La Federal Trade Commission (FTC) des États-Unis a annoncé lundi avoir intenté une action en justice contre le courtier de données Kochava Inc. pour avoir vendu des données de géolocalisation à partir de « centaines de millions d’appareils mobiles », indique-t-elle, qui pourraient être utilisées pour retracer les mouvements d’individus, y compris ceux à destination et en provenance de lieux sensibles. Plus précisément, la FTC a déclaré que les données pourraient révéler les visites des gens dans des endroits comme les cliniques de santé reproductive, les refuges pour victimes de violence domestique ou pour sans-abri, les centres de désintoxication et les lieux de culte.
Ces informations personnelles et privées pourraient exposer les gens à « des menaces de stigmatisation, de harcèlement, de discrimination, de perte d’emploi et même de violence physique », a expliqué la FTC dans un communiqué de presse.
La poursuite vise à mettre fin aux pratiques de collecte de données de Kochava impliquant des données de géolocalisation sensibles et demandera à l’entreprise de supprimer les données qu’elle a déjà collectées.
Son arrivée signale en outre que la FTC sévit contre les courtiers en données mobiles dont les activités reposent sur la collecte et la revente de données à partir des smartphones des consommateurs – une pratique de longue date de l’industrie qui a de nombreuses implications en matière de confidentialité, mais qui est souvent inconnue des utilisateurs finaux qui sont touchés. Cette décision fait également suite à une refonte importante du suivi par Apple, qui a mis à jour son système d’exploitation mobile pour permettre aux consommateurs de se retirer de certaines pratiques de collecte de données sur une base par application.
Plus récemment, le US House Oversight Committee a commencé à enquêter sur la manière dont les pratiques commerciales des applications de suivi des règles et des courtiers en données pourraient potentiellement militariser les données de santé privées des consommateurs dans l’ère post-Roe v. Wade, a rapporté TechCrunch.
Kochava, basée dans l’Idaho, n’est pas un nom familier, mais a une empreinte importante dans l’industrie de la collecte de données. La société est un courtier de données de localisation qui fournit des données de géolocalisation précises à partir des smartphones des consommateurs et achète également des données auprès d’autres courtiers pour les revendre à des clients. Ces flux de données sont souvent utilisés par les clients qui souhaitent analyser des éléments tels que le trafic piétonnier dans les magasins locaux ou à d’autres endroits. Ces données elles-mêmes sont très précises – elles incluent des éléments tels que les coordonnées de latitude et de longitude horodatées indiquant l’emplacement exact des appareils mobiles, qui sont en outre associées à un identifiant unique, comme un ID d’appareil ainsi qu’à d’autres informations, comme une adresse IP, type d’appareil et plus.
Cet identifiant d’appareil, ou identifiant de publicité mobile, est un identifiant unique attribué à l’appareil mobile d’un consommateur pour aider les spécialistes du marketing qui souhaitent faire de la publicité auprès de l’utilisateur final. Bien que les consommateurs puissent réinitialiser cet identifiant à tout moment, ils doivent le savoir et comprendre où cette option est disponible dans les paramètres de leur appareil.
Selon la propre description de Kochava de son produit, citée par les plaintes de la FTC, la société offre aux clients « des données brutes de latitude/longitude avec des volumes d’environ 94 milliards de transactions géographiques par mois, 125 millions d’utilisateurs actifs mensuels et 35 millions d’utilisateurs actifs quotidiens, en moyenne observant plus de 90 transactions quotidiennes par appareil. Il vend ses flux de données sur la base d’un abonnement sur des sites accessibles au public, y compris sur AWS Marketplace jusqu’en juin 2022. Pour accéder au flux, un acheteur aurait besoin d’un compte AWS gratuit et de 25 000 $ pour l’abonnement au flux de données de localisation de Kochava. Un échantillon de données contenant plus de 327 millions de lignes et 11 colonnes de données relatives à plus de 61,8 millions d’appareils mobiles uniques était également disponible.
Ces données ne sont pas anonymisées, selon la FTC, et peuvent être utilisées pour identifier l’utilisateur ou le propriétaire de l’appareil mobile. Cela est possible car d’autres courtiers en données vendent spécifiquement des services qui fonctionnent pour faire correspondre ces identifiants de publicité mobile avec des informations hors ligne, telles que les noms et adresses physiques des consommateurs.
En plus de pouvoir suivre les consommateurs visitant des lieux sensibles, la FTC a noté que les données pourraient être utilisées pour faire des inférences sur l’identification LGBTQ+ d’un consommateur ou des visites dans d’autres établissements médicaux au-delà de ceux qui fournissent des soins de reproduction. Il pourrait également être utilisé pour lier cette activité à l’adresse personnelle de quelqu’un.
Et, à la lumière de l’annulation de Roe v. Wade, la FTC souligne que ces données pourraient être utilisées non seulement pour identifier les personnes visitant les cliniques de santé reproductive, mais également les professionnels de la santé qui effectuent ou aident à l’exécution des services d’avortement. C’était le sujet d’un récent rapport de Motherboard de VICE, mais il s’était concentré sur un autre courtier de données connu sous le nom de SafeGraph. Le courtier et Placer.ai ont accepté en juillet de cesser de vendre les données de localisation des personnes qui visitent les cliniques d’avortement après que le sénateur Warren et 13 autres sénateurs ont écrit aux entreprises pour demander des réponses sur leurs pratiques de collecte de données et leur ont demandé de cesser de vendre des données liées aux visites. aux cliniques d’avortement.
