Avast est dans la tourmente, le célèbre antivirus gratuit est accusé de collecter et vendre les données personnelles de ses utilisateurs. L’éditeur tchèque les revendrait à Google, Microsoft ou encore L’Oréal.
Le débat sur l’efficacité des antivirus (gratuits) a longtemps animé les forums et sections commentaires des sites web. L’arrivée du smartphone et la présence d’un antivirus dans Windows 10 ont relégué ce sujet au second plan, mais cette question revient régulièrement. Parmi les références du marché, Avast s’est forgé une solide réputation dans les années 2000 avec sa version gratuite et son incontournable « la base virale VPS a été mise à jour ». Pourtant, ce n’est pas cette phrase culte, mais une vive controverse qui fait aujourd’hui sursauter les utilisateurs du célèbre antivirus tchèque.
Une enquête menée conjointement par Motherboard (Vice) et PCMag met en lumière les pratiques discutables de l’entreprise. Elle révèle que l’antivirus ne se contente pas de protéger les ordinateurs et collecte de nombreuses données sur ses utilisateurs. Ce modèle économique n’est pas nouveau et se retrouve régulièrement avec des produits gratuits, notamment sur nos smartphones. La CNIL évoquait récemment le succès des applications de jeux gratuites qui se montrent parfois gourmandes en données. L’antivirus Avast a appliqué ce modèle avec sa solution gratuite et n’hésite pas à revendre les données personnelles collectées via sa filiale Jumpshot. Cette dernière, spécialisée dans le marketing, se charge ensuite de les proposer à des grandes entreprises dans le monde.
Quand c’est gratuit…
Parmi les clients, les noms de Google, Microsoft, Pepsi ou L’Oréal ont circulé. Sephora – un temps associé à cette liste – a démenti avoir eu recours aux données de Jumpshot, une filiale qui se vante sur les réseaux sociaux de pouvoir suivre « chaque recherche, chaque clic, chaque achat » sur tous les sites. Avec ses 435 millions d’utilisateurs, Avast fait figure de poids lourd du secteur et sa filiale assure disposer de données provenant de 100 millions d’appareils, y compris des PC et smartphones.
Un argument de taille pour séduire les clients, et les documents consultés par Motherboard et PCMag démontrent que le groupe tchèque peut récolter des données extrêmement précises. Ainsi, Avast peut collecter des informations telles que les recherches Google, de lieux et coordonnées GPS sur Google Maps, les recherches sur YouTube ou encore la date et l’heure auxquelles un utilisateur s’est rendu sur un site pornographique. Dans certains cas, le terme recherché ou la vidéo consultée sur un site réservé aux adultes pouvaient être analysés.
Les médias américains notent que les données n’incluent pas d’informations personnelles comme le nom de l’utilisateur. Néanmoins, la quantité d’informations recueillies et la possibilité de les associer pourraient permettre d’identifier un individu. « Avast recueille l’historique de navigation des utilisateurs sous prétexte que les données ont été « anonymisées », protégeant ainsi votre vie privée. Mais les données, qui sont vendues à des tiers, peuvent être reliées à la véritable identité des utilisateurs, exposant chaque clic et chaque recherche qu’ils ont effectués », explique PCMag.
Dans la tourmente, Avast se défend
En décembre, Avast était déjà au cœur d’une polémique concernant sa gestion personnelle. Cette dernière avait d’ailleurs poussé les navigateurs Mozilla et Opera à supprimer les extensions Avast de leurs boutiques d’extension. Face à cette nouvelle affaire, l’éditeur a exercé son droit de réponse pour confirmer que des mesures ont été prises. La firme revient également sur la mise en place d’un « choix explicite d’acception ou de refus ». Si la firme se veut rassurante, elle confirme que des mesures ont dû être prises concernant ses extensions pour les navigateurs. Elle confirme également qu’elle n’utilise plus les données collectées par ces extensions avec sa filiale Jumpshot. Cette affaire rappelle que de nombreuses données sont collectées et qu’elles peuvent valoir de l’or. L’éditeur tchèque évoque l’entrée en vigueur du RGPD qui encadre le traitement des données personnelles, mettant notamment en avant le consentement explicite de l’utilisateur.
Voici la réponse d’Avast dans son intégralité :
« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.
Nous veillons à ce que Jumpshot n’acquière pas d’informations d’identification personnelle, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.
Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.
Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité. »