Avast, célèbre éditeur d'anti-virus pour PC et pour Mac, revend à gros prix les données de ses utilisateurs, d'après une enquête de Motherboard et PCMag. Les clients de Jumpshot, une filiale d'Avast, paient des millions de dollars pour obtenir des informations très précises1 sur les habitudes de navigation internet des utilisateurs de l'éditeur ; parmi ces clients, on trouve Microsoft, Google, Yelp, Pepsi, Condé Nast et d'autres grands noms. Le coffre au trésor est bien plein : Avast compte plus de 435 millions d'utilisateurs actifs chaque mois, tandis que Jumpshot a accès aux données de plus de 100 millions d'appareils.
Ces données sont anonymisées, mais les informations qu'elles fournissent sur les utilisateurs peuvent permettre de les identifier. La collecte de Jumpshot passait d'abord par l'extension Avast pour navigateurs web, qui prévient l'internaute d'un site potentiellement dangereux. Depuis quelques temps, Avast a coupé ce robinet, assure l'éditeur. Mais cela ne signifie pas que le siphonnage se soit arrêté en si bon chemin.
C'est désormais depuis la version gratuite de l'anti-virus qu'Avast lève des données pour le compte de Jumpshot. Le logiciel demande l'autorisation à l'utilisateur de collecter des informations sur son compte : « Toutes les données basées sur la navigation web seront fournies à Jumpshot », explique un mémo interne, « quels URL ont été visitées par l'appareil, dans quel ordre et quand ? ». L'option, à retrouver dans les réglages de l'app, est en phase de déploiement et elle s'accompagne d'un panneau explicatif :
Avast assure que cette collecte de données répond au règlement général sur la protection des données (RGPD), ainsi que son équivalent californien. Les données sont expurgées de toutes informations permettant l'identification de l'utilisateur, martèle l'éditeur, « Jumpshot peut partager ces données agrégées avec ses clients », rappelle-t-il également. Voilà qui confirme si besoin était que quand c'est gratuit, c'est vous le produit.
-
Les deux sites ont eu entre les mains des données de recherche sur Google, des coordonnées GPS sur Google Maps, des infos de consultation de pages LinkedIn et YouTube, et des visites de sites porno. ↩
