Vos données sur la planification familiale sont collectées, analysées et vendues

Depuis l'annulation par la Cour suprême de l'affaire Roe v. Wade en juin, les sociétés de données de localisation, les développeurs d'applications et les fournisseurs de pilules abortives en ligne ont fait l'objet d'une surveillance accrue de la part du Congrès pour avoir échangé des données sensibles sur les utilisateurs qui pourraient indiquer quand quelqu'un cherche à se faire avorter.

Le balisage a révélé que la société de données de localisation INRIX, qui collecte, analyse et vend des données agrégées sur les véhicules, la circulation et le stationnement, inclut les cliniques Planned Parenthood dans son tableau de bord INRIX IQ Location Analytics .

Grâce à un essai gratuit du produit, The Markup a pu localiser au moins 71 cliniques Planned Parenthood dans des dizaines d'États.

INRIX est une importante société établie de données sur la mobilité qui est en activité depuis 17 ans. Il répertorie la Federal Highway Administration des États-Unis, Microsoft, le département des transports de Los Angeles, BMW, Zillow et IBM parmi ses clients.

Les conclusions du balisage font suite à des rapports récents de Motherboard identifiant deux autres sociétés de données de localisation - Safegraph et Placer.AI - qui ont également inclus des données sur les visiteurs de Planned Parenthood dans leurs produits de tableau de bord similaires. Les deux sociétés ont depuis supprimé ces données.

Mark Daymond, directeur technique et responsable de la protection des données chez INRIX, a déclaré à The Markup dans un e-mail : « INRIX reçoit des données anonymisées et les désidentifie davantage, puis les agrège. L'identité des individus n'est pas pertinente pour notre entreprise.

La version gratuite du tableau de bord Location Analytics d'INRIX ne répertorie que l'adresse, les heures et le trafic quotidien annuel moyen dans les rues voisines pour chaque clinique, mais la version payante affiche des statistiques plus détaillées pour des exemples de points d'intérêt dans sa base de données, y compris les répartitions démographiques et ethniques. des visiteurs, le nombre de visiteurs par heure et par jour, des cartes thermiques agrégées des origines et des destinations des visiteurs, et les temps de trajet vers et depuis le site de l'entreprise.

Les emplacements de Planned Parenthood sont restés dans le tableau de bord INRIX après que nous ayons contacté l'entreprise, et étaient toujours là quelques heures avant la publication de cette histoire. Planned Parenthood n'a pas immédiatement répondu à une demande de commentaire.

Daymond a déclaré que l'approche adoptée par INRIX pour limiter les détails sur les cartes protège les utilisateurs contre l'identification.

« Location Analytics affiche uniquement les résultats jusqu'au niveau du groupe d'îlots de recensement. Nous obtenons des données auprès de divers fournisseurs de cartes dont les informations sont disponibles dans le commerce », a-t-il déclaré.

Le paysage juridique évoluant rapidement depuis que Dobbs c. Jackson a déclenché des lois plus restrictives sur l'avortement, les personnes qui demandent la procédure font face à des risques accrus pour leur vie privée, et de nombreuses entreprises technologiques se sont empressées de réagir.

Les militants anti-avortement ont utilisé des outils créés par l'industrie des données de localisation, tels que le géorepérage , pour dissuader les patientes en quête d'avortement avec des publicités ciblées. Désormais, les enjeux sont plus importants puisque neuf États ont criminalisé la procédure.

Examen minutieux du Congrès

Certains législateurs démocrates exigent des mesures. Suite aux rapports de Motherboard, 14 sénateurs démocrates ont envoyé des lettres aux sociétés de données de localisation Safegraph et Placer.AI pour obtenir des détails sur leur collecte de données et leur demander de cesser d'inclure les cliniques d'avortement.

Safegraph et Placer.AI ont supprimé les cliniques et autres lieux sensibles de leurs bases de données suite aux rapports de Motherboard. Le 1er juillet, Google s'est engagé à effacer les données de localisation des visiteurs lorsqu'un utilisateur visite un fournisseur d'avortement, un centre de fertilité ou un autre lieu sensible.

La semaine dernière, le House Oversight Committee a contacté les sociétés de données de localisation Placer.AI, Safegraph, Babel Street, X-Mode (Outlogic), Gravy Analytics et cinq développeurs d'applications de santé reproductive et leur a demandé de divulguer leurs pratiques de collecte de données , les sources de leurs les données de localisation et tous les partenariats de données dans le cadre d'une enquête sur la confidentialité des données des patients sur l'avortement et la santé reproductive.

"C'est un excellent exemple de la nécessité de mettre en place des lois complètes sur la protection de la vie privée qui restreignent la collecte de ce type de données qui peuvent être utilisées comme armes contre les utilisateurs en prenant leurs empreintes digitales, en les identifiant et en vendant ce type de données comportementales ou identifiant des données à n'importe qui. qui le veut, application de la loi ou autre », a déclaré Daly Barnett, technologue à l'Electronic Frontier Foundation.

Tableaux de bord d'analyse de localisation

INRIX, une société privée basée à Kirkland, Washington, propose des données de stationnement, de trafic et de localisation agrégées aux agences de transport, aux constructeurs automobiles et aux développeurs de logiciels.

