Menu
FR

Le gouvernement américain a interdit l'utilisation des données sensibles à un courtier en données : c' est une première

La Commission fédérale du commerce (FTC) des États-Unis a franchi une étape importante en interdisant à un courtier en données de vendre des données de localisation sensibles sans le consentement explicite de l'utilisateur.

En obtenant une toute première interdiction sur l'utilisation et la vente de données de localisation sensibles, la FTC poursuit son travail essentiel de protection des Américains contre les courtiers en données intrusifs et la surveillance incontrôlée des entreprises", a déclaré le porte-parole de la FTC.

Le courtier qui a obtenu la distinction douteuse d'être le premier à être pénalisé par le régulateur américain de cette manière est X-Mode Social et son successeur Outlogic.

Le fameux courtier

Pour ceux qui suivent l'actualité de la protection de la vie privée depuis au moins deux ans, le nom du courtier peut sembler familier. X-Mode Social s'est fait connaître pour la première fois en novembre 2020, lorsqu'il est devenu un covedette improbable, avec l'armée américaine, dans le rapport Motherboard de VICE. Le rapport a révélé qu'une application musulmane et coranique comptant près de 100 millions de téléchargements envoyait des données de localisation granulaires à X-Mode, qui, à son tour, partageait ces données avec des sous-traitants du gouvernement américain, y compris l'armée américaine. La nouvelle a provoqué un tollé à l'époque, à la suite duquel l'application musulmane a supprimé le code X-Mode qui y était intégré et qui était responsable de l'envoi des données au courtier. Les réactions ont été si vives que, dans un rare effort conjoint, Apple et Google ont dit aux développeurs d'applications qu'ils devaient supprimer le code X-Mode de leurs applications sous peine d'être condamnés.

Lorsque les choses tournent mal, l'une des stratégies les plus populaires auprès des sociétés qui voient leur réputation flamber consiste à se rebaptiser, comme le fait Meta (anciennement Facebook). Ainsi, en août 2021, après le rachat de X-Mode par Digital Envoy, l'entreprise a été rebaptisée Outlogic.

La mauvaise presse et l'ostracisme des deux principales plateformes d'applications n'ont apparemment pas suffi à Outlogic pour mettre en place des garde-fous afin d'éviter qu'une telle situation ne se reproduise à l'avenir. Selon la plainte de la FTC, qui couvre les transgressions présumées du courtier jusqu'en 2021, X-Mode/Outlogic "n'avait aucune politique en place pour supprimer les emplacements sensibles des données de localisation brutes qu'elle vendait " jusqu'en mai 2023( !).

Alors, qu'a fait exactement X-Mode/Outlogic pour mériter cette sanction sans précédent aux yeux du gouvernement américain ?

Collecte de données sous stéroïdes

Dans sa plainte, la FTC accuse X-Mode Social et son successeur d'un large éventail de violations de la vie privée, certaines plus flagrantes que d'autres. La plupart des transgressions présumées de X-Mode Social découlent du fait qu'il a recueilli des données de localisation sensibles auprès de plus de 300 applications via son SDK (kit de développement logiciel).

Selon l'autorité de régulation, X-Mode inciterait les fabricants d'applications à intégrer son SDK dans leurs applications "en promettant aux développeurs d'applications des revenus passifs pour chaque appareil mobile du consommateur qui permet au SDK de collecter leurs données de localisation " Les SDK sont des morceaux de code qui permettent à l'application d'effectuer des tâches importantes, telles que le suivi de la localisation. L'avantage pour les développeurs qui intègrent des SDK tiers dans leurs applications est qu'ils n'ont pas besoin de développer des fonctionnalités à partir de zéro, ce qui leur permet d'économiser de l'argent et du temps. Ajoutez à cela la possibilité de gagner un revenu passif et vous obtenez une offre qu'il est difficile de refuser. Les développeurs de ces 300 applications, parmi lesquelles des trackers de fitness, des jeux et des applications religieuses, ne l'ont donc pas fait.

En outre, le courtier a également collecté des données à partir de ses propres applications, Drunk Mode et Walk Against Humanity. En outre, il achetait des données à d'autres courtiers et agrégateurs de données. Si l'on met tout cela bout à bout, on s'aperçoit que X-Mode a récolté une belle moisson de données de localisation. Selon la FTC, le courtier "a ingéré plus de 10 milliards de points de données de localisation provenant du monde entier ", tout en se vantant d'avoir une "précision de 70 % à 20 mètres ou moins ".

Qu'est-ce qui a été collecté et à qui tout cela a été vendu ?

Le SDK du X-Mode, qui est à l'origine de la plupart des données de localisation sensibles tombées entre les mains du courtier, avait un accès rapide aux données de localisation générées par les systèmes d'exploitation des appareils des utilisateurs. Il transmettait ensuite ces informations, ainsi qu'un identifiant unique pour l'appareil mobile appelé Mobile Advertiser ID (ou MAID), aux serveurs de X-Mode.

