Avast et nos données personnelles : avait-on mal lu les conditions ?

Clément Bohic,
avast-vie-privee

Avast se défend de toute atteinte à la vie privée avec ses extensions pour navigateurs, pointées du doigt pour leurs collectes de données.

Vie privée : vers un « scandale Avast » ? Ondrej Vlcek balaye l’idée.

Le nouveau patron de l’éditeur antivirus tchèque s’est confié à Forbes.

Il est revenu sur les accusations auxquelles l’entreprise fait face depuis la semaine dernière.

Au cœur du débat, les extensions Avast Online Security et SafePrice, également proposées sous la marque AVG.

Mozilla et Opera les ont retirées de leurs navigateurs respectifs, les suspectant de collecter trop de données.

À l’origine, une alerte de Wladimir Palant, l’un des créateurs du bloqueur de publicités Adblock Plus.
D’après lui, les extensions en question collectent assez d’éléments pour permettre de reconstituer les historiques de navigation des utilisateurs.

La question Jumpshot

Dans sa version actuelle, la politique de confidentialité d’Avast ouvre grand la porte à de telles collectes. L’éditeur invoque, entre autres, un « intérêt légitime ». Que ce soit pour la vente de produits complémentaires, le développement de ses services, la sécurisation de son offre ou encore la diffusion de publicité ciblée.

Avast n’est pas tant incriminé pour ces motifs que pour le partenariat en place avec sa filiale Jumpshot (acquise en 2013 ; il en possède aujourd’hui 65 %).

Cette entreprise propose des outils d’analyse de tendances qu’elle dit fondés sur des informations relatives à « 100 millions d’acheteurs en ligne ».
« Analysez […] ce que les utilisateurs ont recherché, comment ils ont interagi avec une marque ou un produit, ce qu’ils ont acheté […] », avance-t-elle sur son site web.

La politique de confidentialité d’Avast ne contient de référence explicite à ce partenariat que depuis la deuxième quinzaine du mois d’août 2019.
On parle là de la version applicable aux États-Unis. Celle en vigueur en France ne comporte pas encore ladite référence. Il est simplement précisé que son contenu s’applique à toutes les filiales d’Avast, dont Jumpshot.

Un business à 20 millions ?

Comment Avast présente-t-il le partenariat ? Officiellement, il s’agit d’exploiter des données relatives au lieu d’utilisation de ses produits et services. Codes postaux et fuseaux horaires en sont des exemples. Mais Jumpshot reçoit aussi des informations sur les sites visités.

Tout ce qui pourrait permettre d’identifier des utilisateurs est supprimé, peut-on lire.

Ondrej Vlcek insiste sur ce point : les données sont anonymes.
Le dirigeant fait le parallèle avec les données de santé utilisées pour créer des études de cas. Et donne l’exemple d’une équipe marketing qui pourrait ainsi mesurer la performance d’une campagne.
Il reconnaît que l’activité incriminée rapporte à Avast environ 5 % de son chiffre d’affaires. Soit potentiellement plus de 20 millions de dollars en 2019, si on se base sur les revenus du 1er semestre.

La politique de confidentialité est plus claire eu égard à SafePrice.

« Les informations relatives à certaines boutiques ou produits, les URL, le GUID d’installation, l’horodatage de l’offre, l’achat, le nom et le numéro du produit, le nom du commerçant, les liens produits, les prix et les catégories d’articles achetés, la localisation au niveau du pays seront collectées ou nous seront transférées ».

Photo d’illustration © avast