La Federal Trade Commission a poursuivi lundi un courtier en données pour avoir prétendument vendu des données de localisation extraites de centaines de millions de téléphones qui peuvent être utilisées pour suivre les mouvements des personnes visitant des cliniques d’avortement, des refuges pour violences domestiques, des lieux de culte et d’autres lieux sensibles.
Dans une plainte, l’agence a déclaré que Kochava, basée dans l’Idaho, avait promu son marché comme fournissant “des données géographiques riches couvrant des milliards d’appareils dans le monde”. Le courtier de données a également déclaré qu’il “fournit des données brutes de latitude/longitude avec des volumes d’environ 94 milliards de transactions géographiques par mois, 125 millions d’utilisateurs actifs mensuels et 35 millions d’utilisateurs actifs quotidiens, observant en moyenne plus de 90 transactions quotidiennes par appareil”.
La FTC a déclaré que Kochava avait amassé les données en suivant l’identifiant de publicité mobile, ou MAID, à partir des téléphones et en vendant les données via Amazon Web Services ou d’autres points de vente sans d’abord anonymiser les données. Toute personne qui achète les données peut ensuite les utiliser pour suivre les allées et venues de nombreux propriétaires de téléphones. De nombreuses allégations sont basées sur l’analyse par l’agence d’un échantillon de données que la société a mis à disposition gratuitement pour promouvoir la vente de ses données, qui étaient disponibles en ligne sans restriction d’utilisation.
“En fait, dans les seules données que Kochava a mises à disposition dans l’échantillon de données de Kochava, il est possible d’identifier un appareil mobile qui a visité une clinique de santé reproductive pour femmes et de retracer cet appareil mobile jusqu’à une résidence unifamiliale”, a allégué la plainte. “L’ensemble de données révèle également que le même appareil mobile se trouvait à un endroit particulier au moins trois soirs au cours de la même semaine, suggérant la routine de l’utilisateur de l’appareil mobile. Les données peuvent également être utilisées pour identifier les professionnels de la santé qui effectuent ou aident à l’exécution , des services d’avortement.
La FTC a poursuivi en alléguant : “De plus, étant donné que les données de Kochava permettent à ses clients de suivre les consommateurs au fil du temps, les données pourraient être utilisées pour identifier les conditions passées des consommateurs, telles que l’itinérance. En fait, l’échantillon de données de Kochava identifie un appareil mobile qui semble avoir passé la nuit dans un abri temporaire dont la mission est d’héberger des jeunes femmes enceintes à risque ou des jeunes mères.”
Les responsables de Kochava ont publié une déclaration qui disait:
Ce procès montre la triste réalité que la FTC a une incompréhension fondamentale des activités de marché de données de Kochava et d’autres entreprises de données. Kochava opère de manière cohérente et proactive dans le respect de toutes les règles et lois, y compris celles spécifiques à la confidentialité.
Avant la procédure judiciaire, Kochava a pris l’initiative d’annoncer une nouvelle capacité à bloquer les données géographiques des emplacements sensibles via Privacy Block, supprimant efficacement ces données du marché des données, et est actuellement en cours de mise en œuvre pour ajouter cette fonctionnalité. En l’absence de spécificité de la FTC, nous surveillons constamment et ajustons de manière proactive notre technologie pour bloquer les données géographiques d’autres emplacements sensibles. Kochava obtient 100 % des données géographiques de notre marché de données auprès de courtiers en données tiers qui déclarent tous que les données proviennent de consommateurs consentants.
Au cours des dernières semaines, Kochava a travaillé pour éduquer la FTC sur le rôle des données, le processus par lequel elles sont collectées et la manière dont elles sont utilisées dans la publicité numérique. Nous espérions avoir des conversations productives qui ont conduit à des solutions efficaces avec la FTC sur ces questions complexes et importantes et nous y sommes ouverts à l’avenir. Malheureusement, le seul résultat souhaité par la FTC était un règlement qui n’avait pas de termes ou de résolutions clairs et redéfinissait le problème en une cible mouvante. Les progrès réels pour améliorer la confidentialité des données pour les consommateurs ne seront pas atteints par des communiqués de presse flamboyants et des litiges frivoles. Il est décevant que l’agence continue de contourner le processus législatif et de perpétuer la désinformation concernant la confidentialité des données.
Il y a deux semaines, la société a poursuivi la FTC en prévision de la plainte de lundi, alléguant que ses pratiques étaient conformes à toutes les règles et lois et que les actions de l’agence étaient exagérées.
La plainte de lundi a déclaré qu’il était possible d’accéder à l’échantillon de données de Kochava avec un minimum d’effort. “Un acheteur pourrait utiliser une adresse e-mail personnelle ordinaire et décrire l’utilisation prévue simplement comme” professionnelle “”, ont écrit les avocats de la FTC. “La demande serait ensuite envoyée à Kochava pour approbation. Kochava a approuvé de telles demandes en aussi peu que 24 heures.”
L’échantillon de données consistait en un sous-ensemble du flux de données payant qui couvrait une période continue de sept jours. Une seule journée de données contenait plus de 327 480 000 lignes et 11 colonnes de données extraites des données de plus de 61,8 millions d’appareils mobiles.
“Là où les consommateurs recherchent des soins de santé, reçoivent des conseils ou célèbrent leur foi, ce sont des informations privées qui ne devraient pas être vendues au plus offrant”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué de presse. “La FTC poursuit Kochava en justice pour protéger la vie privée des personnes et mettre fin à la vente de leurs informations de géolocalisation sensibles.”
Des allégations comme celles de la plainte soulèvent une question plus large sur la limitation du suivi de la localisation par les appareils mobiles. Les utilisateurs doivent examiner attentivement les paramètres de confidentialité d’iOS et d’Android pour limiter l’accès des applications aux données de localisation. Les deux systèmes d’exploitation permettent également aux utilisateurs de désactiver la personnalisation des publicités, une mesure qui peut limiter l’utilisation de certains identifiants tels que les MAID. iOS permet en outre aux utilisateurs d’interdire à une application de suivre leur activité sur d’autres applications.
Aucune de ces mesures ne garantit que les données de localisation ne seront pas balayées et vendues par des entreprises telles que Kochava, mais c’est une bonne pratique de les suivre quand même.
