Google autorise une société de publicité russe sous sanctions à collecter des données d’utilisateurs pendant des mois

ProPublica est un journal d’investigation lauréat du prix Pulitzer. Abonnez-vous à la newsletter The Big Story pour recevoir des histoires similaires dans votre boîte de réception.

Le lendemain de l’invasion de l’Ukraine par la Russie en février, le président de la commission sénatoriale du renseignement, Mark Warner, a envoyé une lettre à Google avertissant que l’entreprise devrait être à l’affût de « l’exploitation de votre plate-forme par la Russie et des entités liées à la Russie » et a exhorté l’entreprise à auditer votre publicité. conformité des entreprises aux sanctions économiques.

Mais pas plus tard que le 23 juin, Google a partagé des données utilisateur potentiellement sensibles avec une société de publicité russe sanctionnée appartenant à la plus grande banque d’État de Russie, selon un nouveau rapport fourni par ProPublica.

Google a autorisé RuTarget, une société russe qui aide les marques et les agences à acheter des publicités numériques, à accéder et à stocker des données sur les personnes naviguant sur des sites Web et des applications en Ukraine et dans d’autres parties du monde, selon une étude réalisée par la société d’analyse des publicités numériques Adalytics . Adalytics a identifié environ 700 cas dans lesquels RuTarget a reçu des données d’utilisateurs de Google après que la société a été ajoutée à la liste des entités sanctionnées du département du Trésor américain le 24 février. L’échange de données entre Google et RuTarget s’est terminé quatre mois plus tard, le 23 juin, le jour où ProPublica a contacté Google au sujet de l’activité.

RuTarget, qui opère également sous le nom de Segmento, appartient à Sberbank, une banque d’État russe que le Trésor a qualifiée de «critique» pour l’économie du pays lorsqu’il a imposé des sanctions initiales au prêteur. RuTarget a ensuite été répertorié dans une déclaration du 6 avril du ministère des Finances , qui a imposé des sanctions de blocage complètes à la Sberbank et à d’autres entités et individus russes. Les sanctions signifient que les individus et entités américains ne doivent pas faire affaire avec RuTarget ou Sberbank.

L’analyse est particulièrement préoccupante, qui a montré que Google partageait avec RuTarget des données sur les utilisateurs naviguant sur des sites Web ukrainiens. Cela signifie que Google peut avoir partagé des informations sensibles telles que des identifiants de téléphone portable uniques, des adresses IP, des informations de localisation et des détails sur les intérêts des utilisateurs et l’activité en ligne, des données qui, selon les sénateurs et experts américains, pourraient être utilisées par les agences militaires et de renseignement russes pour suivre les personnes. . ou se concentrer sur les lieux d’intérêt.

En avril dernier, un groupe bipartite de sénateurs américains a envoyé une lettre à Google et à d’autres grandes sociétés de technologie publicitaire avertissant des implications pour la sécurité nationale des données partagées dans le cadre du processus d’achat de publicités numériques. Ils ont déclaré que ces données d’utilisateurs « seront une mine d’or pour les services de renseignement étrangers qui pourront les utiliser pour informer et amplifier les campagnes de piratage, de chantage et d’influence ».

Le porte-parole de Google, Michael Aciman, a déclaré que la société avait empêché RuTarget d’utiliser ses produits publicitaires en mars et que depuis lors, RuTarget n’avait pas acheté d’annonces directement via Google. Il a reconnu que la société russe recevait toujours des données sur les utilisateurs et les achats d’annonces de Google avant que ProPublica et Adalytics ne l’en avertissent.

« Google s’engage à respecter toutes les sanctions applicables et les lois de conformité commerciale », a déclaré Aciman. « Nous avons examiné les organisations en question et avons pris les mesures d’exécution appropriées, en plus des mesures que nous avons prises plus tôt cette année, pour bloquer leur utilisation directe des produits publicitaires de Google. »

Aciman a déclaré que l’action comprend non seulement l’empêchement de RuTarget d’accéder davantage aux données des utilisateurs, mais également une interdiction d’acheter des publicités par l’intermédiaire de tiers en Russie, qui ne peuvent pas faire l’objet de sanctions. Il a refusé de dire si RuTarget achetait des publicités via les systèmes Google avec l’aide de ces tiers, et n’a pas précisé si des données sur les Ukrainiens avaient été transmises à RuTarget.

Krzysztof Franaszek, responsable d’Adalytics et auteur du rapport, a déclaré que la capacité de RuTarget à accéder et à stocker les données des utilisateurs de Google pourrait ouvrir la porte à de graves abus potentiels.

« Pour autant que nous sachions, ils prennent ces données et les combinent avec 20 autres sources de données qu’ils ont obtenues de Dieu sait où », a-t-il déclaré. « Si les autres partenaires de données de RuTarget incluent le gouvernement russe, les services de renseignement ou les cybercriminels, il y a un énorme danger. »

Dans une déclaration à ProPublica, Warner, un démocrate de Virginie, a qualifié d’inquiétante l’incapacité de Google à couper les liens avec RuTarget.

« Toutes les entreprises ont la responsabilité de s’assurer qu’elles n’aident pas à financer ou même soutiennent par inadvertance l’invasion de l’Ukraine par Vladimir Poutine. Apprendre qu’une entreprise américaine pourrait partager des données d’utilisateurs avec une entreprise russe détenue par pas moins qu’une banque publique sanctionnée est incroyablement troublant et carrément décevant », a-t-il déclaré. « J’exhorte toutes les entreprises à revoir leurs opérations commerciales de haut en bas pour s’assurer qu’elles ne soutiennent en aucune façon la guerre de Poutine. »