Publié le 28 décembre 2012 par Andy Green
Je poursuis l’examen du rapport de la FTC, avec ses nouvelles recommandations en matière de confidentialité des consommateurs, publié au début de cette année. Non seulement les recommandations donnent une idée de la vision qu’a l’agence de la protection des données en ligne, mais elles suggèrent également à quoi pourrait ressembler une nouvelle législation.
Je reviens une fois encore sur le rapport de la FTC parce que, au début de ce mois, comme une surprise de fin d’année, la FTC a envoyé un ordre à plusieurs grands courtiers américains en informations pour en savoir plus sur leur activité.
Dans les termes de la FTC, les courtiers en informations ou en données sont « des entreprises qui recueillent des informations personnelles sur les consommateurs à partir de différentes sources publiques et non publiques, et revendent ces informations à d’autres entreprises. » Envoyé à neuf courtiers en données, l’ordre de la FTC demande des informations précises sur la sources des données, la façon dont elles sont entretenues et la capacité qu’ont les consommateurs d’accéder et de corriger des informations inexactes.
On sait que la FTC a son idée à elle de la façon dont les courtiers devraient faire leur travail. Dans ses recommandations, la FTC appelle à un cadre volontaire de confidentialité, qui appliquerait différents principes « substantiels », parmi lesquels la sécurité des données, des limites raisonnables au recueil des données, des pratiques de rétention sensées et la précision des données.
Si ces principes s’appliquent à toutes les entreprises qui gèrent des données de consommateurs, la FTC traite les courtiers en données à part. Le point clé est que les consommateurs n’ont pas de relation directe avec ces entreprises, et que le courtier fait métier de la vente des données à d’autres entreprises.
Quel est l’enjeu ?
Les courtiers savent relier données publiques et informations quasi-privées obtenues à partir de différentes sources en ligne, y compris l’interaction avec des sites web, les cookies et l’activité mobile, dans le but de créer des profils détaillés.
Les données publiquement disponibles, qu’il s’agisse de listes électorales, de listes de contribution aux campagnes politiques, de données hospitalières « anonymes », de ventes d’appartement, de dossiers de prêt hypothécaire, et à présent de registres des propriétaires d’armes, constituent à elles seules un bon point de départ pour une première ébauche. À noter au passage : beaucoup de ces enregistrements publics ont commencé leur vie sous la forme de documents papier dans un hôtel de ville et ont été numérisés par la suite. On reviendra plus tard sur cette perte implicite de confidentialité.
Cependant, il n’est pas excessivement difficile, selon les données et les ressources de calcul disponibles, de combiner de telles données publiques avec d’autres informations « anonymisées » et de les rattacher, avec une forte probabilité, à un individu ou à un groupe, et de cette manière, de compléter le portrait des consommateurs.
Au moins un des courtiers en données auquel le FTC a envoyé sa requête avait fait exactement cela : relier des données personnelles recueillies dans Facebook à des données identifiables stockées dans ses bases de données. Le courtier a, depuis, modifié sa politique de recueil de données sur Facebook.
Idéalement, la FTC voudrait donner aux consommateurs le droit d’accéder aux données recueillies par les courtiers, de les corriger si elles ne sont pas valables et d’y renoncer si nécessaire. Ceux qui suivent mes articles reconnaîtront dans cette approche l’esprit de la Directive sur la protection des données de l’UE.
Si nous acceptons le fait que nous allons tous avoir un profil en ligne développé en permanence à mesure que plus d’informations sont rendues publiques, alors les politiques de confidentialité de la FTC semblent raisonnables.
En revanche, si nous voulons dans une certaine mesure revenir en arrière, il se peut que nous devions remettre en question la large disponibilité des enregistrements publics et administratifs, ou au moins mieux permettre aux consommateurs d’y renoncer.
Les enregistrements publics créés avant l’Internet nécessitaient une visite dans un emplacement physique pour être consultés. Il semblerait que l’intention n’était pas de rendre les données largement et instantanément accessibles. Si je me fie à ce que j’ai lu sur la controverse de la carte des propriétaires d’armes en particulier, la question de la confidentialité des données publiques a en fait réuni les deux camps dans ce débat sur la législation sur les armes. Beaucoup sont d’accord que nous ne devrions sans doute pas mettre trop vite sur le web les données publiques.
The post Courtiers en données : trop d’informations appeared first on Varonis Français.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
