La Federal Trade Commission (FTC), agence fédérale chargée notamment de l'application du droit de la consommation, vient de lancer des poursuites judiciaires à l’encontre de Kochava, une entreprise basée dans l’Idaho et spécialisée dans les données marketing. Il lui est reproché d’avoir partagé des données sensibles sur des catégories de personnes vulnérables.

Des données sensibles sur des personnes vulnérables

Comptant parmi ses clients des géants comme Disney, Hilton ou encore McDonald’s, Kochava a récemment publié publiquement des échantillons de données personnelles de consommateurs sur la place de marché d’Amazon Web Services, et a offert encore plus d’informations aux entreprises qui payaient. Selon la FTC, les données partagées et récoltées via smartphone, comme la géolocalisation, sont particulièrement sensibles et concernent des centaines de millions d’utilisateurs.

« Les données de Kochava peuvent révéler les visites des personnes dans les cliniques de santé reproductive, les lieux de culte, les refuges pour les sans-abri et les violences domestiques, ainsi que les centres de désintoxication. La FTC allègue qu'en vendant des données permettant de suivre des personnes, Kochava permet à d'autres d'identifier des individus et les expose à des menaces de stigmatisation, de harcèlement, de discrimination, de perte d'emploi et même de violence physique », écrit l’agence dans un communiqué de presse.

De son côté, Kochava assure que la FTC est de mauvaise foi et fait la sourde oreille. Ce lundi 29 août, elle a déclaré avoir passé les dernières semaines à essayer d'expliquer ses pratiques à l’agence, en expliquant être en train de déployer une nouvelle fonctionnalité appelée Privacy Block qui « supprime efficacement » les données de localisation sensibles du marché des données. Le directeur général de l'entreprise, Brian Cox, accuse la FTC de « communiqués de presse flamboyants et de litiges frivoles » et assure que Kochava respecte toutes les lois et réglementations en matière de confidentialité.

La FTC veut protéger les femmes ayant recours au droit à l’avortement

La FTC n’en démord toutefois pas et explique en quoi les pratiques de Kochava sont dangereuses pour certaines personnes : « Les données peuvent être utilisées pour identifier les consommateurs qui ont visité une clinique d'avortement et, par conséquent, peuvent avoir subi ou envisagé de subir un avortement. En fait, dans les seules données que Kochava a mises à disposition dans l'échantillon de données Kochava, il est possible d'identifier un appareil mobile qui a visité une clinique de santé reproductive pour femmes et de retracer cet appareil mobile jusqu'à une résidence unifamiliale. L'ensemble de données révèle également que le même appareil mobile était à un endroit particulier au moins trois soirs dans la même semaine, ce qui suggère la routine de l'utilisateur de l'appareil mobile. Les données peuvent également être utilisées pour identifier les professionnels de la santé qui pratiquent, ou aident à pratiquer, des services d'avortement ».

Depuis la décision de la Cour suprême des États-Unis d’abolir le droit à l’avortement, de nombreuses craintes voient le jour quant à l’utilisation des données personnelles, notamment de géolocalisation, des femmes pour les condamner si elles ont eu recours à une IVG. D’ailleurs, Google a pris la décision d'arrêter de sauvegarder, dans l’historique de géolocalisation, les visites dans des cliniques pratiquant l’avortement. « La protection des données sensibles des consommateurs, y compris les données de géolocalisation et de santé, est une priorité absolue pour la FTC », assure l’agence fédérale.

Un profond changement aux États-Unis ?

D’autres affaires similaires et menées par la FTC sont en cours, ce qui démontre le changement de cap de l’agence sous l’égide de Lina Khan. Cette dernière est en effet plus sévère pour ce qui relève de la protection des données, ce qui pourrait entraîner des changements importants dans le secteur des courtiers en données et même, plus globalement, dans celui de la publicité en ligne. En 2021 par exemple, l'agence a d’ailleurs pris des mesures contre l'application de fertilité Flo Health pour avoir partagé des données de santé sensibles avec des tiers.

Il faudra néanmoins attendre pour voir si l’agence parvient à ses fins, tant la législation à ce sujet peut être complexe. Le Wall Street Journal explique en effet que la loi fédérale prévoit des protections de la vie privée pour les informations médicales, mais de nouvelles catégories d'informations facilement accessibles et révélatrices des intérêts et des préoccupations des consommateurs en matière de santé, qui ne sont pas couvertes par la confidentialité médicale, ont émergé avec la démocratisation des appareils connectées comme les montres intelligentes. Pour protéger ces catégories d'informations, la FTC doit ainsi franchir des obstacles juridiques supplémentaires.