AggregateIQ, une société canadienne de données avec des liens vers Cambridge Analytica, désormais fermée, n'avait pas le consentement correct requis pour mener des campagnes publicitaires sur Facebook pour Vote Leave, une organisation pro-Brexit, selon un nouveau rapport.
Le directeur de Vote Leave, Dominic Cummings, qui a conseillé le Premier ministre britannique Boris Johnson avant de démissionner avant les élections du 12 décembre, a écrit en 2017 que la science des données était vitale pour gagner le référendum sur le Brexit et a placé 98% de son budget marketing sur près de un milliard de publicités numériques ciblées.
Le rapport, du Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique et du Commissaire à la protection de la vie privée du Canada, conclut que pour la plupart des campagnes, AggregateIQ n'a pas obtenu le consentement suffisant des utilisateurs de Facebook pour les cibler avec des publicités, ou ne savait pas comment, ou si les individus avaient consenti à l'utilisation de leurs renseignements personnels.
Cela inclut la publicité aux utilisateurs de Facebook directement ou l'utilisation de données démographiques collectées par Facebook qui pourraient être utilisées pour localiser et cibler d'autres utilisateurs similaires à eux.
AggregateIQ n'a pas non plus correctement sécurisé les données qu'il a mal utilisées, selon le rapport des commissaires.
Une violation de données qui permettait un accès non autorisé à un référentiel GitLab non sécurisé contenant des informations personnelles substantielles, notamment des clés de chiffrement et des identifiants de connexion pour 35 millions de personnes, a été mise en danger.
La société a également utilisé des numéros de téléphone pour envoyer des messages texte au nom de BeLeave, un autre groupe de campagne lié à Vote Leave, mais cette campagne s'est avérée avoir suffisamment recueilli le consentement des individus avant d'utiliser leurs informations.
En dehors du Royaume-Uni, l'enquête a révélé qu'AggregateIQ n'avait pas correctement obtenu le consentement des utilisateurs de Facebook en ce qui concerne le travail qu'il a effectué pour SCL, une société britannique de recherche et de communication stratégique qui possédait Cambridge Analytica en tant que filiale.
SCL a soutenu un certain nombre de campagnes politiques américaines, dont plusieurs lors des élections de mi-mandat de 2014 et un comité d'action politique, créant des profils psychographiques à partir d'informations personnelles divulguées par Facebook à Cambridge Analytica.
Cependant, AggregateIQ n'a pas tenté de déterminer s'il y avait un consentement sur lequel elle pouvait s'appuyer pour son utilisation et sa divulgation de renseignements personnels.
Recommandé par nos rédacteurs
À la suite du rapport, les commissaires ont un certain nombre de recommandations pour AggregateIQ.
Il s'agit notamment de s'assurer qu'il y a un consentement exprès, plutôt qu'implicite, des utilisateurs lors de la collecte de données, d'adopter des mesures de sécurité raisonnables et de supprimer les données lorsqu'elles ne sont plus nécessaires ou légales à conserver.
AggregateIQ aurait accepté de mettre en œuvre ces recommandations et signé un affidavit déclarant avoir supprimé les renseignements personnels qu'elle a recueillis.
La collecte et l'utilisation des données personnelles d'individus sur Facebook à des fins de campagnes électorales sont restées controversées depuis que le scandale Cambridge Analytica a été signalé pour la première fois.
Récemment, Mark Zuckerberg a fait l'objet de critiques après avoir déclaré que les utilisateurs pourraient être micro-ciblés avec des informations fausses ou trompeuses lors des prochaines élections américaines et britanniques, car Facebook ne veut pas vérifier les publicités des politiciens.