Le lundi 3 avril, le président américain Donald Trump a signé l'abrogation de la règle soumise par la Commission fédérale des communications (FCC) l'année dernière concernant la protection des vie privée des clients des services haut débit et de télécommunications. La règle, qui a été adoptée l'année dernière et qui était sur le point d'entrer en vigueur prochainement, aurait obligé les fournisseurs d'accès Internet tels qu'AT&T, Verizon et Comcast à demander le consentement explicite de leurs clients avant de vendre leurs historiques Web et leurs profils de comportement Internet personnels.
Les FAI se retrouvent désormais confrontés à une lacune réglementaire en matière de protection de la vie privée. Parallèlement, ils bénéficient d'un accès illimité aux informations clients, à portée de main. Contrairement aux plateformes de publicité en ligne (qui peuvent être bloquées via les paramètres de sécurité du navigateur), les FAI ont une visibilité accrue sur les consommateurs. les informations personnelles Comme leur localisation, l'identifiant de leur appareil, leur activité de navigation, leur activité téléphonique en ligne (VoIP), leurs achats et leur consommation de médias, le consommateur n'a aucune possibilité de protéger sa vie privée. Les FAI peuvent associer ces informations aux adresses de facturation et postales de leurs clients, issues de leurs précédentes commandes en ligne, ce qui engendre un risque financier si ces informations tombent entre de mauvaises mains.
Ces données sont une mine d'or pour les FAI car elles peuvent être utilisées pour la publicité ciblée en fonction des médias préférés, du comportement d'achat en ligne, de la localisation, etc. Les FAI peuvent ensuite vendre ces informations aux entreprises et aux agences de publicité pour des raisons évidentes.
Une solution apparemment simple consiste à offrir aux utilisateurs une option de refus. Cependant, recueillir leur consentement et honorer leurs demandes spécifiques nécessiterait un contrôle strict sur l'identité des personnes qui accèdent aux données et leur emplacement, afin de pouvoir les supprimer à la demande. De plus, les coûts liés à la collecte de vastes quantités de données et aux technologies relativement nouvelles nécessaires à la protection de la vie privée seraient exorbitants.
Cette exemption, et la transparence restreinte qu'elle perpétue pour les FAI, soulève des questions intéressantes. Outre la violation flagrante du droit fondamental à la vie privée et l'incohérence des exigences entre les différents secteurs, et même sous le contrôle de la FTC, plusieurs implications se présentent :
- Ils doivent connaître leurs données — Bien que les FAI s'engagent formellement à préserver notre vie privée et le déclarent publiquement, le manque de contrôle et de transparence des consommateurs remet en question leur responsabilité en matière de contrôles appropriés. Si le consommateur ne peut empêcher la collecte de ses données, le FAI peut-il réellement les contrôler ? Vous devez connaître vos données pour les protéger. Si le coût de mise en conformité avec cette nouvelle règle est aussi élevé que le prétendent les FAI, quelles garanties ont-ils que leurs contrôles actuels soient suffisants pour assurer la protection des données ?
- Lignée de données — Les FAI interviennent dans de multiples secteurs d'activité, dont beaucoup couvrent les canaux filaires, mobiles et en ligne. Ces canaux, allant des téléphones portables aux applications multimédias, permettent de traiter les données des consommateurs à différents points de contact. Les FAI peuvent-ils réellement séparer les données collectées sur ces différents canaux et appliquer des contrôles de consentement à l'un d'eux ? Comment peuvent-ils garantir que les informations collectées via une publicité dans une application multimédia, soumises aux règles de consentement de la FCC, ne sont pas combinées avec des informations FAI qui ne le sont pas ? Les FAI peuvent-ils démontrer l'origine des données pour prouver une véritable séparation ?
- Anonymisation — Les FAI affirment que les informations qu'ils vendent sont anonymisées. Autrement dit, elles ne peuvent pas être utilisées pour identifier des personnes spécifiques. Cependant, compte tenu des volumes considérables de données et de la puissance de calcul des infrastructures cloud actuelles, comment peuvent-ils garantir que ces données ne pourront plus être identifiées ?
- RGPD — L'absence de contrôles de confidentialité pour les FAI aux États-Unis contraste fortement avec le nouveau règlement général sur la protection des données (RGPD) de l'UE, qui impose des exigences plus strictes en matière de droits et de consentement des personnes concernées. Ces nouvelles règles, qui entreront en vigueur en mai 2018, s'appliquent à toute entreprise stockant des données de résidents de l'UE. Si les FAI américains ne sont pas tenus de demander le consentement de la FCC, ils pourraient être tenus de rendre des comptes aux autorités européennes de protection des données, car ils sont tenus de conserver les données des résidents itinérants de l'UE se rendant aux États-Unis.
- Les entreprises se soucient de la confidentialité — Les entreprises sont particulièrement soucieuses de la vie privée de leurs employés et, surtout, de la confidentialité de leurs activités. Elles ne souhaitent pas que les déplacements de leurs dirigeants soient suivis ni que leur historique de navigation relatif au développement de leur activité soit profilé. Si les individus disposent d'une influence limitée, les grandes entreprises ont beaucoup plus de pouvoir et seraient en mesure d'exiger ce que les individus ne peuvent pas obtenir.
Si l'abrogation de cette règle importante peut décevoir les défenseurs de la vie privée, ils peuvent être assurés que cette situation inexplorée ne pourra perdurer. La sensibilisation des consommateurs à la protection de la vie privée est croissante et la protection des internautes contre la surveillance commerciale et gouvernementale devrait être une véritable aspiration bipartite. Les réglementations en matière de protection de la vie privée se multiplient partout dans le monde (nouveau RGPD, réglementations du Royaume-Uni, de la Russie et de la Chine), et plus particulièrement aux États-Unis, notamment la législation des États et les politiques de la FTC. Par ailleurs, comme l'a déclaré la FCC, « le président Pai estime que la meilleure façon de protéger la vie privée en ligne des consommateurs américains est de mettre en place un cadre réglementaire complet et uniforme. » Prochaines étapes ? La FCC doit œuvrer en faveur d'une réglementation générale américaine sur la protection de la vie privée.
Auteur
