Avast condamn une amende de 16,5 millions de dollars pour un logiciel de

La FTC interdit Avast de vendre des donnes de navigation des fins publicitaires et l'oblige verser 16,5 millions de dollars la suite d'accusations selon lesquelles l'entreprise aurait vendu des donnes de navigation aprs avoir affirm que ses produits bloqueraient le pistage en ligne
La FTC affirme qu'en dpit de ses promesses de protger les consommateurs contre le suivi en ligne, Avast a vendu les donnes de navigation des consommateurs des tiers.

La Federal Trade Commission va demander au fournisseur de logiciels Avast de payer 16,5 millions de dollars et lui interdire de vendre ou de concder sous licence des donnes de navigation sur le web des fins publicitaires, afin de rpondre aux accusations selon lesquelles l'entreprise et ses filiales ont vendu ces informations des tiers aprs avoir promis que ses produits protgeraient les consommateurs contre le pistage en ligne.

Dans sa plainte, la FTC affirme qu'Avast Limited, base au Royaume-Uni, par l'intermdiaire de sa filiale tchque, a collect de manire dloyale les informations de navigation des consommateurs par l'intermdiaire des extensions de navigateur et du logiciel antivirus de la socit, les a stockes indfiniment et les a vendues sans pravis adquat et sans le consentement du consommateur. La FTC accuse galement Avast d'avoir tromp les utilisateurs en prtendant que le logiciel protgerait la vie prive des consommateurs en bloquant le suivi par des tiers, mais en omettant d'informer correctement les consommateurs qu'il vendrait leurs donnes de navigation dtailles et ridentifiables. La FTC affirme qu'Avast a vendu ces donnes plus de 100 tiers par l'intermdiaire de sa filiale Jumpshot.

"Avast a promis aux utilisateurs que ses produits protgeraient la confidentialit de leurs donnes de navigation, mais a fait tout le contraire", a dclar Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "Les tactiques de surveillance d'Avast, bases sur le principe de l'appt et de l'change, ont compromis la vie prive des consommateurs et enfreint la loi."

Depuis au moins 2014, la FTC affirme qu'Avast a collect les informations de navigation des consommateurs par le biais d'extensions de navigateur, qui peuvent modifier ou tendre les fonctionnalits des navigateurs web des consommateurs, et par le biais de logiciels antivirus installs sur les ordinateurs et les appareils mobiles des consommateurs. Ces donnes de navigation comprenaient des informations sur les recherches web des utilisateurs et les pages web qu'ils visitaient - rvlant les croyances religieuses des consommateurs, leurs proccupations en matire de sant, leurs tendances politiques, leur localisation, leur statut financier, leurs visites de contenus destins aux enfants et d'autres informations sensibles.

Selon la plainte, non seulement Avast n'a pas inform les consommateurs qu'elle collectait et vendait leurs donnes de navigation, mais la socit a prtendu que ses produits rduiraient le suivi sur l'internet. Par exemple, lorsque les utilisateurs recherchaient les extensions de navigateur d'Avast, on leur disait qu'Avast "bloquerait les cookies de suivi gnants qui collectent des donnes sur vos activits de navigation" et promettait que son logiciel de bureau allait "protger votre vie prive. Empcher tout le monde d'accder votre ordinateur".

Aprs avoir rachet Jumpshot, un fournisseur de logiciels antivirus concurrent, Avast a rebaptis l'entreprise en socit d'analyse. De 2014 2020, Jumpshot a vendu les informations de navigation qu'Avast avait recueillies auprs des consommateurs divers clients, dont des socits de publicit, de marketing et d'analyse de donnes et des courtiers en donnes, selon la plainte.

L'entreprise affirme qu'elle utilise un algorithme spcial pour supprimer les informations d'identification avant de transfrer les donnes ses clients. La FTC affirme toutefois que la socit n'a pas suffisamment anonymis les informations de navigation des consommateurs qu'elle a vendues sous une forme non agrge par l'intermdiaire de divers produits. Par exemple, ses flux de donnes comprenaient un identifiant unique pour chaque navigateur web partir duquel elle collectait des informations et pouvaient inclure chaque site web visit, des horodatages prcis, le type d'appareil et de navigateur, ainsi que la ville, l'tat et le pays. Lorsqu'Avast dcrivait ses pratiques en matire de partage de donnes, elle affirmait faussement qu'elle ne transfrait les informations personnelles des consommateurs que sous forme agrge et anonyme, selon la plainte.

