Twilio, un fournisseur de services de communication, a été poursuivi jeudi en raison d’allégations selon lesquelles le logiciel Segment du développeur extrait des données d’applications mobiles sans consentement.
Cette affaire, Bender contre Twilio, Inc, a été déposée dans un tribunal fédéral à San Francisco, en Californie. Elle accuse le kit de développement logiciel (SDK) Segment de Twilio – un outil intégré aux applications mobiles pour la collecte et l’analyse de données – de violer la loi américaine sur les écoutes téléphoniques, la loi californienne sur les écoutes, ainsi que la loi californienne sur l’accès aux données informatiques et la fraude (CDAFA).
Selon la plainte, « Twilio collecte discrètement des données sensibles des consommateurs via son SDK en temps réel. » Il est affirmé que Twilio recueille des informations d’identité telles que le nom et l’adresse e-mail du consommateur, les identifiants publicitaires mobiles (MAIDs), le nom de l’application mobile, ainsi que des données d’empreinte de l’appareil (comprenant la marque et le modèle de l’appareil, la version du système d’exploitation et le nom de l’opérateur de téléphonie mobile, entre autres informations).
Le SDK est accusé de rassembler non seulement des données liées à l’utilisateur de l’application et au matériel de l’appareil, mais également des activités au sein de l’application, y compris les termes de recherche, les frappes au clavier, les résultats de recherche, les interactions avec les boutons et les menus, ainsi que les pages demandées.
L’application concernée par cette affaire est Calm, qui, dans sa politique de confidentialité, décrit une collecte et un partage de données étendus, mais ne mentionne pas spécifiquement Twilio ou le SDK Segment. La plainte soutient que les données collectées par cette application de santé mentale sont « extrêmement sensibles » car elles concernent le stress, l’anxiété et la dépression.
Rester calme et continuer ?
La plainte souligne que « le problème avec Twilio est que les consommateurs ne savent pas qu’en interagissant avec une application intégrant le SDK Segment, leurs données sensibles sont discrètement siphonnées par un tiers inconnu. » Les consommateurs ne sont jamais informés de l’intégration du SDK Segment dans l’application, ils ne consentent jamais aux pratiques de collecte de données de Twilio, et ils n’ont pas la possibilité de choisir d’adhérer ou non à ces pratiques – s’ils savent même qui ou ce qu’est Twilio et Segment.
Lorsqu’une analyse a été effectuée sur Calm en utilisant un proxy réseau sur iOS avant la création d’un compte, des appels réseau vers segment.com ont été notés, ainsi que divers autres services tels que appsflyersdk.com, perimeterx.net, iterable.com, segment.io et googleapis.com (Firebase).
Les accusations portées contre Twilio rappellent une affaire en cours, Greenley contre Kochava, Inc, qui a été déposée en 2022 et n’est pas encore résolue.
- Quand un bouton de confidentialité n’est pas un bouton de confidentialité ? Quand Google le gère, selon la plainte.
- Apple exige des développeurs d’applications qu’ils expliquent l’utilisation d’API sensibles.
- La FTC obtient le premier règlement contre un courtier de données interdisant la vente de données de localisation sensibles.
- Rapport sur le suivi de localisation : l’utilisation du SDK X-Mode est beaucoup plus répandue que prévu.
Kochava, un courtier de données également poursuivi par la Federal Trade Commission des États-Unis pour avoir prétendument collecté et vendu des données de géolocalisation, a tenté de faire rejeter la plainte pour écoute, arguant que son SDK n’est pas « un enregistreur de pénalité » – le terme légal pour un dispositif d’enregistrement de numéros de téléphone ou d’adresses IP sans enregistrer le contenu des communications.
Cependant, le juge dans l’affaire Greenley a rejeté l’argument de Kochava et a refusé de faire tomber la plainte pour écoute, citant la loi californienne sur l’invasion de la vie privée (CIPA) et le code pénal californien : « [T] le tribunal rejette l’affirmation selon laquelle un logiciel intégré discrètement par une entreprise privée dans un téléphone ne peut pas constituer un ‘enregistreur de pénalité’. »
En d’autres termes, la collecte de données sans divulgation et consentement pourrait enfreindre les lois sur les écoutes, du moins en Californie, si le tribunal se prononce en faveur du plaignant et que les décisions survivent à un appel.
Cependant, la plainte contre Twilio ne cite pas la section 638.51 de la CIPA ; elle s’appuie sur d’autres lois sur les écoutes, il est donc incertain de savoir comment l’affaire se déroulera à mesure que le litige progresse.
Les tribunaux californiens ont rejeté de nombreuses plaintes passées liées à la publicité pour diverses insuffisances, mais pas toutes.
Une plainte selon laquelle Google aurait enfreint les lois sur les écoutes en collectant des données sur le site de préparation fiscale d’H&R Block a récemment été autorisée à avancer. De même, une plainte pour écoute contre Peloton concernant des données capturées par le chatbot d’un fournisseur tiers a également survécu à une motion de rejet.
Twilio et Calm n’ont pas immédiatement répondu aux demandes de commentaires.
