La FTC poursuit un courtier en données pour avoir vendu les infos de localisation « précises » de millions de personnes

Qui ont visité des cliniques de santé reproductive, des lieux de culte, etc.

La Federal Trade Commission a poursuivi lundi un courtier en données pour avoir prétendument vendu des données de localisation extraites de centaines de millions de téléphones qui peuvent être utilisées pour suivre les mouvements des personnes visitant des cliniques d'avortement, des refuges pour violences domestiques, des lieux de culte et d'autres lieux sensibles.

Dans une plainte, l'agence a déclaré que Kochava, basée dans l'Idaho, avait promu son marché comme fournissant « des données géographiques riches couvrant des milliards d'appareils dans le monde ». Le courtier de données a également déclaré qu'il « fournit des données brutes de latitude/longitude avec des volumes d'environ 94 milliards de transactions géographiques par mois, 125 millions d'utilisateurs actifs mensuels et 35 millions d'utilisateurs actifs quotidiens, observant en moyenne plus de 90 transactions quotidiennes par appareil ».

La FTC a déclaré que Kochava avait amassé les données en suivant l'identifiant de publicité mobile, ou MAID, à partir des téléphones et en vendant les données via Amazon Web Services ou d'autres points de vente sans d'abord anonymiser les données. Toute personne qui achète les données peut ensuite les utiliser pour suivre les allées et venues de nombreux propriétaires de téléphones. De nombreuses allégations sont basées sur l'analyse par l'agence d'un échantillon de données que la société a mis à disposition gratuitement pour promouvoir la vente de ses données, qui étaient disponibles en ligne sans restriction d'utilisation.

« En fait, dans les seules données que Kochava a mises à disposition dans l'échantillon de données de Kochava, il est possible d'identifier un appareil mobile qui a visité une clinique de santé reproductive pour femmes et de retracer cet appareil mobile jusqu'à une résidence unifamiliale », a allégué la plainte. « L'ensemble de données révèle également que le même appareil mobile se trouvait à un endroit particulier au moins trois soirs de la même semaine, suggérant la routine de l'utilisateur de l'appareil mobile. Les données peuvent également être utilisées pour identifier les professionnels de la santé qui effectuent ou aident à l'exécution des services d'avortement ».

La Federal Trade Commission a accusé le courtier en données Kochava de piétiner la vie privée des gens en vendant la localisation « précise » de centaines de millions d'appareils mobiles.

Le gendarme américain des données a allégué dans un procès que les flux de données de Kochava, qui sont vendus via des marchés accessibles au public, révèlent les visites des individus dans des cliniques de santé reproductive, des lieux de culte, des refuges pour sans-abri et victimes de violence domestique, des centres de désintoxication et d'autres lieux sensibles.

Ces enregistrements, prétend la FTC, indiquent – ​​en utilisant des horodatages et des valeurs de latitude et de longitude – quand et où les gens ont été.

Bien que ces informations soient idéalement censées être anonymisées, il est à craindre qu'elles puissent être utilisées avec d'autres données pour démasquer les internautes et découvrir leur identité - ou simplement étudiées pour déterminer qui ils sont à partir de leurs voyages et les adresses où ils séjournent.

Kochava peut obtenir ces données à partir d'applications et de sites Web Android et iOS qui intègrent son code de suivi. Les développeurs utilisent cette boîte à outils pour surveiller leurs utilisateurs - déterminer ce qui les intéresse, comment ils utilisent une application, lier leurs activités à un identifiant publicitaire ciblé, etc. - et Kochava obtiendrait un flux d'informations en temps réel à collecter et vendre. Selon la FTC, Kochava achète également des dossiers personnels d'autres courtiers pour les revendre.

« Dans de nombreux cas, [le] défendeur a vendu, autorisé ou autrement transféré des données de géolocalisation précises associées à des identifiants persistants uniques qui révèlent les visites des consommateurs dans des lieux sensibles », selon le procès de la FTC déposé lundi dans un district fédéral américain.

La vente de ce type d'informations personnelles pourrait causer « un préjudice substantiel aux consommateurs », comme le harcèlement, la discrimination, la perte d'emploi et la violence physique, affirme la FTC. En tant que tel, le régulateur affirme que Kochava enfreint la loi américaine sur la protection des consommateurs.

Par exemple, les données de géolocalisation pourraient révéler l'emplacement d'une personne impliquée dans la violence domestique, et un agresseur pourrait utiliser ces informations pour retrouver une victime dans un refuge soi-disant sécurisé. Cela pourrait également montrer combien de temps une personne est restée dans une clinique de réadaptation ou un refuge pour sans-abri, ce qui peut nuire à ses futures perspectives d'emploi, selon le procès.