La FTC affirme que la socit n'a pas interdit certains de ses acheteurs de donnes de ridentifier les utilisateurs d'Avast sur la base des donnes fournies par Jumpshot. De plus, mme lorsque les contrats d'Avast comportaient de telles interdictions, ils taient formuls de manire permettre aux acheteurs de donnes d'associer des informations non personnellement identifiables aux informations de navigation des utilisateurs d'Avast. En fait, certains des produits Jumpshot ont t conus pour permettre aux clients de suivre des utilisateurs spcifiques ou mme d'associer des utilisateurs spcifiques - et leur historique de navigation - d'autres informations dont disposaient ces clients. Par exemple, comme l'indique la plainte, Jumpshot a conclu un contrat avec Omnicom, un conglomrat publicitaire, qui stipulait que Jumpshot fournirait Omnicom un "All Clicks Feed" pour 50 % de ses clients aux tats-Unis, au Royaume-Uni, au Mexique, en Australie, au Canada et en Allemagne. Selon le contrat, Omnicom tait autoris associer les donnes d'Avast aux sources de donnes des courtiers en donnes, sur la base d'un utilisateur individuel.

Outre le versement de 16,5 millions de dollars, qui devraient servir rparer les prjudices subis par les consommateurs, la proposition d'ordonnance interdira Avast et ses filiales de donner des informations errones sur l'utilisation des donnes qu'elles collectent. Les autres dispositions de la proposition d'ordonnance sont les suivantes

• Interdiction de vendre les donnes de navigation : Il sera interdit Avast de vendre ou de concder sous licence des tiers, des fins publicitaires, des donnes de navigation provenant de produits de la marque Avast ;
• Obtention d'un consentement explicite : L'entreprise doit obtenir le consentement explicite des consommateurs avant de vendre ou de concder sous licence des tiers, des fins publicitaires, des donnes de navigation provenant de produits autres que ceux d'Avast ;
• Suppression des donnes et des modles : Avast doit supprimer les informations de navigation Web transfres Jumpshot et tous les produits ou algorithmes que Jumpshot a drivs de ces donnes ;
• Notification des consommateurs : Avast devra informer les consommateurs dont les informations de navigation ont t vendues des tiers sans leur consentement des mesures prises par la FTC l'encontre de l'entreprise.
• Mise en uvre d'un programme de protection de la vie prive : Avast devra mettre en uvre un programme complet de protection de la vie prive pour remdier aux fautes mises en vidence par la FTC.

La Commission a vot par 3 voix contre 0 l'mission de la plainte administrative et l'acceptation de l'accord propos. La prsidente de la FTC, Lina M. Khan, ainsi que les commissaires Rebecca Kelly Slaughter et Alvaro Bedoya ont publi une dclaration ce sujet.

La FTC publiera prochainement une description de l'accord dans le Registre fdral. L'accord sera soumis aux commentaires du public pendant 30 jours aprs sa publication dans le Federal Register, aprs quoi la Commission dcidera de rendre ou non l'accord propos dfinitif. Les instructions pour le dpt des commentaires figureront dans l'avis publi. Une fois traits, les commentaires seront publis sur Regulations.gov.

REMARQUE : la Commission met une plainte administrative lorsqu'elle a des "raisons de croire" que la loi a t ou est viole, et qu'il lui semble qu'une procdure est dans l'intrt public. Lorsque la Commission met une ordonnance par consentement titre dfinitif, celle-ci a force de loi en ce qui concerne les actions futures. Chaque violation d'une telle ordonnance peut donner lieu une amende civile pouvant aller jusqu' 51 744 dollars.

Cathlin Tully et Andy Hasty, du Bureau de la protection des consommateurs de la FTC, sont les principaux avocats de la Commission dans cette affaire.