Publié le 28 décembre 2012 par Andy Green
Je poursuis l’examen du rapport de la FTC, avec ses nouvelles recommandations en matière de confidentialité des consommateurs, publié au début de cette année. Non seulement les recommandations donnent une idée de la vision qu’a l’agence de la protection des données en ligne, mais elles suggèrent également à quoi pourrait ressembler une nouvelle législation.
Je reviens une fois encore sur le rapport de la FTC parce que, au début de ce mois, comme une surprise de fin d’année, la FTC a envoyé un ordre à plusieurs grands courtiers américains en informations pour en savoir plus sur leur activité.
Dans les termes de la FTC, les courtiers en informations ou en données sont « des entreprises qui recueillent des informations personnelles sur les consommateurs à partir de différentes sources publiques et non publiques, et revendent ces informations à d’autres entreprises. » Envoyé à neuf courtiers en données, l’ordre de la FTC demande des informations précises sur la sources des données, la façon dont elles sont entretenues et la capacité qu’ont les consommateurs d’accéder et de corriger des informations inexactes.
On sait que la FTC a son idée à elle de la façon dont les courtiers devraient faire leur travail. Dans ses recommandations, la FTC appelle à un cadre volontaire de confidentialité, qui appliquerait différents principes « substantiels », parmi lesquels la sécurité des données, des limites raisonnables au recueil des données, des pratiques de rétention sensées et la précision des données.
Si ces principes s’appliquent à toutes les entreprises qui gèrent des données de consommateurs, la FTC traite les courtiers en données à part. Le point clé est que les consommateurs n’ont pas de relation directe avec ces entreprises, et que le courtier fait métier de la vente des données à d’autres entreprises.
Quel est l’enjeu ?
Les courtiers savent relier données publiques et informations quasi-privées obtenues à partir de différentes sources en ligne, y compris l’interaction avec des sites web, les cookies et l’activité mobile, dans le but de créer des profils détaillés.
Les données publiquement disponibles, qu’il s’agisse de listes électorales, de listes de contribution aux campagnes politiques, de données hospitalières « anonymes », de ventes d’appartement, de dossiers de prêt hypothécaire, et à présent de registres des propriétaires d’armes, constituent à elles seules un bon point de départ pour une première ébauche. À noter au passage : beaucoup de ces enregistrements publics ont commencé leur vie sous la forme de documents papier dans un hôtel de ville et ont été numérisés par la suite. On reviendra plus tard sur cette perte implicite de confidentialité.
Cependant, il n’est pas excessivement difficile, selon les données et les ressources de calcul disponibles, de combiner de telles données publiques avec d’autres informations « anonymisées » et de les rattacher, avec une forte probabilité, à un individu ou à un groupe, et de cette manière, de compléter le portrait des consommateurs.
Au moins un des courtiers en données auquel le FTC a envoyé sa requête avait fait exactement cela : relier des données personnelles recueillies dans Facebook à des données identifiables stockées dans ses bases de données. Le courtier a, depuis, modifié sa politique de recueil de données sur Facebook.
Idéalement, la FTC voudrait donner aux consommateurs le droit d’accéder aux données recueillies par les courtiers, de les corriger si elles ne sont pas valables et d’y renoncer si nécessaire. Ceux qui suivent mes articles reconnaîtront dans cette approche l’esprit de la Directive sur la protection des données de l’UE.
Si nous acceptons le fait que nous allons tous avoir un profil en ligne développé en permanence à mesure que plus d’informations sont rendues publiques, alors les politiques de confidentialité de la FTC semblent raisonnables.
En revanche, si nous voulons dans une certaine mesure revenir en arrière, il se peut que nous devions remettre en question la large disponibilité des enregistrements publics et administratifs, ou au moins mieux permettre aux consommateurs d’y renoncer.
Les enregistrements publics créés avant l’Internet nécessitaient une visite dans un emplacement physique pour être consultés. Il semblerait que l’intention n’était pas de rendre les données largement et instantanément accessibles. Si je me fie à ce que j’ai lu sur la controverse de la carte des propriétaires d’armes en particulier, la question de la confidentialité des données publiques a en fait réuni les deux camps dans ce débat sur la législation sur les armes. Beaucoup sont d’accord que nous ne devrions sans doute pas mettre trop vite sur le web les données publiques.
The post Courtiers en données : trop d’informations appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
