Comment le Congrès pourrait maîtriser Google et Facebook

En avril, Mark Zuckerberg a été appelé devant les comités du commerce et de la magistrature du Sénat pour assumer la responsabilité de Cambridge Analytica. C'était une audition brutale et les législateurs semblaient prêts pour une nouvelle réglementation.

"Cela devrait être un réveil pour la communauté des technologies", a déclaré lors de l'audition le sénateur John Thune (R-SD).

Les démocrates n’étaient pas doux non plus. "Si Facebook et d'autres entreprises en ligne ne veulent pas ou ne peuvent pas réparer les atteintes à la vie privée", a déclaré le sénateur Bill Nelson (D-FL), membre du classement du comité, "nous devrons le faire. Nous le congrès. "

Six mois et plusieurs audiences plus tard, le Congrès est toujours en train de déterminer ce que pourrait signifier la protection de la vie privée. Après de nouvelles réglementations ambitieuses en matière de partage de données, telles que le règlement général sur la protection des données de l’Union européenne, le Congrès prépare sa propre loi sur la confidentialité des données. Son écriture aura une grande importance pour des entreprises comme Google et Facebook.

Les chefs de file de l'industrie et les défenseurs des droits des consommateurs ont déjà cerné les dispositions du projet de loi, par exemple en interdisant aux États d'adopter leurs propres règles plus strictes en matière de protection de la vie privée ou en définissant exactement la manière dont ils définiront les informations personnelles. Cette lutte déterminera comment le gouvernement des États-Unis sera en mesure de restreindre les pratiques de prédateur en matière de vie privée dans un avenir proche.

"Ces développements se sont conjugués pour placer la question de la confidentialité des données des consommateurs à la portée du Congrès", a déclaré Thune avant une audience sur le commerce le mois dernier. «La question n’est plus de savoir si nous avons besoin d’une loi fédérale pour protéger la vie privée des consommateurs. La question est de savoir quelle forme cette loi devrait prendre.

Quel contrôle les consommateurs ont-ils sur leurs données?

L'une des différences les plus remarquables entre l'internet avant et après le RPGD est le nombre de fois où les utilisateurs sont invités à donner leur consentement à la collecte de données. En vertu du RPGD, les utilisateurs doivent donner leur consentement explicite avant que les entreprises puissent les récupérer pour obtenir des données. Ils doivent également disposer d'une méthode permettant de révoquer ce consentement à tout moment. Quels que soient les détails, une version de ces exigences de transparence et de contrôle sera au cœur de toute législation.

Certains des plus importants projets de loi «opt-in» ont été présentés à la suite du scandale Cambridge Analytica, le considérant comme un échec du consentement des utilisateurs. Un certain nombre de projets de loi tentent de remédier à cette faille en obligeant les utilisateurs à s'inscrire à la collecte ou au moins à être avertis du lieu où leurs données sont dirigées et dans quel but. La loi sur le navigateur du Représentant Blackburn (R-TN) et la loi sur le CONSENTEMENT du sénateur Ed Markey (D-MA) obligeraient les fournisseurs de services de périphérie à demander aux utilisateurs de s’inscrire avant la collecte de données sensibles. Il diffère du modèle actuel, dans lequel des entreprises telles que Google fournissent des modèles de désinscription quelque part dans les options de configuration du profil.

Mais même si ces projets de loi sont promulgués, ils ne risquent pas de sanctionner d'autres événements analogues à Cambridge Analytica. Ces deux factures ne couvrent que des informations sensibles telles que les numéros de sécurité sociale, des données biométriques et des données de géolocalisation précises. Cambridge Analytica a traité des points de données qui ne sont généralement pas considérés comme «sensibles», comme les intérêts et les enregistrements de localisation.

