Le procureur général James annonce un règlement à l'amiable avec un développeur d'applications qui n'a pas protégé la vie privée des jeunes utilisateurs

NEW YORK - Letitia James, procureur général de l'État de New York,a annoncé aujourd'hui un accord avec Saturn Technologies, développeur d'une application appelée Saturn utilisée par des lycéens, pour ne pas avoir protégé la vie privée des jeunes utilisateurs. Saturn permet aux lycéens de créer un calendrier personnel, d'envoyer des messages aux autres membres, de partager des comptes de médias sociaux, de rejoindre des groupes et de savoir où se trouvent les autres utilisateurs en fonction de leur calendrier. Saturn Technologies a affirmé que son application ne permettait qu'aux utilisateurs d'une même école secondaire d'interagir entre eux. Cependant, l'enquête du Bureau du procureur général (OAG) a révélé que l'entreprise n'avait pas vérifié l'adresse électronique et l'âge des utilisateurs pour s'assurer qu'il s'agissait bien de lycéens, et qu'elle avait permis à des utilisateurs de lycées différents d'interagir les uns avec les autres. À la suite de l'accord conclu aujourd'hui, Saturn Technologies doit payer 650 000 dollars de pénalités et modifier considérablement ses pratiques pour protéger les utilisateurs.

"L'application Saturn aide les élèves à se tenir au courant des événements scolaires, des sports, des examens et des devoirs, mais elle n'a pas protégé la sécurité et la vie privée des jeunes utilisateurs", a déclaré le procureur général James. "Saturn Technologies aurait dû vérifier strictement les utilisateurs pour s'assurer qu'ils étaient bien des lycéens et s'assurer que les élèves interagissaient avec d'autres élèves de leur lycée, et non avec des inconnus. Avec ce règlement, Saturn Technologies devra mettre à jour ses pratiques, mieux protéger les utilisateurs et tenir ses promesses. Ma priorité absolue est toujours de défendre la sécurité des New-Yorkais, en particulier lorsqu'il s'agit de jeunes vulnérables".

L'application Saturn est un réseau social construit autour d'un calendrier personnalisé pour les lycéens. L'application permet aux élèves de choisir la communauté de leur lycée et de partager des informations personnelles avec cette communauté, telles que leur nom, leur photo, leur biographie, leurs liens vers les médias sociaux et leur emploi du temps. Les élèves peuvent également se lier d'amitié avec d'autres utilisateurs de leur école et discuter avec eux. Saturn Technologies a promis aux utilisateurs que sa plateforme était limitée aux lycéens dont on avait vérifié qu'ils fréquentaient la même école. Dans un premier temps, Saturn a demandé à tous les utilisateurs de l'application de vérifier leur appartenance à une communauté scolaire particulière en utilisant l'adresse électronique de leur lycée.  

Cependant, l'OAG a constaté qu'en 2021, Saturn Technologies a rendu facultative la vérification des utilisateurs par courrier électronique et n'a pas informé les utilisateurs de ce changement ni modifié les promesses de sécurité qu'elle avait faites précédemment. Saturn Technologies a également désactivé la vérification des utilisateurs pour plus de 4 000 écoles secondaires entre 2021 et 2023, ce qui permet à n'importe qui de rejoindre la communauté des élèves de l'école secondaire et d'accéder à leur emploi du temps et à d'autres informations personnelles.

L'enquête du BVG a également révélé qu'après que Saturn Technologies a rendu facultative la vérification de l'identité des utilisateurs de l'école en 2021, elle a commencé à utiliser des méthodes de vérification des utilisateurs non éprouvées et non testées. Une méthode non éprouvée de vérification de l'appartenance d'un utilisateur à la communauté d'un lycée consistait à vérifier s'il figurait dans l'annuaire téléphonique de trois autres utilisateurs seulement. Une autre méthode non éprouvée de vérification de l'appartenance d'un utilisateur à la communauté d'un lycée a consisté à confirmer que l'utilisateur avait été accepté comme "ami" SaturnApp avec un seul autre utilisateur. Ces méthodes de vérification ne sont pas suffisamment solides pour confirmer qu'un utilisateur appartient à une certaine communauté scolaire.

