Une entreprise américaine, en collaboration avec une société de détection de fraude, est actuellement confrontée à des accusations portées par une organisation européenne de défense des droits numériques. Ils se serviraient de milliards de données de téléphones portables sans autorisation.
Ces allégations soutiennent que les lois sur la confidentialité ont été violées par la collecte et le transfert de données cellulaires de la moitié de la population mondiale, utilisées ensuite pour établir des scores personnalisés de fiabilité pour chaque individu. Cette affaire, déposée auprès de l’Autorité belge de protection des données par le Centre européen pour les droits numériques (noyb), met en cause BISC, une société de télécommunications opérant avec plus de 500 opérateurs mobiles dans plus de 200 pays, TeleSign, une entreprise spécialisée dans l’intelligence artificielle et la prévention de la fraude, ainsi que leur société mère, Proximus.
Les accusations portées contre BISC et TeleSign font suite à un article paru en mars 2022 dans le journal Le Soir, qui révélait que le fournisseur de télécoms collectait des données sur l’activité téléphonique des clients et les partageait secrètement avec TeleSign. Ces données incluaient des informations telles que le type de technologie utilisée pour passer des appels ou des SMS, la fréquence et la durée des appels.
Grâce à l’utilisation d’un algorithme sophistiqué, TeleSign attribue ensuite à chaque utilisateur des « scores de confiance » qui sont prétendument utilisés par des géants de l’industrie tels que Microsoft, Salesforce et TikTok pour décider si les utilisateurs doivent être autorisés à créer des comptes.
Classement par activité téléphonique !
Cependant, lorsque certains plaignants ont demandé l’accès à leurs propres données conformément au Règlement général sur la protection des données (RGPD) de l’Union européenne, ils ont découvert qu’ils avaient effectivement été classés par TeleSign en fonction de leur activité téléphonique. Dans un exemple cité dans la plainte, l’un des plaignants s’est vu attribuer un niveau de risque qualifié de « moyen-faible« .
Bien que le RGPD autorise certaines concessions en matière de protection de la vie privée, notamment dans le cadre de la détection des fraudes et des utilisations malveillantes des réseaux et services, la plainte soutient que l’étendue de l’activité de TeleSign et de BISC est injustifiée. Selon les plaignants, « le transfert systématique et massif de tous les numéros de téléphone à TeleSign pour qu’il puisse attribuer une note à chaque numéro n’est pas proportionné ». Ils estiment que cela revient à surveiller tous les utilisateurs dont les communications passent par BISC, alors que la conservation systématique de telles données à des fins policières et judiciaires n’est autorisée que dans des cas très précis.
Violation du RGPD ?
De plus, les plaignants allèguent que ce système de classement viole l’interdiction du RGPD de profiler les individus à l’aide d’algorithmes prédictifs. En effet, la loi interdit « le traitement automatisé de données à caractère personnel… pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des facteurs concernant les performances au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les mouvements de cette personne physique« .
En outre, la plainte souligne que les transferts de données de BISC à une société basée en Californie exposent potentiellement les informations des citoyens européens aux forces de l’ordre américaines, ce qui soulève des préoccupations supplémentaires quant à la protection de la vie privée des utilisateurs.
Un porte-parole de TeleSign a répondu à la plainte en affirmant que l’entreprise avait mis en place un programme de confidentialité des données, conformément aux réglementations mondiales telles que le RGPD et la loi californienne sur la protection des consommateurs. L’entreprise affirme également revoir en permanence ses politiques et pratiques internes pour se conformer à l’évolution du paysage réglementaire.
Le Centre européen pour les droits numériques demande à l’autorité belge des données d’agir en faveur des plaignants. Ils réclament l’arrêt des transferts de données de BISC et le traitement des données par TeleSign. De plus, ils demandent une amende pouvant atteindre 236 millions d’euros (257,4 millions de dollars), correspondant à 4 % du chiffre d’affaires annuel de Proximus, conformément au RGPD et la législation européenne.
