Aujourd'hui, noyb a déposé une plainte contre TeleSign, une société américaine qui a établi le profil de millions d'utilisateurs de téléphones. TeleSign génère un "score de réputation" et vend ses services à divers clients tels que TikTok, Microsoft ou Salesforce. TeleSign a reçu secrètement les données relatives aux téléphones portables de BICS, une société belge qui fournit des services d'interconnexion à de nombreuses sociétés de téléphonie mobile.
- Plainte déposée par noyb auprès du DPA belge (en français)
- Traduction automatique de la plainte en anglais
BICS - la société qui relie les fournisseurs de services téléphoniques dans le monde entier. BICS est un service de communication de premier plan qui permet les appels téléphoniques, l'itinérance et les flux de données entre différents réseaux et services de communication aux quatre coins du monde. Au lieu d'avoir des accords directs entre eux, des centaines de fournisseurs de téléphonie mobile peuvent connecter leurs réseaux via le service d'interconnexion de BICS. En traitant les données des clients, BICS obtient des informations détaillées (par exemple, la régularité des appels effectués, la durée des appels, l'inactivité prolongée, l'activité de la gamme ou le trafic entrant réussi) sur la moitié des utilisateurs de téléphones mobiles dans le monde.
TeleSign génère des "scores de réputation" à partir des données BICS. En mars 2022, le journal belge Journal belge "Le Soir" a révélé pour la première fois que la société américaine TeleSign obtenait ces données de BICS et établissait le profil de millions d'utilisateurs de téléphones dans le monde entier. TeleSign attribuait à chaque utilisateur de téléphone portable un "score de confiance" compris entre 0 et 300 points. Sur la base de ce score, les clients de TeleSign (par exemple TikTok, Salesforce et Microsoft) pouvaient alors décider d'autoriser les utilisateurs à s'inscrire sur une plateforme ou, par exemple, d'exiger une vérification préalable par SMS. TeleSign vérifie plus de cinq milliards de numéros de téléphone uniques par mois, ce qui représente la moitié des utilisateurs de téléphones mobiles dans le monde.
Max Schrems : "Votre opérateur téléphonique transmet probablement les données à BICS, qui les transmet ensuite à TeleSign. TeleSign génère un "score de confiance" à votre sujet et vend les données téléphoniques à des tiers tels que Microsoft, Salesforce ou TikTok - sans que personne n'en soit informé ou ne donne son consentement."
La copie de l'utilisateur montre l'étendue de la surveillance de TeleSign. Curieux de savoir ce qui était fait de leurs données, plusieurs utilisateurs de téléphones portables ont fait usage du droit que leur confère le GDPR d'obtenir une copie de leurs données auprès de TeleSign, de BICS et de leur fournisseur national de téléphonie mobile. Les réponses ont été assez surprenantes : aucun des opérateurs de téléphonie mobile n'a mentionné TeleSign comme destinataire ou ne savait que les données des utilisateurs étaient envoyées à TeleSign. Dans le même temps, TeleSign a confirmé qu'il possédait le numéro de téléphone et a communiqué le "score de confiance" attribué à ce numéro, tel que "moyen-faible" :
L'IA pour évaluer les personnes et les transferts de données vers les États-Unis. Sur son site web, TeleSign affirme utiliser des modèles d'intelligence artificielle pour analyser l'énorme quantité de données reçues de BICS et pour générer un "score de confiance" pour chaque numéro de téléphone. Tout cela se passe aux États-Unis, où les autorités américaines peuvent également accéder aux données personnelles de TeleSign.
Traitement illégal, amende potentiellement élevée. Si, dans certaines situations, les données personnelles peuvent être utilisées sans consentement à des fins de sécurité, l'utilisation secrète des données de télécommunication de la majorité des utilisateurs de téléphones mobiles dans le monde n'est pas conforme à la législation européenne et nationale en matière de protection des données. Outre l'injonction de cesser le transfert de données à TeleSign, , l'autorité belge de protection des données peut infliger une amende pouvant atteindre 236 millions d'euros, soit 4 % du chiffre d'affaires global du groupe Proximus, propriétaire de BICS et de TeleSign.
Max Schrems : "Les réponses reçues par BICS et TeleSign suggèrent que ce modèle d'entreprise n'est pas conforme à la législation européenne en matière de protection de la vie privée. Nous avons donc déposé une plainte auprès de l'Autorité belge de protection des données, qui est compétente pour Proximus, BICS et TeleSign."
Votre numéro est-il traité par TeleSign ? Il est facile de le savoir ! Les entreprises qui détiennent des données à votre sujet ont l'obligation, en vertu du GDPR, de vous dire si elles traitent des informations vous concernant, mais aussi où elles ont reçu les données, dans quel but elles les utilisent et avec qui elles les ont partagées. Si vous souhaitez savoir si TeleSign possède des données sur vous et vous a attribué un score comme les plaignants, noyb a développé un modèle que vous pouvez utiliser pour envoyer une demande d'accès à TeleSign.