« Quand c’est gratuit, c’est toi le produit ». Voilà un proverbe qui siérait bien à Avast. Une enquête publiée ce mardi 28 janvier 2020 de PCMag et de Motherboard (Vice) révèle des pratiques douteuses mises en place par la société Avast, propriétaire du célèbre logiciel antivirus.
D’après l’article, Avast collecte et revend les données de navigation de ses utilisateurs pour des millions de dollars. Avec 450 000 millions d’utilisateurs à travers le monde, l’entreprise est en possession d’une sacrée manne financière. Parmi ses clients, des grands noms de la Tech, à commencer par Google, Microsoft, Yelp ou dans un autre domaine Condé Nast, organe de presse américain propriétaire entre autres des magazines Vogue et Vanity Fair.
Des données pas si anonymes que ça
Comme le précisent les journalistes de MotherBoard et de PCMag, Avast n’est pas le seul à blâmer. En effet, c’était une filiale de l’entreprise appelée Jumpshot, société spécialisée dans la business intelligence, qui était chargée de collecter toutes les informations. Ces données portaient uniquement sur les clics individuels et étaient anonymisés (pas d’adresse mail, ni d’adresse IP ou de noms mais un identifiant Avast).
De fait, une recherche sur Google, une vidéo sur Youtube, un sex-toy rajouté au panier sur Amazon, l’adresse d’un bar rentrée sur Google Maps, toutes ces données étaient vendues au plus offrant. Et bien qu’elles soient anonymes, il suffit que les entreprises susnommées plus haut fassent le rapprochement avec les infos d’Avast, et les renseignements qu’elles ont sur vous en leur possession (Google et Microsoft ont sans aucun doute des tonnes d’informations à votre sujet, comme sur nous tous) pour rapidement trouver le nom de l’utilisateur, une adresse physique, ou une adresse IP.
Des pratiques conformes au RGPD pour Avast
Face à la polémique déclenchée par cette enquête, Avast a fait valoir son droit de réponse et a publié un communiqué dont voici l’intégralité :
« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.
Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelles, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.
Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.
Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité ».
Source : Vice
