La Federal Trade Commission (FTC) a ordonné à Avast de verser environ 15,3 millions de dollars de dommages et intérêts après avoir constaté que l’entreprise avait collecté et vendu les données de navigation des utilisateurs sans préavis ni consentement adéquats. Avast est une entreprise mondiale de cybersécurité reconnue pour ses logiciels antivirus et ses outils de sécurité grand public. La FTC a déclaré que l’entreprise avait trompé les utilisateurs en promouvant ses produits comme protégeant la vie privée tout en recueillant des informations détaillées sur l’activité en ligne.
Le programme de remboursement marque la dernière étape d’un règlement annoncé précédemment. Des paiements sont effectués à plus de 100 000 consommateurs éligibles ayant déposé des demandes valides. Les remboursements sont effectués par chèque, PayPal ou Zelle. Le règlement exige également qu’Avast cesse de vendre ou de licencier les données de navigation collectées via ses produits et d’introduire un programme complet de conformité à la vie privée.
Les régulateurs ont indiqué qu’Avast utilisait son antivirus et ses extensions de navigateur pour collecter les historiques de navigation, les requêtes de recherche, les métadonnées et les informations sur les appareils. Les données ont été transférées à une filiale qui les a vendues à des annonceurs et des courtiers en données. La FTC a indiqué que les utilisateurs n’avaient pas été correctement informés que leur activité serait suivie et que les informations collectées n’avaient pas été suffisamment anonymisées pour empêcher toute identification.
La FTC a soutenu que les allégations marketing concernant le blocage du suivi et la protection de la vie privée étaient trompeuses, car l’entreprise pratiquait le type de collecte de données que les utilisateurs cherchaient à éviter. Les régulateurs ont déclaré que ce comportement violait les normes de protection des consommateurs car les utilisateurs ne pouvaient pas donner leur consentement éclairé. Ils ont ajouté que l’ampleur de la distribution des données créait des risques, notamment la possibilité que des tiers associent les enregistrements de navigation à des individus spécifiques.
Le règlement exige qu’Avast supprime les données de navigation précédemment collectées et veille à ce que les produits futurs respectent les obligations de confidentialité. L’entreprise doit documenter la manière dont elle collecte, partage et stocke les informations utilisateurs, et doit soumettre régulièrement des rapports de conformité. Les régulateurs ont décrit cette affaire comme un exemple d’un contrôle accru des pratiques de gestion des données dans le secteur de la cybersécurité des consommateurs.
Les consommateurs qui pensent avoir été affectés sont invités à consulter les avis officiels de la FTC ou de l’administrateur des remboursements. Les responsables ont indiqué qu’aucun frais n’est exigé pour recevoir un paiement. Ils ont averti les utilisateurs de se méfier des messages frauduleux prétendant offrir une compensation mais demandant des informations personnelles ou financières.
Les spécialistes de la confidentialité ont déclaré que cette affaire souligne l’importance de revoir les termes de collecte des données avant d’installer un logiciel de sécurité. Ils ont indiqué que les outils gratuits ou à faible coût peuvent dépendre du partage des données pour générer des revenus, et que les déclarations de confidentialité peu claires devraient inciter à la prudence. Ils ont ajouté que les entreprises proposant des produits de sécurité doivent respecter des normes plus élevées car les utilisateurs leur font confiance pour protéger les informations sensibles.