Dans une brochure pour son produit "Voyages en véhicule", la société se vante que ses données " capturent plus de 150 millions de trajets anonymes " et 36 milliards de "points de données en temps réel" chaque jour, avec des mises à jour aussi fréquentes que toutes les trois secondes.

Les sociétés de données de localisation comme INRIX, Placer.AI et Safegraph proposent des produits similaires : un tableau de bord facile à utiliser où les utilisateurs peuvent rapidement analyser le trafic piétonnier et automobile vers des millions de commerces de détail, mettant en évidence les modèles de visites avec des graphiques, des cartes et des outils de comparaison. entreprises concurrentes.

L'un des exemples d'emplacements que The Markup a pu explorer était un restaurant de sandwiches au poulet dans le New Jersey.

Ces données sont extrêmement précieuses pour les urbanistes, les commerces de détail et les sociétés d'immobilier commercial et de capital-investissement.

Les données qui alimentent ces informations agrégées proviennent de plusieurs sources, notamment des applications pour téléphones mobiles , des véhicules connectés, des capteurs de trafic et des données achetées auprès d'autres courtiers.

Bien que le suivi du nombre total de personnes visitant une sandwicherie au poulet semble assez innocent, lorsque les gens demandent un avortement, les risques pour la vie privée changent radicalement.

Certaines sociétés de données de localisation ont reconnu les risques liés à l'inclusion d'emplacements sensibles tels que les cabinets de médecins et les lieux de culte.

Par exemple, la société de géolocalisation Cuebiq publie une politique publique « Points d'intérêt sensibles » définissant les types d'emplacements qu'elle exclut pour protéger la vie privée des utilisateurs dans ses ensembles de données.

Partenaires de données

La politique de confidentialité d'INRIX stipule qu'elle collecte des données personnelles auprès de sources tierces, y compris des « courtiers en données auprès desquels nous achetons des données pour compléter les données que nous collectons », bien qu'elle ne divulgue l'identité d'aucun de ses partenaires.

Les données qui alimentent le tableau de bord que nous avons utilisé contiennent des indices sur la source des données des points d'intérêt (POI) d'INRIX.

Nous avons observé la fonction de saisie semi-automatique sur le tableau de bord d'INRIX faisant un appel à l'API pour la société de données de localisation HERE, qui fournit des résultats de localisation pour une limite spécifiée par les coordonnées de la carte.

Il semble également y avoir un identifiant unique fourni par HERE pour chaque emplacement dans les données.

Le porte-parole de HERE, Kasey Farrar, a déclaré à The Markup dans un e-mail que l'entreprise "... maintient des pratiques de données" de confidentialité dès la conception "avec des termes et conditions stricts pour l'utilisation des données par les clients. HERE ne collecte pas de données origine-destination des individus.

Farrar a noté la « charte de confidentialité » de l'entreprise, qui détaille certaines des mesures spécifiques prises pour protéger la confidentialité des utilisateurs.

Le site d'avis d'entreprises Yelp fait également une apparition dans les données POI. Yelp est répertorié comme le « fournisseur » dans les données alimentant le tableau de bord d'INRIX.

La porte-parole de Yelp, Julianne Rowe, a déclaré que la société n'avait pas de partenariat avec INRIX et que les entreprises "peuvent obtenir du contenu et des données Yelp via notre API gratuite ou auprès d'un partenaire agréé".

Elle a noté que l'emplacement, les heures et les coordonnées de l'entreprise sont tous accessibles au public, y compris sur le site Web de Planned Parenthood.

Il existe plusieurs catégories attribuées aux emplacements Planned Parenthood que nous avons trouvés sur INRIX. Les catégories comprenaient « Services médicaux/Cliniques », « Hôpital ou établissement de soins de santé » et « Services aux consommateurs ».

Alors que la plupart des données que nous pouvions voir sur le tableau de bord d'INRIX semblaient être agrégées, des risques subsistent pour les utilisateurs.

De nombreuses entreprises du secteur des données de localisation, qui pèse plusieurs milliards de dollars, soulignent que la confidentialité des utilisateurs est protégée, car elles ne vendent que des données agrégées, telles qu'un certain nombre de personnes visitant une entreprise particulière au cours d'une semaine spécifique.

Daymond a déclaré qu'INRIX ne vendait pas de données liées à des utilisateurs individuels. « INRIX n'est pas un courtier en données…. Nous ne stockons pas d'identifiants personnels pouvant être liés à un individu pour nous assurer qu'aucune donnée personnelle n'est découverte.

Concernant l'utilisation à l'échelle de l'industrie des données agrégées pour protéger la confidentialité des utilisateurs, Barnett de l'EFF a déclaré que même les données agrégées comportent des risques pour la vie privée des utilisateurs et que les individus peuvent toujours être identifiés dans certaines circonstances .

Daymond d'INRIX a déclaré : "Nos conditions d'utilisation interdisent explicitement à nos clients d'utiliser nos produits d'une manière qui viole les lois et réglementations."

Bien que l'emplacement de l'entreprise et le trafic de visiteurs puissent sembler anodins, a déclaré Barnett, le contexte compte. «Ces ensembles de données apparemment… observés dans le vide et inoffensifs n'existent pas dans le vide. Ils peuvent aussi faire boule de neige ensemble.

Écrit par Jon Keegan

Également publié ici

Photo par Alina Grubnyak sur Unsplash