La société AVAST, qui édite notamment l’antivirus du même nom et une extension pour navigateurs, a accepté de payer la somme de 16,5 millions de dollars pour mettre fin à une plainte de la FTC.

Il était reproché à la société tchèque de cybersécurité d’avoir « collecté de manière déloyale les données de navigation des clients par le biais des extensions de navigateur et des logiciels antivirus de l’entreprise, de les avoir stockées indéfiniment et de les avoir vendues sans une information adaptée et sans le consentement des utilisateurs ».

« Avast promettait aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais faisait l’inverse. »

— FTC, Samuel Levine, Directeur du Bureau de la protection des consommateurs

L’extension pour navigateurs d’Avast, dont la finalité était de « bloquer les cookies de suivi gênants qui collectent des données sur vos activités de navigation », était en réalité utilisée pour collecter les recherches des utilisateurs et les pages visitées, ce qui pouvait « révéler les croyances religieuses des consommateurs, leurs préoccupations en matière de santé, leurs tendances politiques, leur localisation, leur situation financière, leurs consultations de contenus destinés aux enfants et d’autres informations sensibles ».

Les données étaient ensuite communiquées à la société JUMPSHOT, filiale d’AVAST, puis étaient vendues « à divers clients, dont des sociétés de publicité, de marketing et d’analyse de données, ainsi que des courtiers en données ». Ces ventes ont été réalisées pendant six ans, de 2014 à 2020.

En complément de l’amende, la société AVAST s’est engagée à :

  • ne plus vendre l’historique de ses clients, acquises à partir des produits AVAST, à des fins de publicité ;
  • obtenir le consentement des clients pour vendre les données de ses clients, acquises par d’autres moyens, à des fins de publicité ;
  • supprimer l’historique de ses clients ou les modèles générés à partir de ces données ;
  • informer les clients que leurs données ont été vendues sans leur consentement ;
  • mettre en place un programme dédié à la vie privée.

En mars 2023, la société AVAST avait obtenu une sanction similaire (13 M€) de l’autorité tchèque de protection des données pour les mêmes faits (voir « La société AVAST sanctionnée pour avoir collecté et transmis l’historique de navigation de ses utilisateurs »).

Liens

Sigles et acronymes
  • FTC : Federal Trade Commission