Rechercher
  • CyberDetection

Covid-19 : Les données personnelles récoltées par les restaurants revendues à des tiers en GB

Article paru dans https://www.usine-digitale.fr/ le 13 octobre 2020 par Joséphine MATHOUX.


Les adresses, numéros de téléphone et adresses mail laissées par les clients des restaurants et des pubs seraient revendues à des tiers à des fins publicitaires. Une quinzaine d’entreprises sont dans le viseur de l’Information commissioners office (ICO), un organisme public chargé de la protection des données.


Sur les tables des pubs en Grande-Bretagne, QR code trône désormais à côté du menu. Un dispositif destiné à prendre les contacts des clients et à les recontacter en cas de découverte de cas de Covid-19. Toutefois, ces données ne seraient utilisées uniquement dans la lutte contre la pandémie de SARS-CoV-2. Des experts alertent sur la revente des données collectées à des tiers à des fins publicitaires.


En Grande-Bretagne, les restaurants et les bars ont rouvert en juin, après une période de confinement. Le gouvernement britannique a alors ordonné cette collecte de données destinées à suivre l’évolution des contaminations au SARS-CoV-2 via le National health system (NHS). Mais aucune procédure nationale n’est lancée. Ce n’est que le 24 septembre que le gouvernement exige que certaines entreprises affichent un code QR officiel du NHS relié à l'application officielle de suivi du coronavirus. Cependant, d'autres entreprises telles que les pubs, les restaurants, les musées, les gymnases et les salons de coiffure sont toujours tenues d'enregistrer leurs propres données clients.


En temps normal, ces données sont destinées à être conservées uniquement 21 jours par les entreprises et ne doivent pas être utilisées à d’autres fins que pour le traçage mis en place par la NHS. Les QR récoltent en général les noms, adresses, adresse mail et numéros de téléphone des clients. Mais ces données seraient en réalité revendues à des sociétés de publicité, de cartes de crédit, ainsi qu’à des courtiers en assurance selon les révélations du journal The Times.


Ces derniers se servent ensuite de cette nouvelle base de données pour envoyer des publicités pour leurs services directement aux contacts récoltés dans ces bases. "Si vous recevez soudainement des tonnes de textos, vos données ont probablement été vendues à partir de systèmes de suivi et de localisation", prévient Gaurav Malhotra, directeur de la société de développement de logiciels Level 5, une entreprise spécialisée dans la transition digitale.


UNE POLITIQUE DE CONFIDENTIALITÉ NON CONFORME


Les responsables ne sont pas les restaurateurs ou les tenanciers de bars eux-mêmes mais bien les entreprises qui leurs proposent un service de QR code. Derrière le QR code scotché sur les tables en bois se trouve par exemple l’entreprise Pub track and trace (PUBTT), qui fournit un système de suivi de QR code pour l’industrie de l’hôtellerie et de la restauration. Sauf que sa politique de confidentialité stipule que ses utilisateurs acceptent de recevoir "des suggestions et des recommandations sur les produits ou services susceptibles de [les] intéresser."


Le contrat mentionne aussi que le partage de données avec "des fournisseurs de services ou des organismes de réglementation fournissant des services de prévention de la fraude ou des vérifications de solvabilité" est autorisé. PUBTT, qui travaille avec des pubs en Angleterre mais aussi au Pays de Galles, a également déclaré dans son accord d'utilisation qu'il était autorisé à "collecter, utiliser, stocker et transférer" des données relatives aux personnes entrant dans certaines zones en utilisant "l'heure, le numéro d'identification et les images de vidéosurveillance". L’entreprise, qui facture 20 livres par mois pour ses services, se défend en invoquant la responsabilité des utilisateurs eux-mêmes, arguant que les données collectées par la firme "sont uniquement destinées à l'utilisation du service Test and Trace ou lorsqu'un utilisateur a accepté que le site utilise ses informations à des fins de marketing."


DES DONNÉES CONSERVÉES JUSQU’À 25 ANS


Une autre entreprise qui fournit ce genre de services, Ordamo, a, elle, expliqué que les données qu’elle recueille sont conservées durant pas moins de 25 ans. Conserver les données des utilisateurs pendant une période aussi longue est "très difficile à justifier", souligne la responsable de la protection de la vie privée du cabinet d'avocats Fieldfisher, Hazel Grant. Pourtant, l’Information commissioners office (ICO), un organisme public chargé de la protection des données, est extrêmement clair dans ses recommandations émises sur la collecte d’informations personnelles dans le cadre du contact tracing.


"Les lois de protection des données stipule que les données collectées pour un usage particulier ne doivent pas être utilisées pour d’autres raisons que celle d’origine. Ceci comprend le marketing direct ou la publicité, l’établissement d’une base de clients ou des analyse démographiques. Il s’agit là d’une utilisation abusive des informations récoltées." Ces guidelines vont même plus loin et stipulent que les informations personnelles des clients ne doivent être partagées que lorsqu’une autorité de santé publique le demande. Impossible de les transmettre à d’autres types d’organismes, sauf "dans des cas de circonstance très restreints […]. Par exemple, les informations peuvent être exigées par la police si elle en a besoin pour une enquête criminelle", précise le texte. En tout, quinze entreprises sont dans le viseur de l’Information commissioner’s office.


L'application développée par la NHS elle-même pour tracer les cas contacts de personnes contaminées par le coronavirus n'est, elle, pas concernée par ces problèmes de non-respect de la vie privée. Cette application a été téléchargée plus de 10 millions de fois en Angleterre et au Pays-de-Galles.



À LIRE AUSSI :

Les cyberattaques contre les TPE/PME explosent… un danger pour notre économie

Paris Cyber Week 2020 | “Cybersécurité, pourquoi est-ce incontournable pour les TPE-PME”

LA CYBERSÉCURITÉ POUR PETITES ET MOYENNES ENTREPRISES

DÉTECTION PAR ANTICIPATION

DES CYBERMENACES

Logo_journal_de_la_cybersécurité.png

L'actualité Cybersécurité &

Les nouveautés CyberDetection !