Les gros titres deviennent si courants qu'on les ignore presque: des violations majeures de cartes de crédit à Cible et Neiman Marcus; un bug de sécurité majeur au cœur des systèmes d’exploitation d’Apple; le "saignement de cœur» bug au cœur d’OpenSSL… encore et encore. Cette semaine, c'est la chaîne d'artisanat Michaels qui semble avoir été utilisé pour jusqu'à trois millions de cartes de crédit et de débit sur deux périodes de huit mois. (Ce n’est pas que nous jugeons.) Et n’oublions pas les révélations en cours sur Snowden.
Êtes-vous engourdi? Ou voulez-vous que le gouvernement « fasse quelque chose » pour protéger vos données ?
Vidéos recommandées
Le tribunal de l'opinion publique
Les problèmes de confidentialité et les failles de sécurité ébranlent la confiance de certaines personnes. UN sondage récent Selon le cabinet d'études de marché GfK, un consommateur sur trois déclare avoir été directement touchés par une utilisation abusive des données personnelles au cours de l'année dernière, 60 % d'entre eux déclarant que leurs inquiétudes concernant la confidentialité des données ont augmenté au cours de la dernière année. (Près de neuf personnes sur dix se disent désormais au moins « un peu » préoccupées par la sécurité de leurs informations personnelles.) En outre, plus de la moitié des personnes interrogées déclarent que le gouvernement américain ne fait pas assez pour protéger leurs données, et près de 80 pour cent ont déclaré qu'il devrait y avoir des réglementations strictes régissant la manière dont les courtiers en données et autres peuvent réutiliser les données personnelles. information.
De même, un enquête réalisée l'année dernière par le Pew Internet & American Life Project, 66 % des adultes ont déclaré que les lois actuelles sur la protection de la vie privée ne sont « pas assez efficaces » pour protéger la vie privée des internautes – et, curieusement, la préoccupation était la même dans tous les domaines politiques signalés par les personnes interrogées. affiliations. Peu importe que les gens soient libéraux ou partisans du Tea Party: la plupart étaient préoccupés par leur vie privée en ligne. En janvier, un enquête Pew séparée ont constaté que 18 % des personnes interrogées s'étaient fait voler des informations personnelles importantes (comme une carte de crédit ou un réseau social). Numéro de sécurité), tandis que 21 pour cent – soit un sur cinq – avaient un compte de messagerie ou de réseau social piraté.
Il devrait y avoir une loi !
Ceux qui réclament des réglementations sur la manière dont les entreprises traitent nos données et gèrent les atteintes à la vie privée seront soulagés de le savoir. sont lois. C'est juste qu'ils sont principalement État lois. Actuellement, quarante-sept des cinquante États ont adopté diverses formes de législation sur la protection de la vie privée, le Kentucky s'y mettant cette semaine et le Nouveau-Mexique semblant être le prochain.
"La plus grande préoccupation est qu'un projet de loi fédéral pourrait en réalité être plus faible que de nombreuses lois d'État."
Ce n’est pas comme si le gouvernement fédéral était totalement hors de propos. Cinquième section de la Federal Trade Commission Act interdit les « pratiques déloyales ou trompeuses », qui, selon la FTC, peuvent s'appliquer à des procédures laxistes de sécurité des données. En fait, l’affirmation de la FTC était confirmé la semaine dernière dans une affaire contre Wyndham Hotels, qui a stocké les informations de carte de crédit sous forme de texte brut, n'a pas réussi à modifier les mots de passe par défaut… et a été emmené chez le nettoyeur par des pirates russes à plusieurs reprises. Cependant, la FTC ne peut pas imposer de sanctions en cas de violation; au mieux, cela peut contraindre les entreprises à conclure des accords de règlement dans lesquels elles modifient leurs pratiques, versent des dommages-intérêts et promettent de jouer gentillement pendant quelques années.
Et si le gouvernement fédéral s’impliquait davantage ?
Des propositions de réglementations nationales sur la protection des données existent depuis des années – mais jusqu’à présent, rien n’a été fait. a eu beaucoup de succès au Congrès, et il y a peu d’accord sur les normes, les seuils ou exigences. La suspicion d’une violation de données doit-elle suffire à déclencher des notifications, ou un préjudice réel doit-il avoir eu lieu? Par exemple, une proposition de 2011 de l’administration Obama aurait exigé que toute entreprise disposant d’informations sur plus de 10 000 personnes à divulguer les violations affectant plus de 5 000 personnes, mais uniquement aux agences de crédit et au gouvernement fédéral, et non aux véritables consommateurs.
