitudes sont aussi apparues quant l’utilisation de ces donnes par l’IRS sans autorisation lgale approprie et des services similaires ont t fournis par Venntel la DEA et au FBI, selon les rapports.
L’actuelle plainte de la FTC affirme que Gravy Analytics et Venntel ont viol le FTC Act en vendant de manire dloyale des donnes de localisation sensibles des consommateurs, et en collectant et en utilisant les donnes de localisation des consommateurs sans obtenir le consentement vrifiable de l’utilisateur des fins commerciales et gouvernementales.
Selon la plainte, Gravy Analytics a continu utiliser les donnes de localisation des consommateurs aprs avoir appris que ces derniers n’avaient pas donn leur consentement en connaissance de cause. Gravy Analytics a galement vendu de manire dloyale des caractristiques sensibles, telles que des dcisions en matire de sant ou de soins mdicaux, des activits politiques et des points de vue religieux, drives des donnes de localisation des consommateurs.
La surveillance subreptice exerce par les courtiers en donnes porte atteinte nos liberts civiles et met en danger les militaires, les travailleurs syndiqus, les minorits religieuses et d’autres personnes , a dclar Samuel Levine, directeur du bureau de la protection des consommateurs de la FTC. Il s’agit de la quatrime action engage par la FTC cette anne pour contester la vente de donnes de localisation sensibles, et il est grand temps que le secteur prenne au srieux la protection de la vie prive des Amricains.
Gravy Analytics et Venntel, bases en Virginie, auraient obtenu des informations de localisation des consommateurs auprs d’autres fournisseurs de donnes et auraient prtendu collecter, traiter et conserver plus de 17 milliards de signaux provenant d’environ un milliard d’appareils mobiles par jour. Les donnes de localisation vendues par les entreprises peuvent tre utilises pour identifier les consommateurs et ne sont pas anonymises, selon la plainte.
La plainte allgue que Gravy Analytics a utilis le goreprage (geofencing), qui cre une frontire gographique virtuelle, pour identifier et vendre des listes de consommateurs qui ont assist certains vnements lis des conditions mdicales et des lieux de culte, et a vendu des listes supplmentaires qui associent des consommateurs individuels d’autres caractristiques sensibles.
Selon la FTC, ces entreprises ont expos les consommateurs des prjudices potentiels en matire de protection de la vie prive, notamment la divulgation de dcisions mdicales ou de sant, d’activits politiques et de pratiques religieuses. La divulgation non autorise de caractristiques sensibles expose les consommateurs un risque de stigmatisation, de discrimination, de violence et d’autres prjudices, selon la plainte.
Exigences de rglement proposes
En vertu de l’ordonnance propose, il sera interdit Gravy Analytics et Venntel de vendre, d’accorder des licences, de transfrer, de partager, de divulguer ou d’utiliser des donnes de localisation sensibles, sauf dans des circonstances limites lies la scurit nationale ou l’application de la loi. L’ordonnance exige galement que les entreprises maintiennent un programme de donnes de localisation sensibles conu pour dvelopper une liste de lieux sensibles et empcher l’utilisation, la vente, la licence, le transfert, le partage ou la divulgation des visites des consommateurs dans ces lieux, y compris les lieux associs :
- tablissements mdicaux,
- Organisations religieuses,
- tablissements pnitentiaires,
- Bureaux de syndicats,
- coles ou structures d’accueil pour enfants,
- Services d’aide aux personnes en fonction de leur origine raciale et ethnique,
- Services accueillant les sans-abri, les victimes d’abus domestiques, les rfugis ou les immigrs, et
- Installations militaires.
L’ordonnance exige galement que les entreprises suppriment toutes les donnes de localisation historiques et tous les produits de donnes dvelopps l’aide de ces donnes. Elle exige galement que les entreprises informent les clients qui ont reu des donnes de localisation historiques au cours des trois dernires annes de l’exigence de la Commission selon laquelle ces donnes doivent tre supprimes, dpersonnalises ou rendues non sensibles. Les entreprises peuvent conserver les donnes de localisation historiques si elles s’assurent qu’elles sont dpersonnalises ou rendues non sensibles ou si les consommateurs ont consenti l’utilisation de leurs donnes.
Elle oblige galement les entreprises mettre en place un programme d’valuation des fournisseurs afin de s’assurer que les consommateurs ont consenti la collecte et l’utilisation de toutes les donnes susceptibles de rvler l’emplacement prcis d’un appareil mobile ou d’un consommateur.
Il sera galement interdit aux entreprises de faire de fausses dclarations sur la mesure dans laquelle :
- elles examinent les cadres de conformit et de consentement des fournisseurs de donnes, les divulgations aux consommateurs, les avis types et les contrles d’opt-in ;
- elles collectent, utilisent, conservent, divulguent ou suppriment toute information couverte ; et
- les donnes qu’elles collectent, utilisent, conservent ou divulguent sont dpersonnalises.
La Commission a vot par 5 voix contre 0 l’mission de la plainte administrative et l’acceptation de l’accord de consentement avec les entreprises.
Il s’agit de la cinquime action intente par la FTC pour contester le traitement dloyal des donnes de localisation sensibles des consommateurs par les agrgateurs de donnes. Parmi les autres actions intentes par l’agence, citons celle de 2022 contre Kochava pour avoir vendu des donnes permettant de localiser des personnes dans des cliniques de sant reproductive et d’autres lieux sensibles, et celles de janvier 2024 contre X-Mode pour avoir vendu des donnes de localisation brutes et InMarket pour avoir vendu des donnes de localisation prcises d’utilisateurs. Plus tt dans la journe du 3 dcembre, la FTC a annonc une action contre Mobilewalla pour avoir galement vendu des donnes permettant de localiser des utilisateurs sur des sites militaires, des cliniques mdicales, des glises et d’autres lieux sensibles.
La FTC envisage de publier prochainement une description de l’ensemble de l’accord dans le Federal Register. L’accord sera alors soumis aux commentaires du public pendant 30 jours aprs sa publication, aprs quoi la Commission dcidera de rendre ou non l’accord propos dfinitif.
Pour remarque, la Commission dpose une plainte administrative lorsqu’elle a des raisons de croire que la loi a t ou est viole et qu’elle estime qu’une procdure est dans l’intrt du public. Lorsque la Commission met une ordonnance par consentement titre dfinitif, celle-ci a force de loi en ce qui concerne les actions futures. Chaque violation d’une telle ordonnance peut donner lieu une amende civile pouvant aller jusqu’ 51 744 dollars.
Source : Plainte de la FTC contre Gravy Analytics Inc. et Venntel Inc.
Et vous ?
Quelle lecture faites-vous de cette situation ?
Trouvez-vous que la procdure initie par la FTC est pertinente et justifie ?
Voir aussi :