Une entreprise de données sur le blitz publicitaire au Brexit payée par Vote Leave enfreint les lois sur la protection de la vie privée


Une enquête menée conjointement par des organismes de surveillance au Canada et en Colombie-Britannique a révélé que la société de données liée à Cambridge Analytics, Aggregate IQ, avait enfreint les lois sur la protection de la vie privée en ciblant les publicités Facebook dans le cadre de la campagne officielle "Vote Leave Brexit" lors du référendum organisé en 2016 par le Royaume-Uni.

Rappel rapide: Vote Leave était la campagne officielle de sortie du référendum sur l’adhésion du Royaume-Uni à l’Union européenne. Alors que Cambridge Analytica est la société (aujourd'hui disparue) au centre d'un vaste scandale d'utilisation abusive des données de Facebook qui a porté atteinte à la fortune de la société et continue de ternir sa réputation.

Le directeur de la campagne de Vote Leave, Dominic Cummings – devenu conseiller spécial du Premier ministre britannique – a écrit en 2017 que la recette gagnante de la campagne de congé était la science des données. Et, plus spécifiquement, il consacre 98% de son budget marketing à «près d’un milliard d’annonces numériques ciblées».

Ciblé sur les utilisateurs de Facebook.

Le problème est, selon les conclusions des chiens de garde canadiens, AIQ n'a pas obtenu les autorisations légales appropriées des électeurs britanniques pour avoir divulgué leurs informations personnelles à Facebook pour le blitz publicitaire du Brexit commandé par Cummings.

Que ce soit «dans le but de faire de la publicité auprès de ces personnes (via des« audiences personnalisées ») ou d’analyser leurs traits et leurs caractéristiques afin de localiser et de cibler des personnes qui leur ressemblent (via des« audiences semblables »).

Oops.

L’année dernière, la Commission électorale du Royaume-Uni a également conclu que Vote Leave dépassait les limites des dépenses de campagne électorale en versant de l’argent à AIQ pour diffuser les annonces politiques de ciblage sur la plate-forme Facebook, via une collaboration non déclarée avec une autre campagne du Brexit, BeLeave. Ainsi, plus de trois ans plus tard, la société britannique reste bouleversée par un ensemble complet d’actes juridiques répréhensibles.

Pendant ce temps, les élections générales en cours au Royaume-Uni sont désormais une boîte de Pétri numérique permettant aux scientifiques et aux hackers de la démocratie de mener des expériences farfelues dans le domaine de la manipulation par micro-ciblage. malgré les multiples avertissements des chiens de garde et des parlementaires.

Les données sont vraiment une drogue.

L’enquête canadienne a permis à AIQ d’écarter tout acte répréhensible lorsqu’il a utilisé des numéros de téléphone pour envoyer des SMS pour une autre campagne pro-Brexit, BeLeave; le but que les chiens de garde ont découvert avait été autorisé par le consentement donné par des personnes qui ont communiqué leurs informations à cette campagne destinée aux jeunes.

Cependant, ils ont constaté des problèmes de consentement avec le travail entrepris par diverses campagnes américaines pour le compte de SCL Elections, affilié de Cambridge Analytica, notamment un comité d’action politique, une campagne primaire présidentielle et diverses campagnes lors des élections de 2014 à mi-parcours.

Et, encore une fois – nous le savons bien -, Facebook est également ici dans le cadre.

«L’enquête a révélé que les informations personnelles fournies à AIQ et utilisées par celle-ci proviennent de sources disparates. Ceci inclut les profils psychographiques dérivés d’informations personnelles Facebook divulguées au Dr. Aleksandr Kogan, et à Cambridge Analytica », écrivent les gardiens.

"Dans le cas de leur travail pour les campagnes américaines … AIQ n'a pas tenté de déterminer s'il existait un consentement sur lequel elle pouvait compter pour son utilisation et la divulgation de ses informations personnelles."

L’enquête a également porté sur le travail d’AIQ au cours de plusieurs campagnes canadiennes – trouvant moins de problèmes liés au consentement. Bien que le rapport indique que: «dans certains cas, les finalités pour lesquelles les personnes sont informées ou pourraient raisonnablement présumer que leurs informations personnelles sont collectées ne s’étendent pas à la publicité et à l’analyse sur les réseaux sociaux».

AIQ est également sanctionnée pour ne pas avoir correctement sécurisé les données qu’elle a mal utilisées.

Cet élément de la sonde résulte d'une violation de données signalée par UpGuard après avoir découvert qu'AIQ exécutait un référentiel GitLab non sécurisé – contenant ce que le rapport appelle des "informations personnelles importantes", ainsi que des clés de cryptage et des identifiants de connexion qui indiquent les informations personnelles de Plus de 35 millions de personnes en danger.

Double oups.

"L'enquête a déterminé qu'AIQ n'avait pas pris de mesures de sécurité raisonnables pour garantir que les informations personnelles sous son contrôle étaient protégées d'un accès ou d'une divulgation non autorisés", constitue la conclusion inexorable.

S’avère que si une entité n’a pas légalement le droit légal d’avoir accès aux informations des personnes, elle ne se préoccupe peut-être pas de savoir où les données pourraient éventuellement se retrouver.

Le rapport découle d'une enquête sur des allégations d'accès et d'utilisation non autorisés des profils d'utilisateurs de Facebook, ouverte par le commissaire à la protection de la vie privée de la Colombie-Britannique à la fin de 2017. Une enquête distincte avait été ouverte par le Commissariat à la protection de la vie privée du Canada an. Les deux chiens de garde ont ensuite conjugué leurs efforts.

Le résultat pour l’enquête conjointe résultant de la découverte par l’enquête conjointe de multiples violations de la sécurité et de la sécurité est une série de «recommandations».

En ce qui concerne l'utilisation des données, il est suggéré à l'entreprise de prendre des «mesures raisonnables» pour s'assurer que le consentement de tiers sur lequel il s'appuie pour la collecte, l'utilisation ou la divulgation de renseignements personnels pour le compte de clients est «adéquat» en vertu des lois canadiennes et britanniques sur la protection de la vie privée. .

«Ces mesures devraient inclure à la fois des mesures contractuelles et d’autres mesures, telles que la révision du libellé du consentement utilisé par le client», suggèrent les chiens de garde. «Lorsque les informations sont sensibles, comme pour les opinions politiques, AIQ devrait s’assurer du consentement explicite, plutôt qu’implicite.»

En ce qui concerne la sécurité, il est également recommandé que le système «adopte et maintienne des mesures de sécurité raisonnables pour protéger les informations personnelles et supprime les informations personnelles qui ne sont plus nécessaires à des fins commerciales ou juridiques».

«Au cours de l'enquête, AIQ a pris des mesures pour remédier à la violation de la sécurité. AIQ a accepté de mettre en œuvre les recommandations des bureaux », ajoute le rapport.

L’impact de la «science des données» politique dans les démocraties occidentales? C’est encore à confirmer. Bouclez votre ceinture.