Cet ensemble de données pourrait potentiellement révéler des informations sensibles sur les utilisateurs, telles que leurs visites dans des hôpitaux, des lieux de culte, des centres de traitement de la toxicomanie et des pharmacies. Selon la FTC, X-Mode se moque éperdument des conséquences d'une éventuelle fuite ou d'une mauvaise utilisation de ces informations, car elle n'aurait "mis en place aucune politique ou procédure visant à supprimer les lieux sensibles des ensembles de données de localisation brutes qu'elle vendait ".

En plus d'offrir les données de localisation brutes à toute personne disposée à les acheter, X-Mode a analysé les données pour créer des "segments d'audience" basés sur un certain nombre de caractéristiques, y compris des caractéristiques très sensibles. Dans un cas, elle a proposé à une société privée de recherche clinique des segments d'audience personnalisés basés sur les visites de personnes chez différents médecins à Columbus, dans l'Ohio. Au menu, des patients en cardiologie, en endocrinologie et en gastro-entérologie.

Si le fait qu'une société privée de recherche clinique soit le destinataire d'informations sur la santé que vous préféreriez probablement garder secrètes ne semble pas assez grave (et ça devrait l'être), le rapport de la FTC contient des révélations encore plus accablantes. Certaines de ces données ont été transmises à des "entreprises gouvernementales" qui les ont utilisées "à des fins de sécurité nationale". X-Mode n'a mentionné ce fait curieux nulle part, ni dans les avis de confidentialité des applications de tiers utilisant son SDK, ni dans ceux de ses propres applications.

Parmi les acheteurs des données de localisation de X-Mode figuraient également au moins deux entreprises qui ont ensuite revendu les données à d'autres entreprises en violation de leurs contrats avec X-Mode. Dans ce cas, il est presque impossible de retracer les entreprises qui se sont retrouvées avec les données, puisqu'elles n'en sont peut-être même pas la destination finale. Un autre problème est que toutes ces entreprises tertiaires ne sont pas liées par les quelques restrictions que X-Mode a pu imposer sur l'utilisation des données.

Comment ces données pourraient-elles permettre de vous identifier ?

Étant donné que le X-Mode fournirait les données à ses acheteurs sous forme brute et non anonymisée, il serait facile d'identifier la plupart des utilisateurs individuels. Connaissant l'identifiant permanent (MAID) de chaque utilisateur, associé à de multiples signaux horodatés, il ne faudrait pas être un Sherlock Holmes pour déduire le lieu de résidence d'un utilisateur en se basant sur l'endroit où se trouve son téléphone la nuit.

Et nous n'avons même pas mentionné la possibilité de compléter ces données par des informations provenant de sources hors ligne telles que les registres publics, les annuaires téléphoniques et les médias sociaux - un service de recoupement offert par de nombreux courtiers en données.

Utilisation et risques : de la sécurité nationale à la publicité ciblée

Comme nous l'avons déjà mentionné, certaines des utilisations potentielles de ces données de localisation granulaires pourraient être liées à la sécurité nationale. Cela peut aller de la surveillance dans le but de déjouer des attaques potentielles à l'application des lois sur l'immigration.

Mais une utilisation bien plus populaire est celle de la publicité. Les annonceurs rassemblent ces données pour établir des profils détaillés des consommateurs afin de les cibler avec des publicités très pertinentes. Ces publicités sont généralement les plus efficaces pour inciter les gens à donner de l'argent.

En tout état de cause, la vente de ces données, comme le dit la FTC, "constitue une intrusion injustifiée dans les domaines les plus privés de la vie des consommateurs et leur cause ou est susceptible de leur causer un préjudice substantiel ". Difficile de contester cette affirmation.

Nous ne pouvons que nous féliciter de la décision de la FTC de sévir contre le secteur de la vente de données de localisation. Nous regrettons seulement qu'il lui ait fallu tant de temps pour le faire. Selon nous, cette décision était attendue depuis longtemps, et la vente non contrôlée des données les plus sensibles des utilisateurs n'aurait jamais dû être autorisée.

D'un autre côté, la FTC n'a pas interdit la vente de ces données, mais l'a soumise à l'accord de l'utilisateur. Si cela semble logique à première vue - après tout, si l'utilisateur souhaite fournir ses données sensibles à un courtier en données ou à une application, il est en droit de le faire -, la situation n'est peut-être pas aussi simple qu'il y paraît.

Nous nous attendons à ce que des entreprises comme X-Mode ou un autre courtier en données de quelque notoriété, SafeGraph continuent à jouer avec les utilisateurs, en les incitant à fournir leurs données sensibles à l'aide de schémas obscurs et d'avis trompeurs. Et nous devons rester vigilants.

