Qu'est-ce que cela signifie lorsqu'une entreprise dit : « Nous ne vendons pas vos données » ?

Vous avez probablement déjà rencontré cette affirmation de géants de la technologie : "Nous ne vendons pas vos données personnelles."

Entreprises de Facebook à Google à Twitter répète les versions de cette déclaration dans ses politiques de confidentialité, ses déclarations publiques et le témoignage du Congrès. Et lorsqu'elle est prise très littéralement, la promesse est vraie : malgré la collecte de masses de données personnelles sur leurs utilisateurs et la conversion de ces données en milliards de dollars de bénéfices, ces géants de la technologie ne vendent pas directement les informations de leurs utilisateurs de la même manière les courtiers en données. vendent directement des données en vrac aux annonceurs.

Mais les avertissements sont également une distraction de toutes les autres façons dont les géants de la technologie utilisent les données personnelles à des fins lucratives et, ce faisant, mettent en danger la vie privée des utilisateurs, selon les experts.[19659002]Les législateursles organisations de surveillance et les défenseurs de la vie privée ont tous indiqué des moyens par lesquels les annonceurs peuvent toujours payer pour accéder aux données d'entreprises comme Facebook, Google et Twitter sans l'acheter directement. (Le porte-parole de Facebook, Emil Vazquez, a refusé de commenter et la porte-parole de Twitter, Laura Pacas, nous a renvoyés à la politique de confidentialité de Twitter. Google n'a pas répondu aux demandes de commentaires.)

Et se concentrer sur le terme « vendre » est essentiellement un tour de passe-passe des géants de la technologie , a déclaré Ari Ezra Waldman, professeur de droit et d'informatique à l'Université Northeastern.

« [Their] dire qu'ils ne vendent pas de données à des tiers, c'est comme une entreprise de yaourts disant qu'ils sont sans gluten. Le yaourt est naturellement sans gluten », a déclaré Waldman. « C'est une mauvaise direction par rapport à toutes les autres manières qui peuvent être plus subtiles mais qui restent des invasions profondes et profondes de la vie privée. »

Ces autres méthodes incluent tout, des données collectées à partir des flux d'enchères en temps réel (nous en parlerons plus tard), à publicités ciblées dirigeant le trafic vers des sites Web qui collectent des données, vers des entreprises utilisant les données en interne.

Comment mes données sont-elles menacées si elles ne sont pas vendues ?

Même si des entreprises comme Facebook et Google ne vendent pas directement vos données, elles les utilisent pour des publicités ciblées, ce qui crée de nombreuses opportunités pour les annonceurs de payer et d'obtenir vos informations personnelles en retour.

Le moyen le plus simple est de via une annonce qui renvoie à un site Web avec ses propres trackers intégrés, qui peuvent recueillir des informations sur les visiteurs, y compris leur adresse IP et leurs identifiants d'appareil. t divulguer qu'en cliquant sur ces publicités, un site Web collecte souvent des données personnelles. En d'autres termes, vous pouvez facilement donner vos informations aux entreprises qui ont payé pour obtenir une annonce devant vous.

Si l'annonce cible un certain groupe démographique, les annonceurs pourraient également déduire des informations personnelles sur les visiteurs. qui est venu de cette annonce, a déclaré Bennett Cyphers, un technicien de l'Electronic Frontier Foundation. Facebook pense qu'il attend un enfant. Une fois qu'une personne clique sur ce lien, le site Web peut collecter des identifiants d'appareil et une adresse IP, qui peuvent être utilisés pour identifier une personne. Des informations personnelles telles que « parent éventuel » pourraient être associées à cette adresse IP.