Sens. Amy Klobuchar (D-MN) et la loi sur les droits des consommateurs des médias sociaux de John Kennedy (R-LA) imposeraient une fenêtre de divulgation identique à celle mise en œuvre dans les 72 heures par le GDPR. Le projet de loi Markey ordonnerait à la Federal Trade Commission d’établir des exigences en matière de divulgation des violations pour les situations dans lesquelles «un préjudice est raisonnablement susceptible de se produire». Jusqu’à présent, la FTC n’avait pas beaucoup d’autorité pour responsabiliser les entreprises de haute technologie. Certains de ces projets de loi conféreraient à l’organisme le pouvoir de définir des règles comme l’autorité des télécommunications de la FCC, établissant de fait la FTC comme un puissant nouvel organe de contrôle fédéral de la vie privée.

D'autres méthodes en dehors de l'action du Congrès en matière de contrôle de l'utilisateur ont également été proposées. Au cours de l'été, le sénateur Mark Warner (D-VA) a publié un livre blanc énumérant plusieurs suggestions de réglementation de la technologie, notamment un projet qui considérerait les plateformes comme des «fiduciaires de l'information». En gros, cela reclasserait les fournisseurs en organismes semblables à ceux appartenant à la médecine, le droit et la finance, exigeant des plateformes de médias sociaux comme Facebook de ne pas agir contre les intérêts de ses utilisateurs. Cette règle pourrait être officiée par plusieurs agences gouvernementales, en passant plus rapidement que n’importe quel projet de loi soumis au Congrès. Si elle est approuvée, ces entreprises seront tenues à un niveau plus élevé que jamais auparavant.

Qu'est-ce qui compte comme données sensibles?

Historiquement, les détails personnels tels que ce qui était facile à trouver dans un répertoire n’étaient pas considérés comme aussi dommageables que ceux contenant des données plus «sensibles» comme les informations de carte de crédit et les numéros de sécurité sociale. Au cours des dix dernières années environ, cette discussion a toutefois évolué. Une fuite de votre nom légal associée à un nom d’utilisateur anonyme pour Reddit ou OkCupid peut entraîner un préjudice à la réputation et aux émotions, même si cela ne compte pas, techniquement, comme une violation. Ces règles plus strictes sont, selon les défenseurs des droits des consommateurs, dignes de figurer dans la législation.

Grâce à des mesures telles que la California Consumer Privacy Act, les consommateurs ont plus de pouvoir sur ces données. Cependant, au cœur même de tout projet de loi, il y a la manière dont il définira les informations «personnelles» ou «sensibles». Si ces informations plus élémentaires ne sont pas incluses dans cette définition, de nombreuses entreprises pourraient passer inaperçues sans conséquence si les noms d'utilisateur, les courriels ou les adresses devaient être enfreints.

«Nous avons reconnu au cours des dernières années que la protection de la vie privée suscitait davantage de préoccupations en matière de protection de la vie privée», a déclaré Laura Moy, directrice générale du Center on Privacy & Technology de Georgetown Law. “[There’s] se faire voler des informations, même s’il ne s’agit pas d’informations sur leurs finances. "

Plusieurs projets de loi de ce terme se heurtent également à cette définition, précisant quels types d’informations devraient être couverts lorsqu’on réglemente certains aspects du débat sur la protection de la vie privée et en laissant de côté les formes de données qui ne devraient pas l'être.

Le projet de loi Kennedy-Klobuchar couvrirait des informations plus stéréotypées, telles que l’adresse électronique d’un utilisateur et le numéro de téléphone d’un utilisateur, en plus de ces informations plus sensibles. ITI et Internet Association ont tous deux mis en place des cadres qui permettraient aux utilisateurs de mieux contrôler leurs propres données, leur permettant de corriger et de supprimer les informations collectées. Mais dans des propositions comme ITI, les utilisateurs n’auraient qu’à consentir explicitement à la collecte d’informations sensibles, et non à la collecte de pièces plus personnelles comme les numéros de téléphone.

