Quand c’est gratuit, c’est vous le produit, vous vous souvenez? La Federal Trade Commission (FTC) des États-Unis vient d’infliger une amende de 16,5 millions de dollars à Avast pour avoir vendu des données de navigation de ses utilisateurs à des tiers, une sanction acceptée par l’entreprise, qui a précisé avoir trouvé un accord avec le régulateur américain.
Selon l’autorité américaine de la concurrence, le célèbre antivirus d’origine tchèque a en effet trompé ses clients pendant des années en affirmant que tout partage d’information sur ses utilisateurs se ferait sous une forme anonyme et globale. L’éditeur avait même lancé en 2018 une version de son navigateur en mettant en avant des arguments autour de la protection de la vie privée.
Centaine de clients
Pourtant, ajoute la FTC, les données de navigation des utilisateurs étaient vendues à une centaine de clients sous une forme non agrégée permettant une identification. Ce business passait par Jumpshot, une filiale d’Avast, qui signalait avoir un catalogue de cent millions d’utilisateurs à travers le monde.
L’affaire avait été dévoilée au début de l’année 2020 par Vice.com et PC Mag. Les deux médias signalaient à l’époque que les données vendues, si elles n’incluaient pas d’informations personnelles telles que les noms des utilisateurs, contenaient de nombreuses données de navigation spécifiques.
A l’époque, le directeur général d’Avast avait estimé que cette vente de données représentait un peu moins de 5% du chiffre d’affaires total de l’entreprise, qui s’élevait à un peu moins de 430 millions de dollars. L’éditeur avait ensuite annoncé la fermeture de sa filiale à la suite du scandale.
Interdictions
Avast “n’a pas réussi à anonymiser suffisamment les informations de navigation des consommateurs”, résume la FTC dans son communiqué de presse. Et de remarquer que le flux de données vendues comprenait un identifiant unique pour chaque navigateur, les sites consultés, le type d’appareil et de navigateur, la ville, et le pays.
L’éditeur d’antivirus est désormais sommé de ne plus vendre de données de navigation pour ses produits Avast, et de recueillir un consentement spécifique pour de telles ventes pour ses autres produits. L’entreprise devra enfin supprimer toutes les données transmises à sa filiale Jumpshot.