Le même mois, Google a déclaré qu’il supprimerait automatiquement l’historique de localisation des lieux « particulièrement personnels » des comptes des utilisateurs, y compris les cliniques d’avortement, les refuges, les centres de traitement de la toxicomanie et autres. Il a également conseillé à ses utilisateurs Fitbit de supprimer manuellement leurs journaux.
La FTC vise à poursuivre Kochava sur la base de nombreuses violations de la loi FTC, y compris celles impliquant la vente déloyale de données sensibles et le préjudice subi par les consommateurs. Il demande une injonction permanente pour empêcher de futures violations et toute réparation supplémentaire déterminée par le tribunal.
« Là où les consommateurs recherchent des soins de santé, reçoivent des conseils ou célèbrent leur foi, ce sont des informations privées qui ne devraient pas être vendues au plus offrant », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué. « La FTC poursuit Kochava en justice pour protéger la vie privée des personnes et mettre fin à la vente de leurs informations de géolocalisation sensibles. »
Le vote de la Commission autorisant le dépôt de la plainte contre Kochava était de 4 contre 1, le commissaire Noah Joshua Phillips étant le seul à voter non.
La nouvelle de cette dernière action n’est pas surprenante. L’agence avait averti les entreprises en juillet qu’elle prévoyait d’appliquer la loi sur l’utilisation et le partage illégaux de données sensibles sur les consommateurs et a déclaré ce mois-ci qu’elle explorait de nouvelles règles qui réprimeraient davantage les entreprises qui « collectent, analysent et profitent des informations sur les personnes ». .”
Cependant, ce n’est pas non plus la première mesure prise par la FTC qui cible directement une entreprise impliquée dans la collecte de données sensibles. L’année dernière, la FTC avait pris des mesures contre l’application de suivi de la fertilité Flo pour avoir partagé des données sensibles avec des tiers. L’application n’a pas reçu de sanction financière, mais était remarquable car c’était la première fois que le régulateur ordonnait un avis d’une action en matière de confidentialité de ce type.
Kochava a déclaré qu’il publiera sa déclaration à 14h30 HAE aujourd’hui. Nous mettrons alors à jour sa réponse. [See statement below]
« La récolte de nos comportements de localisation est devenue un moyen majeur pour les applications, les opérateurs de téléphonie mobile et d’autres sociétés d' »intelligence de localisation » de monétiser nos informations », a déclaré Jeff Chester, directeur exécutif du Center for Digital Democracy, défenseur des droits numériques et de la protection des consommateurs, dans un communiqué suivant l’annonce de la FTC. « La FTC affirme que les informations sur les lieux que nous visitons sont des données sensibles et ne peuvent pas être utilisées de la manière à laquelle l’entreprise de marketing de surveillance s’attend. Avec un vote bipartite soutenant le procès, l’action de la commission d’aujourd’hui démontre que la confidentialité est un problème clé pour les deux parties. Cela avertit l’industrie des données et des plateformes qu’elle a un sérieux combat à mener », a-t-il déclaré.
—
Kochava a publié la déclaration suivante :
Ce procès montre la triste réalité que la FTC a une incompréhension fondamentale des activités de marché de données de Kochava et d’autres entreprises de données. Kochava opère de manière cohérente et proactive dans le respect de toutes les règles et lois, y compris celles spécifiques à la confidentialité. Avant la procédure judiciaire, Kochava a pris l’initiative d’annoncer une nouvelle capacité à bloquer les données géographiques des emplacements sensibles via Privacy Block, supprimant efficacement ces données du marché des données, et est actuellement en cours de mise en œuvre pour ajouter cette fonctionnalité. En l’absence de spécificité de la FTC, nous surveillons constamment et ajustons de manière proactive notre technologie pour bloquer les données géographiques d’autres emplacements sensibles. Kochava obtient 100 % des données géographiques de notre marché de données auprès de courtiers en données tiers qui déclarent tous que les données proviennent de consommateurs consentants. Au cours des dernières semaines, Kochava a travaillé pour éduquer la FTC sur le rôle des données, le processus par lesquelles elles sont collectées et la manière dont elles sont utilisées dans la publicité numérique. Nous espérions avoir des conversations productives qui ont conduit à des solutions efficaces avec la FTC sur ces questions complexes et importantes et nous y sommes ouverts à l’avenir. Malheureusement, le seul résultat souhaité par la FTC était un règlement qui n’avait pas de termes ou de résolutions clairs et redéfinissait le problème en une cible mouvante. Les progrès réels pour améliorer la confidentialité des données pour les consommateurs ne seront pas atteints par des communiqués de presse flamboyants et des litiges frivoles. Il est décevant que l’agence continue de contourner le processus législatif et de perpétuer la désinformation concernant la confidentialité des données.