La Federal Trade Commission (FTC) met un terme à l’affaire contre Kochava et sa filiale Collective Data Solutions (CDS) en leur interdisant la vente de données de localisation sans consentement explicite des consommateurs.
Accusations de vente de données sensibles
Basée en Idaho, Kochava fait l’objet d’une plainte déposée par la FTC en août 2022. L’agence fédérale reproche à l’entreprise d’avoir recueilli et monétisé des informations de géolocalisation précise provenant de centaines de millions d’appareils mobiles. Ces données permettaient à ses clients de suivre les déplacements des utilisateurs vers des sites sensibles, tels que des centres de santé mentale, des cliniques de santé reproductive, des lieux de culte ou des refuges pour sans-abri et victimes de violence domestique.
Pour un abonnement mensuel de 25 000 dollars, les abonnés accédaient à ces informations via un flux de données convivial sur le Amazon Web Services Marketplace (AWS). L’entreprise vantait un volume impressionnant : plus de 94 milliards de transactions géographiques par mois, 125 millions d’utilisateurs actifs mensuels et 35 millions quotidiens, avec une moyenne supérieure à 90 transactions par appareil chaque jour.

Location data sold by Kochava (FTC)
Réactions et mesures imposées
Les consommateurs ignoraient ce partage de données et n’avaient donné aucune autorisation, exposant ainsi à des risques comme le harcèlement, la discrimination ou des violences physiques. Kochava avait contre-attaqué en justice contre la FTC pour excès d’autorité et annoncé, juste avant la plainte, le lancement de Privacy Block, une fonctionnalité visant à exclure les lieux de santé de sa place de marché.
L’ordre proposé devant le tribunal fédéral du district d’Idaho prohibe la vente, la licence, le transfert ou la divulgation de données de localisation précises sans consentement affirmatif et expressif, limité à des services directement demandés par les utilisateurs. CDS, qui a repris les activités de courtage de données de sa maison-mère, devra en outre mettre en place un programme dédié aux lieux sensibles, évaluer ses fournisseurs pour vérifier les consentements, permettre aux consommateurs de connaître les destinataires de leurs données et de révoquer leur accord, signaler à la FTC tout abus par des tiers, et établir un calendrier de conservation et de suppression des données.
Cet accord prendra valeur légale après validation par le juge du District Court for the District of Idaho.
Contexte d’une offensive plus large
La FTC explore depuis août 2022 des règles pour contrer la surveillance commerciale de masse. Un mois plus tôt, elle avait averti les entreprises sur l’usage illégal de données sensibles. En 2024, l’agence a interdit à plusieurs courtiers comme InMarket Media, Outlogic (ex-X-Mode Social), Gravy Analytics et Mobilewalla de collecter et vendre des données de suivi de localisation des Américains.
