A propos de la vente de données d'utilisateur à des tiers
mardi 26 janvier 2021
Il y a un peu plus d’un an (précisément, en Décembre 2019), les médias ont largement diffusé une news disant que l'éditeur Avast vendait à des tiers des informations récoltées par ses produits au moins depuis 2013. Il s'agissait notamment de données relatives au comportement des utilisateurs sur le Web. La société elle-même ne l'a pas nié mais elle s'est prononcée à ce propos en disant qu'il n'y avait aucune violation de la confidentialité car les informations vendues étaient impersonnelles.
Selon les dires des médias, des données comme les requêtes de recherche, coordonnées GPS, informations sur l'affichage de contenu sur YouTube, sur les sites visités, y compris LinkedIn, ont été récoltées puis vendues, notamment, à Google, Microsoft et Pepsi.
Est-ce qu’Avast avait le droit de le faire ? Oui. Conformément au Contrat de licence, Avast a le droit " de partager vos informations avec des partenaires du fournisseur, notamment, avec les fournisseurs de la plateforme d'e-commerce, les acteurs qui traitent les paiements, les prestataires de services et les prestataires analysant les données sur les achats et les terminaisons anormales de la solution ". Une fois les termes du contant avec Avast acceptés, " Vous confirmez également que le fournisseur ou bien qu’un représentant du groupe de fournisseurs peut échanger des données généralisées et anonymisées avec des tiers à des fins d'analyse des tendances ".
Le scandale est mort tranquillement, mais pas le contenu du contrat de licence, qui ne change pas. Les utilisateurs sont toujours d'accord pour que leurs données soient disponibles pour des échanges anonymisés. En fait, il n'y a rien d'étonnant, car si vous ne payez pas un produit, il est logique de penser que son propriétaire utilise un autre moyen pour gagner de l'argent. Par exemple, en vendant des données utilisateurs.
Comment la récolte et la diffusion de données peuvent-elles menacer l'utilisateur ?
Envisageons la récolte de données. Contrairement à la société Doctor Web, qui ne collecte jamais les fichiers des utilisateurs, certains éditeurs antivirus déclarent une telle fonctionnalité directement dans leur contrat de licence. Ils le justifient par la nécessité d'obtenir des informations relatives à de nouvelles menaces. Il parait qu'il n'y a rien de préjudiciable. Mais il est à noter que les données envoyées au serveur d'un tel éditeur antivirus peuvent contenir vos photos personnelles, vos documents ou d'autres données personnelles ainsi que des informations sur les ressources que vous avez visitées et des fragments de correspondance électronique. Le simple fait de récolter de l'information sur les pages web visitées n'est pas souhaitable aux yeux des internautes. Tout le monde n’est pas d’accord pour partager ses intérêts personnels. Personne ne peut jamais garantir qu’une personne travaillant pour un éditeur ne sera jamais intéressé (même par pure curiosité ou ennui) par des faits concernant les utilisateurs.
La transmission de données à des tiers pose également des questions. Il est déclaré que les données sont transmises sous forme anonymisée, et qu'il est impossible d'identifier l'utilisateur d'après les données transmises. Mais tout dépend des possibilités de celui qui s’y intéresse.
Les technologies ADINT (advertising intelligence) permettent à des tiers d’accéder aux données collectées par l’écosystème publicitaire, d’identifier des utilisateurs uniques et de suivre ensuite leurs déplacements à travers le monde.
Voici un exemple de la vente de données : le commandement américain des opérations spéciales (USSOCOM) achète des données de localisation géographique des utilisateurs d'appareils mobiles. Naturellement, il s'agit de données impersonnelles. Mais, il semble qu'il existe des fonctionnalités qui permettent de désanonymiser complètement un utilisateur particulier. A titre d'exemple, nous avons la société X-Mode qui surveille au moins 40 000 000 d'appareils dans le monde. Ainsi, le SDK de X-Mode a été inséré dans une série d'applications de rencontre xxxx Social, dont l'appli Russia Social avec plus de 100 000 installations.
#législation #responsabilités #données_personnelles #contrat_de_licence #antivirus #securité
Le projet Lumières sur la sécurité recommande
Lisez attentivement le contrat de licence non seulement lors de l'installation d'un logiciel mais également à chaque mise à jour de ce texte. Dans la partie dédiée à l'utilisation des données des utilisateurs par l'éditeur qui les reçoit depuis votre PC, vous pouvez trouver pas mal de surprises. Qui sait comment des informations récoltées sur votre machine peuvent être tournées contre vous-même, votre employeur ou bien contre votre pays !
Nous rappelons : Dr.Web ne récolte pas de fichiers ni de données personnelles d'utilisateur et ne transmet à personne des informations techniques collectées sur les périphériques protégés. Ce que nous recueillons exactement et pour quel but est décrit ici.
Il arrive que Doctor Web reçoive des propositions de vente de données d'utilisateurs. Nous avons cité un tel exemple dans notre publication " No one is even surprised anymore ":
We are interested in exploring the opportunity of buying anonymized Clickstream data from your company.
We are a market intelligence company and partner with a number of developers where we help them generate significant revenue by licensing us anonymized data which is collected by their products.
[COMPANY NAME] collect data about the online world from many sources around the world.
We aggregate all the data sources, normalize them and process them in order to create estimations about different engagement metrics of websites and apps.
Our partnership model is normally very meaningful for our partners. We have partners who we pay in the high $100,000s or even more than $1MM to when the partnership is large enough to work well for both sides.
It’s important to emphasize that we do not collect or interested in any private information about users.
A chaque demande de ce type, nous répondons fermement : Non !
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
00:01:01 2021-01-27
Bernard
21:20:28 2021-01-26
Il est préférable de payer un produit pour limiter cette situation mais cela ne suffit pas à nous garantir la non-utilisation à d'autres fins que la sécurité informatique de nos données personnelles.
Le RGPD s'impose à tous les éditeurs et donne l'obligation à ces derniers de permettre à l'utilisateur d'accéder, de corriger ou de supprimer ses données personnelles. Dans ce dernier cas le fournisseur résilie votre contrat car il lui faut et c'st normal un minimum d'informations sur vous.
Pour ma part l'important est de savoir où sont stockées vos données et par qui? qu'imposent les lois locales du titulaire des droits pour le stockage des données et sur quel type de données, dans le cas où les informations sont partagés avec des tiers (pour le paiement par exemple) l'éditeur de l'anti-virus est-il responsable des données transmises? Avec quels sous-traitants nommément identifiés l'éditeur partage t-il son activité?(CloudFlare, hébergement de serveurs, fournisseur de services Cloud),un suivi des adresses des sites Web vers lesquelles vous naviguez est-il réalisé?, des pressions politiques sont-elles exercées dans le but de collecter des données, pour empêcher la détection de tout logiciel malveillant de l'Etat dans lequel est installé l'éditeur.?
En synthèse un rapport d'experts indépendants du fournisseur d'antivirus qui établirait un rapport de transparence périodique répondant à toutes ces interrogations serait nécessaire pour que l'utilisateur puisse être assuré que les politiques de confidentialité mises plus ou moins clairement en avant par les éditeurs sont bien respectées.
ka_s
20:40:16 2021-01-26
Lia00
19:10:05 2021-01-26
Masha
18:17:38 2021-01-26
Татьяна
15:52:08 2021-01-26
GREEN
09:20:03 2021-01-26
Alors choisissez le meilleur (qui n'est généralement pas gratuit).
Пaвeл
09:01:18 2021-01-26