Vente de données de navigation : Avast se justifie avec de l'anonymisation et de l'agrégation - MàJ

Le par  |  11 commentaire(s)
avast-online-security

Par l'entremise de Jumshot qui est dans son giron, Avast procède bien à de la revente de données de navigation. Elles sont anonymisées et agrégées.

MàJ : Avast nous fait parvenir une déclaration officielle.

" La sécurité et la confidentialité de nos utilisateurs est la priorité absolue d'Avast et pour cette raison, nous avons mis en place des pratiques complètes de protection des données. Il y a eu des rapports récents selon lesquels nous avons récemment vendu des données personnelles identifiables à des tiers qui sont faux.

Pour que nos extensions de navigateur puissent faire leur travail de détection et de blocage des menaces, nous devons être en mesure de collecter des données URL. C'est ainsi que nos solutions antivirus et d'autres fonctionnent. Pour cela, nous n'avons pas besoin de données personnelles identifiables. Par conséquent et pour protéger la vie privée de nos utilisateurs, les données que nous recueillons sont dépouillées de toute information personnelle identifiable, ce qui signifie qu'elles sont stockées dans un format complètement anonymisé.

Nous partageons également ces données agrégées, statistiques avec notre société d'analyse marketing Jumpshot et nous avons été transparents avec nos clients et le marché à ce sujet depuis son lancement : https://blog.avast.com/2015/05/29/avast-data-drives-new-analytics-engine. Nous sommes à l'écoute des préoccupations, nous croyons en l'adoption de nouvelles pratiques selon les besoins et nous sommes en train de mettre en œuvre des changements pour nos extensions conformément à la nouvelle politique de confidentialité de Mozilla.

Nous nous efforçons de ne collecter que les données nécessaires à la prestation de nos services. Avast suit les meilleures pratiques de l'industrie conformes au RGPD (ndlr : Règlement général européen sur la protection des données) qui sont décrites dans sa politique de confidentialité. Nous avons également un portail sur la confidentialité où les clients de nos produits peuvent se connecter et vérifier quelles données personnelles nous détenons sur eux. "

-----

Avec la suppression par Mozilla de ses extensions Avast Online Security et Avast SafePrice pour Firefox, l'éditeur tchèque connu pour ses solutions de sécurité a fait parler de lui. Une suppression qui a également touché les extensions AVG Online Security et AVG SafePrice, sachant que AVG est dans le giron d'Avast.

Opera a pris des mesures similaires à Mozilla. Un retour des extensions est prévu avec des versions amendées et pour se conformer à des exigences en matière de transparence concernant la collecte de données.

firefox-add-ons-avast-online-security-suppression
L'alerte avait été donnée par Wladimir Palant, connu pour être le créateur de l'extension AdBlock Plus, qui avait pointé du doigt une large collecte de données sur les habitudes de navigation de l'utilisateur.

Wladimir Palant a également porté son attention sur la société Jumpshot acquise par Avast en 2013. Elle se présente désormais comme un spécialiste des informations sur le comportement des consommateurs en ligne avec un " panel mondial anonyme et en temps réel pour suivre cinq milliards d'actions par jour sur des dizaines de millions d'appareils. "

Jumpshot figure dans la politique de confidentialité d'Avast. Interrogé par Forbes, Ondrej Vlcek, le patron d'Avast, déclare qu'il n'y a " pas de scandale de confidentialité ici " et insiste sur l'anonymisation des données avant d'arriver sur les serveurs, puis pour l'analyse par Jumpshot.

" Jumpshot fournit un aperçu de la manière dont des cohortes d'internautes (ndlr : pour souligner l'agrégation) utilisent le Web. […] Les clients typiques (ndlr : de Jumpshot) seraient, par exemple, les investisseurs intéressés par la façon dont des entreprises en ligne se débrouillent avec leurs nouvelles campagnes. "

Même si le site de Jumpshot peut faire sourciller (" Des données de flux de clics incroyablement détaillées de 100 millions d'acheteurs en ligne et de 20 millions d'utilisateurs d'applications dans le monde ", peut-on lire), Ondrej Vlcek fait un parallèle avec des études dans le secteur de la santé en dégageant des tendances.

