La démission d’un prêtre après la fuite des données de localisation de son téléphone montre le besoin urgent de lois sur la confidentialité des données

L’un des pires scénarios pour l’industrie des données de localisation à peine réglementée et secrète est devenu réalité : des données d’applications de rencontres gay prétendument anonymes ont apparemment été vendues et liées à un prêtre catholique, qui a ensuite démissionné de son emploi.

Il montre comment, malgré les assurances fréquentes des développeurs d’applications et des courtiers en données que les données qu’ils collectent sont « anonymisées » pour protéger la vie privée des personnes, ces données peuvent tomber et tombent entre de mauvaises mains. Cela peut alors avoir des conséquences désastreuses pour les utilisateurs qui n’avaient peut-être aucune idée que leurs données étaient collectées et vendues en premier lieu. Cela montre également la nécessité de véritables réglementations sur l’industrie des courtiers de données qui en sait tellement sur tant de choses mais qui est redevable à si peu de lois.

Voici ce qui s’est passé : un média catholique appelé Pillar a obtenu en quelque sorte des « signaux de données d’application de l’application de connexion basée sur la localisation Grindr ». Il l’a utilisé pour suivre un téléphone appartenant ou utilisé par Mgr Jeffrey Burrill, qui était un cadre exécutif de la Conférence des évêques catholiques des États-Unis. Burrill a démissionné de son poste peu de temps avant que le Pillar ne publie son enquête.

Il y a encore beaucoup de choses que nous ne savons pas ici, y compris la source des données du Pilier. Le rapport, qui présente l’utilisation apparente par Burrill d’une application de rencontres gay comme une « inconduite sexuelle en série » et associe à tort l’homosexualité et l’utilisation d’applications de rencontres à la pédophilie, indique simplement qu’il s’agissait de « données de signal d’application disponibles dans le commerce » obtenues auprès de « fournisseurs de données ». Nous ne savons pas qui sont ces fournisseurs, ni les circonstances entourant l’achat de ces données. Quoi qu’il en soit, il était assez accablant que Burrill ait quitté son poste à ce sujet, et le pilier dit qu’il est possible que Burrill soit également confronté à une «discipline canonique».

Ce que nous savons, c’est que les applications de rencontres sont une riche source d’informations personnelles et sensibles sur leurs utilisateurs, et ces utilisateurs savent rarement comment ces données sont utilisées, qui peut y accéder et comment ces tiers utilisent ces données ou qui d’autre ils le vendre ou le partager avec. Ces données sont généralement censées être « anonymisées » ou « anonymisées » – c’est ainsi que les applications et les courtiers en données prétendent respecter la confidentialité – mais il peut être assez facile de réidentifier ces données, comme l’ont montré plusieurs enquêtes, et comme les experts et les défenseurs de la protection de la vie privée ont mis en garde pendant des années. Considérant que les données peuvent être utilisées pour ruiner ou même mettre fin à votre vie – être gay est passible de la peine de mort dans certains pays – les conséquences d’une mauvaise gestion sont aussi graves que possible.

« Les dommages causés par le suivi de localisation sont réels et peuvent avoir un impact durable dans le futur », a déclaré à Recode Sean O’Brien, chercheur principal au Digital Security Lab d’ExpressVPN. « Il n’y a pas de surveillance significative de la surveillance des smartphones, et l’abus de la vie privée que nous avons vu dans ce cas est rendu possible par une industrie rentable et en plein essor. »

Pour sa part, Grindr a déclaré au Washington Post qu’« il n’y a absolument aucune preuve à l’appui des allégations de collecte ou d’utilisation inappropriée de données liées à l’application Grindr comme prétendu » et qu’elle était « infaisable d’un point de vue technique et incroyablement improbable ».

Pourtant, Grindr a eu des ennuis pour des problèmes de confidentialité dans un passé récent. Le groupe de défense de l’Internet Mozilla l’a qualifié de « vie privée non incluse » dans son examen des applications de rencontres. Grindr a été condamné à une amende de près de 12 millions de dollars plus tôt cette année par l’Autorité norvégienne de protection des données pour avoir fourni des informations sur ses utilisateurs à plusieurs sociétés de publicité, y compris leurs emplacements précis et leurs codes de suivi des utilisateurs. Cela est intervenu après qu’une organisation à but non lucratif appelée Conseil norvégien des consommateurs a découvert en 2020 que Grindr avait envoyé des données d’utilisateur à plus d’une douzaine d’autres entreprises, et après qu’une enquête de BuzzFeed News en 2018 a révélé que Grindr partageait les statuts VIH, les emplacements, les adresses e-mail et les identifiants de téléphone des utilisateurs. avec deux autres sociétés.