Vous avez aimé cet article ?

AdGuard pour Windows

AdGuard pour Windows est plus qu'un bloqueur de publicités. Il s'agit d'un outil polyvalent qui bloque les publicités, contrôle l'accès aux sites dangereux, accélère le chargement des pages et protège les enfants contre les contenus inappropriés.
Avis des utilisateurs : 14482
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

AdGuard pour Mac

AdGuard pour Mac est un bloqueur de publicité unique conçu pour macOS. En plus de vous protéger contre les publicités gênantes dans les navigateurs et les applications, il vous protège contre le pistage, l'hameçonnage et la fraude.
Avis des utilisateurs : 14482
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

AdGuard pour Android

AdGuard pour Android est la solution parfaite pour les appareils sur Android. Contrairement à la plupart des autres bloqueurs de publicité, AdGuard ne nécessite pas d'accès root et offre un large éventail d'options de gestion des applications.
Avis des utilisateurs : 14482
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

AdGuard pour iOS

Le bloqueur de publicité le plus avancé pour Safari : il vous fait oublier les fenêtres publicitaires, accélère le chargement des pages et protège vos données personnelles. Un outil de blocage manuel des éléments et des paramètres hautement personnalisables vous permettent d'adapter le filtrage à vos besoins précis.
Avis des utilisateurs : 14482
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

Extension de navigateur AdGuard

AdGuard est l'extension bloqueuse de pub la plus souple et rapide qui bloque tous les types de pub sur toutes les pages Web! Selectionnez le module AdGuard pour votre type de navigateur préféré et surfez le web en toute sécurité et sans publicité.
Avis des utilisateurs : 14482
4,7 sur 5

AdGuard pour Safari

Au moment ou Apple a décidé de forcer tout le monde à utiliser son SDK, les extensions bloqueuses de pub pour Safari sont entrés dans une période difficile. L'extension AdGuard doit ramener le blocage des pubs dans Safari au top.
Avis des utilisateurs : 14482
4,7 sur 5
App Store
Télécharger
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

AdGuard Home

AdGuard Home est un logiciel anti-pub et anti-traçage qui fonctionne au niveau du système. Une fois installé, il fonctionnera sur TOUS vos appareils, et vous n'aurez pas besoin d'installer de logiciel-client. L'essor de l'Internet des objets et l'affluence d'appareils connectés rend nécessaire le contrôle de votre réseau dans son intégralité.
Avis des utilisateurs : 14482
4,7 sur 5

Bloqueur de contenu AdGuard

AdGuard content Blocker éliminera toutes sortes d'annonces dans les navigateurs mobiles qui soutiennent la technologie de bloqueur de contenu, à savoir, Samsung Internet et Yandex Browser. Tout en étant plus limité que AdGuard sous Android, il est gratuit, facile à installer et offre encore de haute qualité de blocage des annonces.
Avis des utilisateurs : 14482
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

Assistant AdGuard

Une extension de navigateur compagnon pour les applications pour ordinateur AdGuard. Elle offre un accès depuis le navigateur au blocage personnalisé d'éléments, à l'ajout de sites Web à la liste blanche et au signalement de bogue quelconque.
Avis des utilisateurs : 14482
4,7 sur 5
Assistant pour Chrome Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Firefox Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Edge Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Opera Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Yandex Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Safari Est-ce votre navigateur actuel ?
Si vous ne trouvez pas votre navigateur, essayez l'ancienne version de l'Assistant, que vous trouverez dans les paramètres de l'extension AdGuard.

AdGuard Temp Mail β

Un générateur d'adresses e-mail temporaires gratuit qui vous permet de rester anonyme et de protéger votre vie privée. Pas de spam dans votre boîte de réception principale !
Avis des utilisateurs : 14482
4,7 sur 5

AdGuard pour Android TV

AdGuard pour Android TV est la seule application qui bloque les publicités, protège votre vie privée et agit comme un pare-feu pour votre Smart TV. Recevez des avertissements sur les menaces web, utilisez des DNS sécurisés et bénéficiez d'un trafic chiffré. Détendez-vous et plongez dans vos émissions préférées avec une sécurité de premier ordre et zéro publicité !
Avis des utilisateurs : 14482
4,7 sur 5
Téléchargement de AdGuard Pour installer AdGuard, cliquez le fichier indiqué par la flèche Sélectionnez « Ouvrir » et cliquez sur « OK », puis attendez que le fichier soit téléchargé. Dans la fenêtre ouverte, faites glisser l'icône AdGuard dans le dossier « Applications ». Merci d'avoir choisi AdGuard! Sélectionnez « Ouvrir » et cliquez sur « OK », puis attendez que le fichier soit téléchargé. Dans la fenêtre ouverte, cliquez sur « Installer ». Merci d'avoir choisi AdGuard!
Installer AdGuard sur votre appareil mobile