Le fabricant de TV connectées VIZIO doit revoir ses pratiques en matière de vie privée. Il a accepté de payer 2,2 millions de dollars, après avoir collecté et revendu les habitudes de visionnage de 11 millions de consommateurs américains, sans leur consentement.
Les Smart TV ne sont pas toujours futées en matière de vie privée. C'est la leçon de l'affaire qui a opposé le fabricant de TV connectées VIZIO à la Commission fédérale du commerce (FTC) et à la New Jersey Division of consumer affairs, outre-Atlantique. Suite à une plainte de la commission, déposée en février 2014, VIZIO a accepté de payer 2,2 millions de dollars (1,5 million de dollars à la FTC et 700 000 dollars à la New Jersey Division of consumer affairs).
Une collecte massive de données sans consentement
Le tort de l'entreprise ? Avoir collecté les données de visionnage de 11 millions de clients américains, sans les prévenir. Dans le détail, VIZIO et ses partenaires constructeurs pouvaient récupérer des informations seconde par seconde sur l'image affichée par la télévision. Cela peu importe la source, que ce soit la télévision, un lecteur DVD ou un boitier TV connecté.
Selon la FTC, l'entreprise facilitait l'ajout de données démographiques, ensuite revendues à d'autres sociétés, qui les utilisaient pour du marketing ciblé. La collecte passait par l'activation de la fonction « Smart Interactivity », promettant des offres et suggestions, sans indiquer que des informations personnelles étaient collectées en échange. Le site indique aujourd'hui que des données, comme l'adresse IP de la télévision, sont récupérées et partagées.
Au-delà de ce que reprochent les plaignants, la sécurité des TV VIZIO posait aussi question. Comme le rappelle Ars Technica, en 2015, ces appareils ne vérifiaient pas le certificat HTTPS lorsqu'ils envoyaient les données de visionnage au constructeur. Les données reçues par la télévision elle-même étaient vérifiées à l'aide d'un checksum en MD5, avec un « sel » contenu dans un fichier texte.
Obtenir le consentement et supprimer d'anciennes données
Dans la décision, rendue le 6 février, il est indiqué que VIZIO doit désormais obtenir le consentement explicite des utilisateurs pour suivre leurs habitudes de consommation TV et supprimer les données collectées avant le 1er mars 2016. Elle doit également mettre en place un programme de protection de la vie privée, contrôlé tous les deux ans.
Dans un communiqué, VIZIO répond que cette décision mènera à un nouveau standard dans les pratiques de l'industrie en la matière... Quand bien même l'entreprise n'a pas, elle-même, respecté la législation en place. « L'ACR [reconnaissance automatique de contenu] n'a jamais associé de données de visionnages avec des identifiants personnels, comme un nom ou des coordonnées » tient-elle d'ailleurs à préciser.
Comme le note la présidente par intérim de la FTC, Maureen K. Ohlhausen, « pour la première fois, la FTC déclare dans une plainte que l'activité individuelle télévisuelle est une information sensible ». Jusqu'ici, la définition était réservée à des données financières ou médicales. Elle souhaite donc revoir ce qu'est un « préjudice important » lié aux données, maintenant qu'il est étendu à la consommation.