« Vous pouvez dire : « Hey, Google, je veux une liste de personnes âgées de 18 à 35 ans qui ont regardé le Super Bowl l'année dernière. Je ne vous donnerai pas cette liste, mais ils vous permettront de diffuser des publicités à toutes ces personnes », a déclaré Cyphers. « Certaines de ces personnes cliqueront sur ces publicités et vous pourrez facilement déterminer qui sont ces personnes. Vous pouvez acheter des données, dans un sens, de cette façon. »

Ensuite, il y a la manière compliquée mais beaucoup plus courante dont les annonceurs peuvent payer pour des données sans que cela soit considéré comme une vente, via un processus connu sous le nom « d'enchères en temps réel ».

Souvent, lorsqu'une annonce apparaît sur votre écran, elle n'était pas déjà là en attendant que vous vous présentiez. Les enchères numériques se déroulent quelques millisecondes avant le chargement des annonces, où les sites Web vendent des biens immobiliers à l'écran au plus offrant dans le cadre d'un processus automatisé.

La visite d'une page lance un processus d'enchères où des centaines d'annonceurs reçoivent simultanément des données telles qu'une adresse IP. , un identifiant d'appareil, les centres d'intérêt, les données démographiques et l'emplacement du visiteur. Les annonceurs utilisent ces données pour déterminer combien ils aimeraient payer pour montrer une annonce à ce visiteur, mais même s'ils ne font pas l'enchère gagnante, ils ont déjà capturé ce qui peut être beaucoup d'informations personnelles .

Avec les annonces Google, par exemple, Google Ad Exchange envoie des données associées à votre compte Google pendant ce processus d'enchères publicitaires, qui peuvent inclure des informations telles que votre âge, votre emplacement et vos centres d'intérêt.

Les annonceurs ne paient pas pour ces données en soi ; ils paient pour le droit d'afficher une publicité sur une page que vous avez visitée. Mais ils obtiennent toujours les données dans le cadre du processus d'appel d'offres, et certains annonceurs compilent ces informations et les vendent, ont déclaré des défenseurs de la vie privée.

En mai, un groupe d'utilisateurs de Google a déposé une action collective fédérale contre Google devant le tribunal de district des États-Unis pour le district nord de Californie, alléguant que l'entreprise viole ses prétentions de ne pas vendre d'informations personnelles en exploitant son service d'enchères en temps réel.

Le procès fait valoir que même si Google ne remettait pas directement vos données personnelles en échange d'argent, ses services de publicité ont permis à des centaines de tiers de payer et d'avoir accès à des informations sur des millions de personnes. L'affaire est en cours.

"Nous ne vendons jamais les informations personnelles des gens et nous avons des politiques strictes interdisant spécifiquement les publicités personnalisées basées sur des catégories sensibles", a déclaré le porte-parole de Google, José Castañeda, au San Francisco Chronicle en mai.

] Les enchères en temps réel ont également attiré l'attention des législateurs et des organisations de surveillance pour leurs implications en matière de confidentialité. l'agence poursuivait son enquête sur les enchères en temps réel (RTB), qui, si elles ne sont pas correctement divulguées, peuvent enfreindre le règlement général de l'Union européenne sur la protection des données.

« Le système complexe de RTB peut utiliser les données personnelles sensibles des personnes pour diffuser des publicités et le consentement explicite des gens, ce qui ne se produit pas en ce moment », a déclaré McDougall. « Partager les données de personnes avec potentiellement des centaines d'entreprises, sans évaluer et traiter correctement le risque de ces contreparties, soulève également des questions concernant la sécurité et la conservation de ces données. »

Et en avril, un groupe bipartite de sénateurs américains a envoyé une lettre aux entreprises de technologie publicitaire impliquées dans les enchères en temps réel, dont Google. Leur principale préoccupation : les entreprises et les gouvernements étrangers capturent potentiellement des quantités massives de données personnelles sur les Américains.

