La société tchèque de cybersécurité Avast ne gagne pas seulement de l’argent en protégeant ses 400 millions d’utilisateurs disséminés à travers le monde, mais elle profiterait également de sa position privilégiée au sein du marché pour collecter et monétiser les données de navigation de ses clients, depuis au moins 2013. Cette situation a conduit à l’étiquetage de certains des outils développés par l’éditeur tchèque en tant que « spyware ». Mozilla et Opera, par exemple, étaient suffisamment au fait et inquiets de cette pratique pour supprimer certains outils Avast de leurs magasins d’extensions au début du mois.
Dans une tentative visant à rassurer le marché, Ondrej Vlcek, le nouveau DG d’Avast, a récemment confié au média Forbes qu’il n’y avait malgré tout pas de scandale lié à la protection de la vie privée dans cette affaire, affirmant que la totalité des informations sur les utilisateurs collectées et vendues par sa boite ne permettaient en aucun de remonter jusqu’aux utilisateurs originels. Dans un souci de transparence apparent, il a également révélé que ces pratiques assurent à son groupe des gains non négligeables représentant environ 5 % du revenu total (soit plus de 20 millions de dollars en 2019).
Voici comment ça marche, selon Vlcek : l’activité Web des utilisateurs d’Avast est recueillie par les extensions de navigateur de l’entreprise. Mais avant d’arriver sur les serveurs d’Avast, ces données sont anonymisées, c’est-à-dire dépouillées de tout ce qui pourrait révéler l’identité d’une personne. Toutes ces données sont ensuite analysées par Jumpshot, une société rachetée par Avast en 2013, avant d’être vendues comme « insights » aux clients potentiels.
Vlcek indique que Jumpshot fournit « un aperçu de la façon dont les cohortes d’internautes utilisent le Web », en affichant par exemple, le pourcentage des visiteurs qui sont passés d’un site Web à un autre, et pourrait de ce fait être utile à quiconque surveille une campagne publicitaire. Il peut aider les entreprises à déterminer l’intérêt que leur produit suscite en ligne et suivre ce que les utilisateurs recherchent ou comment ils interagissent avec une marque ou un produit particulier. À ce propos, le patron d’Avast a expliqué : « Les clients typiques seraient, par exemple, des investisseurs qui seraient intéressés par l’état d’avancement des nouvelles campagnes des entreprises en ligne ». Quelle est la place de la protection de la vie privée dans tout ça ?
Vlcek compare ce type d’échange de données à celui que l’on observe dans le domaine des soins de santé. Sur ce marché, les données anonymes sont utilisées pour créer des études de cas, où l’examen des tendances des données permet de déterminer qui est le plus susceptible de contracter une maladie. C’est ce procédé qui aurait permis à l’éditeur de l’antivirus Avast de publier plus tôt cette année un rapport sur les tendances PC en 2019 révélant plus de la moitié des logiciels installés sur PC sont obsolètes.
Malgré tout, Ondrej Vlcek reconnaît que les clients de son entreprise utilisent avant tout Avast pour protéger leurs informations et qu’il ne peut donc rien entreprendre qui pourrait « compromettre la sécurité de la confidentialité des données, ce qui inclut le ciblage par les annonceurs ». À ce propos, le patron d’Avast a déclaré à Forbes : « Nous n’autorisons donc absolument aucun annonceur ni aucune tierce partie… à obtenir un accès quelconque par l’intermédiaire d’Avast ou une donnée quelconque qui permettrait au tiers de cibler un individu en particulier ».
Mise à jour du 13/12/2019
Souhaitant réagir à cette actualité, Avast s’est rapproché de developpez.com pour apporter des éléments nouveaux au fil de discussion. L’entreprise tchèque de cybersécurité a déclaré dans son mail :
« La sécurité et la confidentialité de nos utilisateurs sont la priorité absolue d’Avast et pour cette raison, nous avons mis en place des procédures complètes en matière de protection des données. Il y a eu des rapports récents nous incriminant dans la vente récente de données personnelles identifiables à des tiers qui sont faux.
Pour que nos extensions de navigateur puissent faire leur travail de détection et de blocage des menaces, nous devons être en mesure de collecter des données URL. C’est ainsi que fonctionnent nos solutions antivirus et d’autres solutions antivirus. Pour cela, nous n’avons pas besoin de données personnelles identifiables. Par conséquent, et pour protéger la vie privée de nos utilisateurs, les données que nous recueillons sont dépouillées de toute information personnelle identifiable (IPI), ce qui signifie qu’elles sont stockées dans un format complètement dépersonnalisé.
Nous partageons également ces données statistiques agrégées avec notre propre société d’analyse marketing, Jumpshot, et nous avons fait preuve de transparence avec nos clients et le marché depuis son lancement : https://blog.avast.com/2015/05/29/av...lytics-engine/. Nous sommes à l’écoute des préoccupations, nous croyons en l’adoption de nouvelles pratiques selon les besoins et nous sommes en train de mettre en œuvre des changements à nos extensions conformément à la nouvelle politique de confidentialité de Mozilla.
Nous nous efforçons de ne recueillir que les données nécessaires à la prestation de nos services. Avast suit les meilleures procédures de l’industrie conformément au RGPD qui sont décrites dans sa politique de confidentialité. Nous avons également un portail de confidentialité où les clients de nos produits peuvent se connecter et vérifier les données personnelles que nous détenons à leur sujet. »
j’aimerais savoir ce qu’ils font des meta-données … et on sait très bien que ce type d’anonymat qu’ils proposent est totalement relatif