Les factures de Blackburn et de Markey sont plus limitées et ciblent des informations que nous avons généralement considérées comme «sensibles». Klobuchar inclut ces informations, mais les étend plus loin pour couvrir davantage de détails personnels tels que les courriels, les numéros de téléphone et «toute information de localisation suffisante pour identifier le nom». d'une rue et d'une ville ou d'un village, y compris une adresse physique ». Si celles-ci étaient utilisées comme référence pour une réglementation fédérale générale, une définition plus large, comme celle proposée par Klobuchar, aurait un impact considérable sur le type de données qui, en cas de violation, entraînerait une pénalité plus sévère pour les entreprises.

Plus tôt ce mois-ci, Facebook a annoncé que 30 millions de comptes avaient été compromis après que les informations de connexion avaient été obtenues par des pirates via une faille de sécurité. Selon Facebook, les pirates informatiques n’ont pu obtenir que des informations de base sur la sécurité, telles que les noms des utilisateurs, leurs courriels et leurs numéros de téléphone. Si le projet de loi sur Klobuchar avait été adopté, la loi aurait obligé Facebook à divulguer à ses utilisateurs l'infraction de ces données plus personnelles.

Une loi fédérale faible pourrait bloquer l'adoption de lois plus strictes

Comme le Congrès s'y attend, certaines des mesures de protection de la vie privée les plus strictes ont été adoptées par des projets de loi au niveau des États, tels que la loi sur la protection des renseignements personnels des consommateurs de Californie (CCPA). En vertu de cette loi, les entreprises sont tenues de donner aux utilisateurs la possibilité de se retirer de la vente et de la collecte de leurs données. Si une entreprise devait continuer à le faire, le consommateur pourrait la poursuivre. Mais les leaders de l'industrie demandent maintenant une clause de préemption dans le projet de loi fédéral qui prévaudrait sur le CCPA et interdirait tout projet de loi futur d'un État comme celui-ci. Si la clause est incluse, même un projet de loi fédéral relativement puissant pourrait signifier un recul des protections de la vie privée pour des États comme la Californie.

Les dirigeants du secteur estiment que l’établissement d’une norme fédérale unique facilitera le respect des nouvelles règles pour les entreprises. Mais pour les groupes de défense de la vie privée, c’est juste un moyen de faire pression contre les fortes protections des États. «Ce sont souvent les assemblées législatives des États, et non le Congrès, qui ont pris la tête des efforts visant à protéger la vie privée des consommateurs», a déclaré Neema Singh Guliani, conseillère législative principale de l'American Civil Liberties Union, dans un éditorial le mois dernier. "Le secteur privé le sait et de nombreuses entreprises cherchent à y mettre fin."

Les 50 États avaient tous une législation sur la violation de données et les règles plus strictes de certains États rendaient assez convaincant pour qu’Equifax les applique à l’échelle nationale à la suite de la violation massive de la société de surveillance du crédit de l’année dernière.

«Si les normes fédérales sont strictes et s’adaptent aux nouvelles menaces, les États pourraient ne pas avoir besoin d’adopter leurs propres lois pour compléter ces normes. Mais préserver leur capacité à agir si tel n'est pas le cas peut être bénéfique pour le public », a déclaré Guliani.

Ce n'est que le début

On ne sait pas quand le Congrès donnera suite à ces propositions – ce n’est peut-être pas bientôt – mais les discussions, les auditions et le projet de loi indiquent que les législateurs s'interrogent sur ce qui pourrait et devrait être fait pour reléguer ces géants de la technologie.

Au cours des prochains mois, attendez-vous à davantage d’audiences, de lettres d’enquête et de demandes d’enquêtes fédérales, mais n’attendez aucun changement réel et spectaculaire de la manière dont des sociétés comme Facebook et Google collectent et diffusent vos données. Le Département du commerce n'a pas encore proposé son cadre, mais une fois annoncé, il a le potentiel de secouer encore plus le débat.

Jusqu'à présent, la plupart des discussions ont simplement consisté en législateurs marquant leur territoire pour de futurs débats. Lorsque le prochain Congrès entrera en session, la discussion prendra fin et le Congrès devra décider comment compter avec le nouveau pouvoir de plates-formes telles que Facebook.