Bien qu’on ne sache pas comment les données de Burrill ont été obtenues auprès de Grindr (en supposant, encore une fois, que le rapport de Pillar est véridique), les développeurs d’applications envoient généralement des données de localisation à des tiers via des kits de développement logiciel, ou SDK, qui sont des outils qui ajoutent des fonctions à leurs applications ou diffuser des annonces. Les SDK envoient ensuite les données utilisateur de l’application aux entreprises qui les fabriquent. À titre d’exemple, c’est ainsi que le courtier de données X-Mode a pu obtenir des données de localisation de millions d’utilisateurs sur des centaines d’applications, qu’il a ensuite transmises à un entrepreneur de la défense, qui les a ensuite transmises à l’armée américaine – ce qui est loin d’être le seul agence gouvernementale fournissant des données de localisation de cette façon.

Grindr n’a pas répondu à une demande de commentaire de Recode demandant des détails sur les entreprises ou les tiers auxquels il a partagé ou envoyé les données des utilisateurs, ou les SDK qu’il utilise dans son application. Mais il indique dans sa propre politique de confidentialité qu’il a partagé l’âge, le sexe et l’emplacement des utilisateurs avec les annonceurs jusqu’en avril 2020. The Pillar a déclaré que ses données sur Burrill vont de 2018 à 2020.

Les entreprises vendent ces données facilement car la chaîne d’approvisionnement des données est opaque et la pratique est à peine réglementée, notamment aux États-Unis. L’amende de 12 millions de dollars infligée par la Norvège était due au fait que Grindr avait enfreint le règlement général sur la protection des données de l’Union européenne, ou RGPD. Les États-Unis n’ont toujours pas de loi fédérale équivalente sur la protection de la vie privée, donc Grindr n’a peut-être rien fait de mal légalement ici, à moins qu’il n’ait menti aux consommateurs au sujet de ses pratiques en matière de confidentialité (à ce moment-là, il peut être soumis à des sanctions de la Federal Trade Commission, comme ils sont).

« Les experts ont averti pendant des années que les données collectées par les sociétés de publicité à partir des téléphones des Américains pourraient être utilisées pour les suivre et révéler les détails les plus personnels de leur vie », a déclaré le sénateur Ron Wyden (D-OR), qui a fait pression pour des réglementations sur la protection de la vie privée. l’industrie des données de localisation, a déclaré dans la déclaration à Recode. « Malheureusement, ils avaient raison. Les courtiers en données et les sociétés de publicité ont menti au public, l’assurant que les informations qu’ils ont recueillies étaient anonymes. Comme le montre cet horrible épisode, ces affirmations étaient fausses – les individus peuvent être suivis et identifiés. »

En l’absence de lois, les entreprises pourraient s’autoréglementer pour mieux protéger la vie privée des utilisateurs. Mais sans que rien ne l’oblige à le faire – et dans un environnement où toute transgression est difficile à identifier et à suivre – l’utilisateur doit simplement espérer le meilleur. Les magasins d’applications comme Apple et Google Play interdisent la vente de données de localisation dans leurs conditions de service, mais nous savons que certaines entreprises le font quand même. Si Apple ou Google découvre que les applications enfreignent ces règles, ils peuvent les interdire de leurs magasins. Mais cela n’aide pas les personnes dont les données ont déjà été collectées, partagées ou vendues.

Alors que peux-tu faire? Si vous utilisez Grindr et que vous souhaitez minimiser ou restreindre les données que vous avez pu fournir à l’application, sa politique de confidentialité contient des détails sur la façon de se retirer des services publicitaires et de supprimer votre compte. Ensuite, vous devez avoir confiance que Grindr suivra … tout comme vous deviez croire que Grindr protégerait vos données en premier lieu.

Vous pouvez également défendre les lois sur la protection de la vie privée qui interdisent ces pratiques, en contactant vos représentants locaux et fédéraux. 2021 a vu l’adoption de deux lois sur la protection de la vie privée au niveau des États (Virginie et Colorado), mais nous attendons toujours une loi fédérale. Bien que les démocrates aient la présidence, la Chambre et le Sénat (à peine, et toujours pas assez sans réforme de l’obstruction systématique), ils n’ont encore avancé aucun des projets de loi sur la protection de la vie privée proposés – et l’année est terminée à plus de la moitié.

Le simple fait est que les données que vous fournissez aux applications alimentent une économie massive d’une valeur de centaines de milliards de dollars, ce qui représente des centaines de milliards de raisons pour qu’elles ne changent pas, jusqu’à ce qu’elles y soient forcées.

« La FTC doit intensifier et protéger les Américains contre ces violations scandaleuses de la vie privée, et le Congrès doit adopter une législation fédérale complète sur la protection de la vie privée », a déclaré Wyden.

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.

Comments