L’autorité tchèque de protection des données a sanctionné la société AVAST, le 14 mars 2023, pour avoir communiqué des données à caractère personnel de ses clients à une société tierce de manière illicite, en contradiction avec le RGPD.

La société AVAST est spécialisée dans la cybersécurité. La société édite notamment l’antivirus du même nom ainsi qu’une extension pour navigateurs.

Lorsque les internautes installaient et utilisaient ces produits, aussi bien les versions gratuites que payantes, la société AVAST collectait leur historique de navigation et transférait ces données à une société américaine, la société JUMPSHOT, pour « produire des analyses statistiques des tendances ». De tels transferts ont été réalisés d’avril 2019 à juillet 2019.

L’autorité tchèque a estimé, d’une part, que les données associées à l’historique de navigation des clients devaient être considérées comme des données à caractère personnel et, d’autre part, que la société AVAST transférait ces données à une société tierce sans fondement légal et sans fournir une information adaptée.

Concernant la caractérisation de données personnelles, les investigations ont montré que, lorsque l’antivirus Avast était téléchargé et installé par l’internaute, un identifiant unique était assigné à l’appareil. L’adresse IP de l’appareil était également collectée et stockée « pour une durée limitée puis pseudonymisée ». Les utilisateurs « pouvaient donc être identifiés et toutes les données collectées pouvaient être reliées » à ces personnes.

Le contrat qui encadrait ce transfert de données confirmait cette thèse, car il était stipulé que les sociétés AVAST et JUMPSHOT « reconnaîssent que les données [échangées] peuvent inclure des données à caractère personnel, telles que définies par la législation applicable ».

Dans ce même contrat, la société AVAST s’engageait également à « fournir à la société JUMPSHOT les numéros d’identification des utilisateurs ». L’autorité précise toutefois que la présence d’un identifiant unique n’est pas nécessaire pour qualifier les données échangées comme personnelles, car la simple présence d’une activité spécifique dans l’historique de navigation ou d’« une référence à un ou plusieurs éléments spécifiques de l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociétale de cette personne physique » peut permettre d’identifier une personne.

Concernant le transfert de l’historique de navigation des utilisateurs, AVAST a déclaré que la finalité était de « créer des données statistiques à l’aide de données fiables pour aider les entreprises à gérer leurs stratégies ».

La société justifiait le traitement des données des utilisateurs payants par un « intérêt légitime ». Pour les utilisateurs gratuits, aucun fondement n’était avancé, car la société « était convaincue que les données étaient anonymisées, et donc pas soumises à la réglementation applicable ».

Sur ce point, l’autorité a rappelé que les traitements justifiés par un intérêt légitime devaient être « évalués avec soin », en étudiant « la question de savoir si la personne concernée peut raisonnablement s’attendre, au moment et dans le contexte de la collecte de données à caractère personnel, à ce que le traitement à ces fins ait lieu ». En l’espèce, ce travail d’analyse n’a pas suffisament été effectué par AVAST. Le fait que le traitement « n’apporte aucune valeur ajoutée aux utilisateurs » aurait du être pris en compte, ainsi que le fait que les utilisateurs des logiciels d’AVAST, qui cherchent à améliorer leur protection, ne s’attendent pas à voir leurs données partagées.

Concernant l’information communiquée aux utilisateurs, la société AVAST n’informait simplement pas ses utilisateurs, « même de manière générale », sur le fait que de tels transferts de données étaient effectués.

Une amende de CZK 350 millions (≃ 13 M€) a été prononcée contre AVAST SOFTWARE, soit 1,9 % de son chiffre d’affaires et 6 % de ses bénéfices annuels[1].

Lire :

Ma réaction à cette décision

La sanction infligée à AVAST est inhabituellement lourde, presque 2 % de son chiffre d’affaires et 6 % de ses bénéfices. Elle montre à quel point ce dossier est choquant et catastrophique pour la réputation d’AVAST.

La société AVAST est une société spécialisée dans la cybersécurité. Les personnes (ou entreprises) utilisent leurs produits, car elles espèrent obtenir une sécurité supplémentaire et parce qu’elles ont confiance dans la capacité de l’entreprise à les protéger contre les cyber-menaces. AVAST les a trahis en vendant leur historique de navigation. Les personnes qui payaient pour les produits et services d’AVAST, en espérant bénéficier d’un traitement particulier, sont doublement trahies, puisqu’en plus de faire confiance à une société, elles ont déboursé de l’argent pour un service qui leur a causé du tort.

On dit souvent que lorsque c’est gratuit, les utilisateurs sont le produit. AVAST démontre que, même en payant pour un service, les utilisateurs restent toujours le produit. L’avarice de leurs dirigeants était trop grande. Ils n’ont pas pu résister à la tentation de récolter un billet supplémentaire.

Suite aux révélations des échanges de données entre AVAST et JUMPSHOT, le CEO d’AVAST s’est publiquement exprimé :

« La mission principale d’Avast est d’assurer la sécurité des personnes dans le monde entier, et je suis conscient que les récentes nouvelles concernant Jumpshot ont blessé beaucoup d’entre vous, et ont soulevé à juste titre un certain nombre de questions - y compris la question fondamentale de la confiance.

En tant que PDG d’Avast, je me sens personnellement responsable et j’aimerais présenter mes excuses à toutes les personnes concernées.

La protection des personnes est la priorité absolue d’Avast et doit être intégrée dans tout ce que nous faisons dans notre entreprise et dans nos produits. Tout ce qui est contraire est inacceptable. »

Il a raison. Ce qu’a fait AVAST est inacceptable, d’autant plus que ce n’est pas qu’un simple faux-pas, car ce que j’ai volontairement omis de vous dire, pour le moment, est que cette société JUMPSHOT qui réceptionnait les données n’était pas une quelconque entreprise. Elle faisait partie du groupe AVAST et avait été créée en 2015 avec « l’idée d’étendre [leurs] capacités d’analyse de données au-delà de la sécurité de base ».

Il ne s’agissait donc pas d’une configuration hasardeuse suite à une erreur humaine. C’était prémédité. Une société dédiée a été créée depuis de nombreuses années pour tirer profit des données générées par les 435 millions clients d’AVAST. La société a tenté de minimiser ses actions en espérant convaincre l’autorité que les données étaient « anonymisées », mais personne n’est dupe. Les clients ne sont pas intéressés par des données anonymisées. Ils savaient très bien ce qu’ils faisaient. Ils pensaient seulement pouvoir passer entre les gouttes.

Le patron d’AVAST, dans son communiqué, a fini par indiquer que la société JUMPSHOT allait être fermée. Cela ne suffit pas. On ne peut pas pardonner de tels agissements, et ce n’est pas 13 M€ pour une société qui en génère 691 qui rétablira la confiance des utilisateurs envers la société.

Notes et références

  1. Le groupe AVAST a déclaré un chiffre d’affaires de 691 millions d’eruos en 2021 et un résultat de 218 millions d’euros (source : UOOU, Délibération).