Il ajoute : " Nous n'autorisons absolument aucun annonceur ni aucun tiers à obtenir un quelconque accès via Avast ou à des données qui permettraient de cibler une personne spécifique. "

La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2085792
.
Avast pille nos identifiants et nos mots de passe !
.
Je ne pense pas que se soit son rôle.
.
Le #2085815
En même temps, quelle idée d'utiliser Avast...
Le #2085819
Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.
Le #2085843
sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.
Le #2085847
LinuxUser a écrit :

sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.


oui la revente ou contre rétribution car le but c est l argent comme avec google qui code youtube pour faire planter les navigateurs autre que chromes etc.....et vu la crédulité des utilisateurs informatique on est pas arrivé !
Le #2085866
LinuxUser a écrit :

sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.


"Beaucoup de services on besoin de récolter des données pour fonctionner."

Sincèrement, je ne comprend pas pourquoi, si tu pouvais me donner un exemple...

Quand aux EULA/CGU, non seulement on ne les lis jamais, mais pour les comprendre il faut être juriste !
Le #2085870
sansimportance a écrit :

LinuxUser a écrit :

sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.


"Beaucoup de services on besoin de récolter des données pour fonctionner."

Sincèrement, je ne comprend pas pourquoi, si tu pouvais me donner un exemple...

Quand aux EULA/CGU, non seulement on ne les lis jamais, mais pour les comprendre il faut être juriste !


Lis la réaction d'Avast qui confirme ce que je disais.

ta des applis qui permettent de profiter de reduction dans les magasins proches de toi, ton tel peut pas contenir toutes les promotions de tous les magasins du monde a un instant T, ta géolocalisation doit donc être remontée aux serveurs de l'éditeur.

Pour avast c'est pareil, il doit remonter quelle page tu visites pour te dire si cest ok ou pas.
Il peuvent potentiellement analyser les pages rapidement, comme ca si ils detectent un truc louche, ca remonte au serveur, pour que cette page soit analysée plus en profondeur.
Lorsque d'autres utilisateurs se connectent a cette même page, cette info remonte sur les serveurs, comme la page a été analysée avant et detectée comme vérolée, le plugin est informé qu'il doit bloquer.
Ainsi chaque utilisateur profite de la navigation des autres.

Il y a énormément de services qui doivent remonter des données, sinon le service ne pourrait pas être fourni, la plupart des services fonctionnent comme ca aujourd'hui, c'est pas un choix, c'est un prerequis technique.

Tu peux ne pas vouloir que des données soient remontés, et je le comprend tout à fait, mais la seule solution envisageable dans ce cas est de ne pas utiliser le service.

Dans ce cas, ce qui n'est pas normal, c'est qu'ils partagent les données (même anonymisées), mais comme c'est indiqué dans leur conditions, on ne peux rien leur dire.

ET oui je suis d'accord il semble que les EULA/CGU soient les plus obscures possible afin d'habituer les utilisateurs a ne pas les lire, ce qui est assez malhonnête mais légalement correct, malheureusement c'est un standard.


Le #2085876
''Avast avoue faire 5% de son chiffre d’affaires sur la vente de vos données''

Un secret de Polichinelle a grande échelle !! Je n'ai pas cesser d'utiliser CCleaner pour rien...

https://www.lebigdata.fr/avast-chiffre-affaires-vente-donnees

https://www.usine-digitale.fr/article/avast-a-vendu-les-donnees-de-navigation-de-plusieurs-millions-de-ses-utilisateurs-via-sa-filiale-jumpshot.N912304
Le #2085887
LinuxUser a écrit :

sansimportance a écrit :

LinuxUser a écrit :

sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.


"Beaucoup de services on besoin de récolter des données pour fonctionner."