Suite à la décision de la Cour suprême des États-Unis d'annuler Roe v. Wade et à près d'une douzaine de lois ultérieures d'États rendant l'avortement illégal - certaines avec des primes qui incitent à la chasse aux sorcières numériques des femmes cherchant à avorter ou de toute personne aidant à fournir la procédure - ces données pourraient également être utilisé pour traquer et poursuivre toute personne cherchant à mettre fin à une grossesse.

Selon les documents judiciaires :

Ces informations ont été mises en vente sur AWS Marketplace jusqu'en juin, selon la FTC. Pour 25 000 $, toute personne disposant d'un compte AWS gratuit pourrait s'abonner au flux de données de localisation, selon le procès.

La FTC a poursuivi en alléguant : « De plus, étant donné que les données de Kochava permettent à ses clients de suivre les consommateurs au fil du temps, les données pourraient être utilisées pour identifier les conditions passées des consommateurs, telles que l'itinérance. En fait, l'échantillon de données de Kochava identifie un appareil mobile qui semble avoir passé la nuit dans un abri temporaire dont la mission est d'héberger des jeunes femmes enceintes à risque ou des jeunes mères ».

Les responsables de Kochava ont publié une déclaration qui disait:

Il y a deux semaines, la société a poursuivi la FTC en prévision de la plainte de lundi, alléguant que ses pratiques étaient conformes à toutes les règles et lois et que les actions de l'agence étaient exagérées.

La plainte de lundi a déclaré qu'il était possible d'accéder à l'échantillon de données de Kochava avec un minimum d'effort. « Un acheteur pourrait utiliser une adresse e-mail personnelle ordinaire et décrire l'utilisation prévue simplement comme "professionnelle" », ont écrit les avocats de la FTC. « La demande serait ensuite envoyée à Kochava pour approbation. Kochava a approuvé de telles demandes en moins de 24 heures ».

L'échantillon de données consistait en un sous-ensemble du flux de données payant qui couvrait une période continue de sept jours. Une seule journée de données contenait plus de 327 480 000 lignes et 11 colonnes de données extraites de données de plus de 61,8 millions d'appareils mobiles.

« Là où les consommateurs recherchent des soins de santé, reçoivent des conseils ou célèbrent leur foi, ce sont des informations privées qui ne devraient pas être vendues au plus offrant », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué de presse. « La FTC poursuit Kochava en justice pour protéger la vie privée des personnes et mettre fin à la vente de leurs informations de géolocalisation sensibles ».

Conclusion

Des allégations comme celles de la plainte soulèvent une question plus large sur la limitation du suivi de la localisation par les appareils mobiles. Les utilisateurs doivent examiner attentivement les paramètres de confidentialité d'iOS et d'Android pour limiter l'accès des applications aux données de localisation. Les deux systèmes d'exploitation permettent également aux utilisateurs de désactiver la personnalisation des publicités, une mesure qui peut limiter l'utilisation de certains identifiants tels que les MAID. iOS permet en outre aux utilisateurs d'interdire à une application de suivre leur activité sur d'autres applications.

Aucune de ces mesures ne garantit que les données de localisation ne seront pas collectées et vendues par des entreprises telles que Kochava, mais c'est une bonne pratique que de les suivre quand même.

De plus, bien que la FTC s'attaque spécifiquement à Kochava avec le procès de lundi, cette décision fait partie d'un effort plus large de l'agence de protection des consommateurs pour réprimer les pratiques de surveillance commerciale qui collectent, analysent et profitent des informations personnelles.

En juillet, la FTC a averti les entreprises qu'elle avait l'intention d'appliquer la loi contre l'utilisation et le partage illégaux de données de consommation hautement sensibles, y compris des données de santé sensibles. Un mois plus tard, elle a annoncé un effort pour formuler des règles de confidentialité afin de dissuader la surveillance en ligne indésirable et les protections de confidentialité de mauvaise qualité.

L'année dernière, l'agence a publié une déclaration de politique avertissant les applications de santé et les appareils connectés qui collectent ou utilisent les informations de santé des consommateurs qu'ils doivent informer les gens en cas de violation de la sécurité ou de la confidentialité, et elle a également pris des mesures contre l'application de suivi de la fertilité Flo pour le partage de données sensibles avec Facebook, Google et d'autres tiers.

Sources : plainte de la FTC, communiqué de presse de la FTC, plainte de Kochava

Et vous ?

Quelle lecture faites-vous de la situation ?