« Peu d'Américains se rendent compte que certains participants aux enchères siphonnent et stockent les données « bidstream » pour compiler des dossiers exhaustifs à leur sujet", indique la lettre. « À leur tour, ces dossiers sont ouvertement vendus à toute personne possédant une carte de crédit, y compris aux fonds spéculatifs, aux campagnes politiques et même aux gouvernements. »

Le 4 mai, Google a répondu à la lettre en disant aux législateurs qu'il ne partage pas d'informations personnelles identifiables dans les demandes d'enchères et ne partage pas d'informations démographiques pendant le processus. y compris les restrictions sur l'utilisation et la conservation des informations qu'ils reçoivent », a déclaré Mark Isakowitz, vice-président des affaires gouvernementales et des politiques publiques de Google. essayant d'élargir la définition de « vendre » au-delà d'une simple transaction.

La California Consumer Privacy Actqui est entrée en vigueur en janvier 2020, a tenté de jeter un large filet en définissant « vente, ” au-delà du simple échange de données contre de l'argent. La loi considère qu'il s'agit d'une vente si des informations personnelles sont vendues, louées, diffusées, partagées, transférées ou communiquées (oralement ou par écrit) d'une entreprise à une autre pour « une contrepartie monétaire ou autre. »

Et les entreprises qui vendent ces données sont tenues de divulguer qu'elles le font et de permettre aux consommateurs de se retirer. , vous ne vendez pas réellement les informations personnelles d'une personne », a déclaré Mary Stone Ross, responsable de la confidentialité chez OSOM Products et co-auteur de la loi. «Mais vous l'êtes essentiellement. Si vous êtes une entreprise de médias sociaux et que vous fournissez de la publicité et que les gens vous paient beaucoup d'argent, vous leur vendez l'accès. et vend.

Dans la politique de confidentialité de T-Mobilepar exemple, la société dit qu'elle vend des données compilées en vrac, qu'elle appelle « segments d'audience ». La politique stipule que les données de segment d'audience à vendre ne contiennent pas d'identifiants tels que votre nom et votre adresse, mais incluent votre identifiant publicitaire mobile.

Les identifiants publicitaires mobiles peuvent facilement être connectés à des individus via des sociétés tierces.

Néanmoins, la politique de confidentialité de T-Mobile indique que l'entreprise "ne vend pas d'informations qui identifient directement les clients". être des informations personnelles, mais les clients ont le droit de refuser la vente de ces données.

Alors, que devrais-je rechercher dans une politique de confidentialité ?

La prochaine fois que vous examinerez une politique de confidentialité, ce que peu de gens font vraiment ne vous concentrez pas uniquement sur le fait que l'entreprise déclare ou non qu'elle vend vos données. Ce n'est pas nécessairement la meilleure façon d'évaluer comment vos informations voyagent et sont utilisées.

Et même si une politique de confidentialité dit qu'elle ne partage pas d'informations privées au-delà des murs de l'entreprise, les données collectées peuvent toujours être utilisées à des fins que vous pourriez se sentir mal à l'aise, comme la formation d'algorithmes internes et de modèles d'apprentissage automatique. (Voir l'utilisation par Facebook d'un milliard d'images d'Instagramdont il est propriétaire, pour améliorer sa capacité de reconnaissance d'images.)

Les consommateurs devraient plutôt rechercher des politiques de suppression et de conservation, a déclaré Lindsey Barrett, expert en confidentialité et jusqu'à récemment, membre de Georgetown Law. Ce sont des politiques qui précisent combien de temps les entreprises conservent les données et comment les supprimer.

Elle a noté que ces déclarations ont beaucoup plus de poids que les entreprises promettant de ne pas vendre vos données.

"Les gens n'ont pas aucune transparence significative sur ce que les entreprises font avec leurs données, et trop souvent, il y a trop peu de limites à ce qu'elles peuvent faire avec », a déclaré Barrett. "L'ensemble" Nous ne vendons pas vos données "ne dit rien sur ce que l'entreprise fait à huis clos." ] et a été republié sous la licence Creative Commons Attribution-NonCommercial-NoDerivatives .