Sincèrement, je ne comprend pas pourquoi, si tu pouvais me donner un exemple...

Quand aux EULA/CGU, non seulement on ne les lis jamais, mais pour les comprendre il faut être juriste !


Lis la réaction d'Avast qui confirme ce que je disais.

ta des applis qui permettent de profiter de reduction dans les magasins proches de toi, ton tel peut pas contenir toutes les promotions de tous les magasins du monde a un instant T, ta géolocalisation doit donc être remontée aux serveurs de l'éditeur.

Pour avast c'est pareil, il doit remonter quelle page tu visites pour te dire si cest ok ou pas.
Il peuvent potentiellement analyser les pages rapidement, comme ca si ils detectent un truc louche, ca remonte au serveur, pour que cette page soit analysée plus en profondeur.
Lorsque d'autres utilisateurs se connectent a cette même page, cette info remonte sur les serveurs, comme la page a été analysée avant et detectée comme vérolée, le plugin est informé qu'il doit bloquer.
Ainsi chaque utilisateur profite de la navigation des autres.

Il y a énormément de services qui doivent remonter des données, sinon le service ne pourrait pas être fourni, la plupart des services fonctionnent comme ca aujourd'hui, c'est pas un choix, c'est un prerequis technique.

Tu peux ne pas vouloir que des données soient remontés, et je le comprend tout à fait, mais la seule solution envisageable dans ce cas est de ne pas utiliser le service.

Dans ce cas, ce qui n'est pas normal, c'est qu'ils partagent les données (même anonymisées), mais comme c'est indiqué dans leur conditions, on ne peux rien leur dire.

ET oui je suis d'accord il semble que les EULA/CGU soient les plus obscures possible afin d'habituer les utilisateurs a ne pas les lire, ce qui est assez malhonnête mais légalement correct, malheureusement c'est un standard.


OK, merci, j'ai compris.
Reste que selon les liens de Narcos les données ne sont pas réellement anonymisées (merci narcos)

Quand aux EULA/CGU bien que "légal" je ne suis pas sur du tout qu'il soit précisé en clair (et sans besoin d'un juriste) qu'utiliser Avast, permet, à ceux à qui ils revendent les données, de tout savoir sur toi (extrait de https://www.lebigdata.fr/donnees-anonymisees-etude : ...à partir de n’importe quel ensemble de données contenant au moins 15 attributs démographiques tels que l’âge, le genre ou le statut marital...)

C'est grosso modo ce que je reproche aux législateurs : ils sont laaarrrggeement à la traîne et le monde de l'informatique va très très vite.
Le #2085893
sansimportance a écrit :

LinuxUser a écrit :

sansimportance a écrit :

LinuxUser a écrit :

sansimportance a écrit :

Anonymisées ou pas c'est de la collecte ET de la revente de données personnelles sans le consentement des utilisateurs !!!

Quel qu’en soit la raison il est devrait être TOTALEMENT interdit de collecter la moindre données sans le consentement EXPLICITE de l'utilisateur, et pas avec des phrases super alambiquées (lire totalement incompréhensible rédigées par des juristes) mais avec des mots clairs et succincts.

Quand est-ce que la CNIL va réagir et OBLIGER le changement de la loi pour ça ?

"La revente de données d'utilisateurs (et donc anonymisées et agrégées) représenterait tout de même 5 % du chiffre d'affaires global du groupe."
Donc une amende de 10% du CA me semblerait justifié !

"Pour vivre heureux, vivons cachés", ça ne veut pas dire qu'on ne peux plus utiliser le net.


Oui et non.

Beaucoup de services on besoin de récolter des données pour fonctionner.
Généralement le type de données récoltées est indiqué (dans le EULA/CGU que personne ne lit).
On ne peut donc pas l'interdire, ca équivaudrait à interdire le logiciel.

Ce qu'il faut interdire, c'est la revente, ou même le partage a une autre entité.


"Beaucoup de services on besoin de récolter des données pour fonctionner."