L'enquête de l'OAG a également permis de déterminer que Saturn Technologies :

• Jusqu'en août 2023, les nouveaux utilisateurs n'ont pas été filtrés sur la base de leur date de naissance pour confirmer qu'ils avaient l'âge d'aller au lycée ;
• a fait la promotion de son application par l'intermédiaire d'autres lycéens sans révéler qu'ils étaient rémunérés pour leurs promotions ;
• a fait une copie des carnets de contacts des utilisateurs (avec les noms, les numéros de téléphone personnels et d'autres informations de contact) et a continué à utiliser les copies même si l'utilisateur a modifié les paramètres de son téléphone pour refuser à l'application l'accès à son carnet de contacts ; et
• N'a pas tenu de registres suffisants concernant la confidentialité des données, les autorisations de données, la vérification des utilisateurs et la protection de la vie privée des utilisateurs. 

Ce règlement impose à Saturn Technologies d'informer les utilisateurs actuels des changements de vérification apportés à son application et de leur donner la possibilité de modifier leurs paramètres de confidentialité. L'entreprise est également tenue de fournir à tous les utilisateurs actuels et futurs âgés de moins de 18 ans des options de confidentialité améliorées, telles que la possibilité de masquer les comptes de médias sociaux aux personnes qui ne sont pas des amis. Saturn invitera également tous les utilisateurs de moins de 18 ans à revoir leurs paramètres de confidentialité tous les six mois. En outre, il est interdit à Saturn Technologies de faire à l'avenir des déclarations concernant la sécurité ou la vérification des utilisateurs, à moins que la société ne dispose d'une base raisonnable pour faire cette déclaration, fondée sur des preuves scientifiques compétentes et fiables.

Ce règlement impose également à Saturn Technologies de :

• Limiter la visibilité des informations sur les élèves n'utilisant pas Saturne que d'autres utilisateurs de Saturne peuvent entrer dans l'application, telles que l'inscription à un cours ou la participation à un événement de l'élève n'utilisant pas Saturne ;
• Permettre aux enseignants de bloquer leur nom, leurs initiales ou tout autre identifiant personnel pour qu'ils n'apparaissent pas dans la fonction d'emploi du temps de l'application ;
• supprimer les copies conservées des carnets de contacts téléphoniques de certains utilisateurs ; et
• Masquer les informations personnelles des utilisateurs actuels de moins de 18 ans jusqu'à ce que Saturn Technologies obtienne leur consentement éclairé aux nouvelles conditions d'utilisation de l'application Saturn. 

Saturn Technologies doit également payer 650 000 dollars de pénalités et de frais à l'État. La société paiera 200 000 dollars immédiatement et 450 000 dollars seront suspendus afin de garantir que SaturnTechnologies respecte les conditions du règlement.

Le procureur général James a pris plusieurs mesures pour protéger les enfants en ligne.  En novembre 2024, le procureur général James a exhorté le Congrès à adopter la loi sur la sécurité des enfants en ligne (Kids Online Safety Act - KOSA) afin de protéger les enfants des fonctions dangereuses des médias sociaux. En octobre 2024, le procureur général James et une coalition bipartisane de 14 procureurs généraux d'État ont poursuivi TikTok pour atteinte à la santé mentale des enfants. En septembre 2024, le procureur général James a pris la tête d'une coalition bipartisane de 42 procureurs généraux pour exhorter le Congrès à mettre en place des étiquettes d'avertissement sur les plateformes de médias sociaux, comme l'a demandé le Surgeon General des États-Unis. En juin 2024, deux textes législatifs proposés par le procureur général James sont entrés en vigueur dans l'État de New York. Ces nouvelles lois empêcheront la collecte des données personnelles des enfants et limiteront les fonctionnalités des médias sociaux qui sont préjudiciables à la santé mentale des adolescents.

Cette affaire a été traitée par l'assistante du procureur général Gena Feist et le chef de bureau adjoint Clark Russell, sous la supervision du chef de bureau Kim Berger du bureau de l'Internet et de la technologie. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le premier vice-procureur général Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.