« La plus grande préoccupation est qu'un projet de loi fédéral pourrait en fait être plus faible que la plupart des lois de l'État », a déclaré Justin Brookman, directeur de la confidentialité des consommateurs à la Centre pour la démocratie et la technologie. « L’un des principaux objectifs de la notification des violations de données n’est pas nécessairement d’en informer tout le monde, mais d’imposer un coût en matière de responsabilité aux entreprises lorsqu’elles se trouvent dans ces terribles situations. De cette façon, il y a une forte incitation à ne pas commettre de violations. Si une loi fédérale impose ce coût moins, ce n’est pas un bon résultat.
S'exprimant en arrière-plan, les dirigeants de deux détaillants nationaux ont indiqué que les entreprises américaines pourraient soutenir une loi nationale sur la violation des données – même si elle entraînait des responsabilités. L’un d’eux a comparé les différentes lois des États sur la protection de la vie privée à la situation de la taxe de vente aux États-Unis, où les taux, les déclarations et la collecte varient considérablement selon les lois des États, des comtés et des municipalités. Une norme unique en matière de confidentialité et de protection des données serait plus facile à gérer et, de l’avis de ce dirigeant, à dépasser pour les entreprises.
Cependant, l’autre dirigeant se méfiait des exigences en matière de reporting. Si les entreprises étaient tenues de déclarer chaque En cas de violation de données pour un certain nombre de clients, qu'un préjudice soit ou non survenu, ils pourraient devenir les entreprises qui criaient au loup, a-t-il déclaré. Les consommateurs pourraient recevoir tellement d’avertissements qu’ils les ignoreraient tout simplement – ce qui ne serait pas non plus un bon résultat.
Tu veux dire que nous recevrions juste des avis ?
Les approches décrites jusqu'à présent se concentrent sur l'information des personnes dont les informations ont été compromises. après une brèche. La meilleure approche consiste certainement à prévenir les violations de données en premier lieu. Et qu’en est-il des courtiers en données, qui collectent et vendent des informations sur nous à quiconque a deux sous à se frotter ?
Ne vous attendez pas à ce que le gouvernement fédéral – ou les États, d’ailleurs – tente de légiférer sur les pratiques de sécurité des données. En fin de compte, ces lois et réglementations évoluent beaucoup plus lentement que la technologie et les pratiques commerciales, et même si les gouvernements peuvent avoir des exigences en matière de contrats ou services particuliers exécutés avec le secteur privé, personne ne s'attend à ce que le gouvernement essaie de dicter largement la manière dont les entreprises protègent les consommateurs données.
Une grande partie de l’économie en ligne repose sur le suivi, l’analyse et la revente d’informations sur les consommateurs.
Certains projets de loi sur la sécurité des données présentés au Congrès comportent des dispositions concernant les courtiers en données, potentiellement les obligeant à permettre aux consommateurs de voir, de corriger ou même de supprimer les informations qui ont été collectées à leur sujet. Cependant, une grande partie de l’économie en ligne repose sur le suivi, l’analyse et la revente d’informations sur les consommateurs – pensez à toutes les publicités ciblées et services personnalisés que nous voyons chaque jour. Des entreprises comme Google, Facebook et Amazon se méfieront probablement de toute exigence visant à laisser les consommateurs contrôler la manière dont les données les concernant sont collectées et générées.
Quelles sont les chances d’une réglementation fédérale concernant les courtiers en données ?
"Le Congrès est tellement figé, il y a si peu de temps pour faire avancer les projets de loi, qu'il est difficile de voir quoi que ce soit qui ne soit pas totalement controversé obtenir du succès", a déclaré Brookman. "Il est possible que quelque chose bouge, mais je pense que les républicains, les démocrates, les défenseurs des consommateurs et les entreprises veulent probablement des choses quelque peu différentes."
Alors ne retenez pas votre souffle.
[Image finale gracieuseté de faux5/Shutterstock]
Recommandations des rédacteurs
- Kaspersky VPN devrait être votre référence pour des connexions sécurisées et la confidentialité
- Voici comment j'ai retrouvé les personnes qui vendaient mes données, puis je les ai arrêtées
- Comment augmenter votre confidentialité et votre sécurité dans Zoom
- Guerriers du clavier: Comment Internet peut être une bouée de sauvetage pour les militants handicapés
- La vie privée est morte, mais elle n’a peut-être pas autant d’importance qu’on le pense