Sincèrement, je ne comprend pas pourquoi, si tu pouvais me donner un exemple...

Quand aux EULA/CGU, non seulement on ne les lis jamais, mais pour les comprendre il faut être juriste !


Lis la réaction d'Avast qui confirme ce que je disais.

ta des applis qui permettent de profiter de reduction dans les magasins proches de toi, ton tel peut pas contenir toutes les promotions de tous les magasins du monde a un instant T, ta géolocalisation doit donc être remontée aux serveurs de l'éditeur.

Pour avast c'est pareil, il doit remonter quelle page tu visites pour te dire si cest ok ou pas.
Il peuvent potentiellement analyser les pages rapidement, comme ca si ils detectent un truc louche, ca remonte au serveur, pour que cette page soit analysée plus en profondeur.
Lorsque d'autres utilisateurs se connectent a cette même page, cette info remonte sur les serveurs, comme la page a été analysée avant et detectée comme vérolée, le plugin est informé qu'il doit bloquer.
Ainsi chaque utilisateur profite de la navigation des autres.

Il y a énormément de services qui doivent remonter des données, sinon le service ne pourrait pas être fourni, la plupart des services fonctionnent comme ca aujourd'hui, c'est pas un choix, c'est un prerequis technique.

Tu peux ne pas vouloir que des données soient remontés, et je le comprend tout à fait, mais la seule solution envisageable dans ce cas est de ne pas utiliser le service.

Dans ce cas, ce qui n'est pas normal, c'est qu'ils partagent les données (même anonymisées), mais comme c'est indiqué dans leur conditions, on ne peux rien leur dire.

ET oui je suis d'accord il semble que les EULA/CGU soient les plus obscures possible afin d'habituer les utilisateurs a ne pas les lire, ce qui est assez malhonnête mais légalement correct, malheureusement c'est un standard.


OK, merci, j'ai compris.
Reste que selon les liens de Narcos les données ne sont pas réellement anonymisées (merci narcos)

Quand aux EULA/CGU bien que "légal" je ne suis pas sur du tout qu'il soit précisé en clair (et sans besoin d'un juriste) qu'utiliser Avast, permet, à ceux à qui ils revendent les données, de tout savoir sur toi (extrait de https://www.lebigdata.fr/donnees-anonymisees-etude : ...à partir de n’importe quel ensemble de données contenant au moins 15 attributs démographiques tels que l’âge, le genre ou le statut marital...)

C'est grosso modo ce que je reproche aux législateurs : ils sont laaarrrggeement à la traîne et le monde de l'informatique va très très vite.


Il a été prouvé que l'anonymisation des données est une chimère.
Tu peut désanonymiser des données si tu as assez d'infos.
Donc l'anonymisation n'est pas une garantie de quoique ce soit, c'est l'une des raisons pour lesquelles ils ne devraient pas partager.

https://www.developpez.com/actu/280714/L-anonymat-en-ligne-les-donnees-anonymisees-peuvent-etre-reconstituees-a-l-aide-de-l-apprentissage-automatique-selon-les-resultats-d-une-etude/

EDIT: a priori la source est la même que Narcos

Ils doivent préciser quelles données sont remontées et pourquoi.
Qu'il soit possible de les désanonymiser n'est pas une information dont la mention est requise, mais force est de constater que oui, c'est possible.

L'utilisateur doit comprendre que:
- dès que des données sont remontées, la vie privée est compromise, qu'elle soit anonymisées ou pas ne compte pas
- si les données sont indispensables pour faire fonctionenr le service, la seule solution est de se passer du service

Ensuite a eux de voir si le service rendu vaux le coup (mais la notre choix est biaisé parce que "des données" c'est vague, donc l'utilisateur s'en fous... par contre quand on voit des gens y accèder pour de vrai, la de suite il y a une prise de conscience)

Voir cet exemple (séquence de 47 à 56mn):

https://youtu.be/djbwzEIv7gE?t=2836
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme