Les opérateurs de télécommunications brésiliens ont fait des progrès et ont eu des lacunes dans le nouveau rapport d’Internet Lab sur les pratiques de confidentialité des utilisateurs

Les opérateurs de télécommunications brésiliens ont fait des progrès et ont eu des lacunes dans le nouveau rapport d'Internet Lab sur les pratiques de confidentialité des utilisateurs

Les plus grands fournisseurs de connexion Internet du Brésil ont fait des progrès modérés dans la protection des données des clients et la transparence de leurs pratiques en matière de confidentialité, mais n'ont pas satisfait à certaines exigences pour faire respecter les droits des utilisateurs en vertu de la loi brésilienne sur la protection des données, selon Quem Defende Seus Dados 2022 d'InternetLab ? (Qui défend vos données ?).

Dans cette septième évaluation annuelle des fournisseurs brésiliens, InternetLab a évalué six entreprises et a examiné à la fois leurs services haut débit et mobiles. Les opérateurs évalués incluent le haut débit fixe et mobile Oi ; Vivo (Telefónica) haut débit fixe et mobile, TIM haut débit fixe et mobile, Claro/NET (América Móvil), Brisanet haut débit fixe et mobile et Algar (haut débit uniquement). Les opérateurs ont été évalués dans six catégories, notamment en fournissant des informations sur leurs politiques de protection des données, en divulguant des directives pour les forces de l'ordre recherchant des données d'utilisateurs, en défendant la vie privée des utilisateurs devant les tribunaux, en soutenant les politiques de protection de la vie privée, en publiant des rapports de transparence et en informant les utilisateurs lorsque le gouvernement demande leur Les données.

Cette année, Oi s'est hissé au sommet et à égalité avec TIM en obtenant les scores les plus élevés – chaque entreprise a obtenu un crédit complet dans quatre des six catégories. Toutes les entreprises du rapport ont reçu un crédit complet pour avoir contesté la législation portant atteinte à la vie privée et les demandes du gouvernement concernant les données des utilisateurs, à l'exception d'Algar, qui a reçu la moitié du crédit. Bien que Brisanet ait amélioré sa position globale, obtenant un crédit complet dans cette catégorie, il a reçu le moins de crédit parmi ses pairs, faisant écho au rapport de l'année dernière.

Les fournisseurs brésiliens améliorant régulièrement la transparence et la protection des données clients au fil des ans, des changements méthodologiques ont été apportés dans cette édition pour relever la barre de l'obtention de crédit dans quelques catégories. Plus précisément, l'évaluation de la conformité des entreprises à la législation sur la protection des données a été élargie pour inclure davantage d'exigences de transparence concernant le partage de données avec des tiers. De nouveaux critères de mesure de la transparence concernant les droits des clients, les transferts de données aux autorités et les protocoles de cybersécurité ont également été ajoutés.

Enfin, InternetLab a vérifié quelles entreprises avaient pris publiquement position contre l'obligation pour les utilisateurs de se soumettre à une authentification par reconnaissance faciale pour activer leurs services de téléphonie mobile.

Les résultats complets du rapport sont ici.

QDSD InternetLab 2022

Transparence de la politique de protection des données : avantages et inconvénients

Presque toutes les entreprises ont été pleinement reconnues pour avoir informé les utilisateurs des données les concernant qui sont collectées, de la durée de conservation des informations et des personnes avec lesquelles elles sont partagées. InternetLab a noté des progrès dans la manière dont les entreprises informaient leurs clients sur leurs données, en particulier la création de portails permettant aux utilisateurs de cliquer sur des liens pour accéder aux politiques de confidentialité et de transparence et de déposer des plaintes concernant leurs droits en vertu de la loi brésilienne sur la protection des données ( Lei Geral de Proteção de Dados ou LGPD).

Cependant, l'enquête a révélé des lacunes dans les délais de réponse des entreprises aux demandes des utilisateurs via les portails. En vertu de la LGPD, les clients ont le droit d'accéder à leurs informations personnelles, de s'assurer de leur exactitude et de demander leur suppression, entre autres. La plupart des entreprises ne répondaient pas aux demandes des utilisateurs dans le délai maximum de 15 jours requis par la loi. Seules Claro/NET et Algar se sont conformées à la disposition, en vertu de laquelle les entreprises sont tenues de fournir une réponse claire et complète. Les chercheurs d'InternetLab testant les pratiques des entreprises n'ont pu obtenir aucune information d'Oi et Tim en réponse aux demandes visant à confirmer si les entreprises détenaient leurs données personnelles et, le cas échéant, la qualité et la quantité de ces données. Quant à Vivo, InternetLab n'a même pas pu déposer la demande en raison de problèmes techniques sur l'application de l'entreprise.

Enfin, Brisanet ne fournit aucun canal en ligne permettant aux non-clients de confirmer si l'entreprise traite leurs données. Les non-clients peuvent voir leurs données personnelles traitées par un opérateur de télécommunications, par exemple, lors de l'appel ou de la réception d'appels des clients de cet opérateur. Ils ont le même droit que les clients de confirmer si l'entreprise a traité leurs données personnelles et d'avoir accès à ces données. Mais Brisanet exige que les non-clients envoient une lettre physique au siège de l'entreprise avec des copies notariées de sa carte d'identité nationale et de sa signature. Bien que des mesures de contrôle soient pertinentes pour vérifier si les données demandées concernent la personne qui en fait la demande, l'entreprise devrait fournir une alternative en ligne et moins bureaucratique à tous les utilisateurs, et pas seulement à leurs clients.

Directives d'application de la loi et plaidoyer public pour la confidentialité des utilisateurs

Le rapport a montré des améliorations dans deux catégories importantes. Toutes les entreprises ont été pleinement créditées pour avoir divulgué des informations sur la manière dont elles traitent les demandes des forces de l'ordre concernant les données des utilisateurs, à l'exception de Brisanet, qui n'a reçu aucun crédit. Algar et TIM se sont à nouveau distingués en publiant un document spécifique détaillant leurs lignes directrices pour l'accès des forces de l'ordre aux informations des utilisateurs. Oi les a rejoints pour la première fois avec des directives de fond sur les types de données qui peuvent être demandées, la base juridique requise pour obtenir des données, les autorités compétentes qui peuvent demander des données et le processus interne de l'entreprise pour analyser la demande avant de transmettre les informations des utilisateurs aux autorités. . Vivo a également reçu un crédit partiel pour une section spécifique de son site Web sur les demandes du gouvernement.

En ce qui concerne la défense de la vie privée des utilisateurs devant les tribunaux, cinq entreprises sur six, dont Brisanet, ont été pleinement créditées. Algar a reçu la moitié du crédit. Toutes les entreprises, représentées par des associations professionnelles de l'industrie des télécommunications telles que l'ACEL et TELCOMP, ont contesté devant les tribunaux les lois des États donnant aux responsables de l'application des lois le pouvoir de demander des données de localisation sans ordonnance judiciaire préalable. De plus, Oi, Claro/NET, TIM, Vivo et Brisanet ont directement contesté les demandes gouvernementales de données d'utilisateurs parce qu'elles manquaient d'une ordonnance judiciaire, montraient une base juridique insuffisante ou allaient au-delà des obligations légales des entreprises en matière de stockage des données. De plus, les entreprises ont amélioré leurs scores pour avoir pris publiquement position en faveur de la confidentialité des utilisateurs, Oi et TIM recevant un crédit complet et Claro/NET, Vivo et Algar recevant un demi-crédit. Entre autres actions, tous ont collaboré au lancement d'un code de bonnes pratiques sur la protection des données pour le secteur des télécommunications, que le groupe commercial industriel Conexis a présenté à l'Autorité nationale de protection des données du Brésil. Comme en 2021, Brisanet n'a reçu aucun crédit dans cette catégorie.

Les entreprises ne s'engagent pas à informer les utilisateurs des demandes de données gouvernementales, mais ont amélioré les chiffres de déclaration

Cette édition réitère l'absence totale d'engagement public des entreprises à informer les utilisateurs lorsque leurs informations sont transmises au gouvernement. Depuis la première édition, toutes les entreprises n'ont pas obtenu de crédit dans cette catégorie. Le rapport révèle également que certaines entreprises doivent améliorer leurs rapports de transparence. Cette année, Brisanet et Algar ont omis de divulguer des données statistiques générales sur les demandes du gouvernement concernant les données des utilisateurs. Oi et Claro /NET ont divulgué ces données pour la première fois. À l'exception de Vivo, aucune autre entreprise ne révèle le nombre de clients concernés par les demandes du gouvernement. Cependant, Vivo n'a pas divulgué le nombre de demandes rejetées. Seul Oi a mentionné les demandes contestées dans son rapport, indiquant qu'il a intenté 18 poursuites pour contester des demandes qu'il considérait comme illégales en 2021.

Enfin, aucune entreprise évaluée n'a publié d'analyse d'impact sur la protection des données.

Utilisation de la reconnaissance faciale évaluée

L'utilisation de la reconnaissance faciale est en augmentation chez les fournisseurs de connexion Internet, en particulier pour les lignes prépayées. Comme nous l'avons dit , la reconnaissance faciale représente une menace inhérente à la vie privée, à la justice sociale, à la liberté d'expression et à la sécurité des informations. Malheureusement, le rapport d'InternetLab a montré qu'il y avait peu d'engagement de la part des entreprises pour accroître la protection de la vie privée lors de la mise en œuvre de la reconnaissance faciale comme méthode de vérification, qu'InternetLab considérait comme particulièrement envahissante pour la vie privée . Cela est troublant car certaines entreprises ont activement promu les technologies de reconnaissance faciale, ce qui peut avoir des conséquences importantes pour la confidentialité numérique au Brésil.

Bien qu'Oi fournisse des services de connectivité pour les initiatives impliquant la reconnaissance faciale dans le contexte de la fraude bancaire et de la sécurité publique, la société n'utilise pas la technologie lors de l'enregistrement des utilisateurs pour les services mobiles prépayés, selon le rapport d'InternetLab. TIM, à son tour, a déclaré qu'il n'utilisait la reconnaissance faciale qu'avec le consentement des titulaires de compte et ne rendait pas son utilisation obligatoire comme mesure de sécurité. Un consentement réel et significatif est le minimum que les entreprises devraient garantir lorsqu'elles lient la reconnaissance faciale à la fourniture de services de télécommunication. Ce n'est pas le cas si donner votre visage est obligatoire pour activer votre compte mobile. Les propositions du gouvernement obligeant les utilisateurs à fournir des données biométriques pour utiliser les services de téléphonie mobile ont suscité une forte résistance de la société civile au Mexique et au Paraguay, qui ont pu respectivement suspendre sa mise en œuvre et son approbation finale.

Conclusion

Au cours des sept dernières années, les fournisseurs d'accès Internet brésiliens ont fait des progrès constants en matière de transparence et d'engagements pour protéger la vie privée des utilisateurs. Le rapport de cette année montre que cette tendance s'est poursuivie en 2021. L'adoption de la LGPD a conduit au fil des ans à des outils plus sophistiqués et conviviaux permettant aux clients d'obtenir des informations sur la manière dont les fournisseurs traitent leurs données personnelles. Mais le rapport montre également que les entreprises ont encore du travail à faire pour se conformer pleinement aux exigences de la LGPD et mettre en œuvre les meilleures pratiques pour informer les utilisateurs des transferts de données, publier des évaluations d'impact sur la protection des données et des rapports de transparence, et adopter une position plus ferme en faveur de la vie privée des utilisateurs lorsqu'elle vient à faire face à la reconnaissance. Le travail d'InternetLab fait partie d'une série de rapports à travers l'Amérique latine et l'Espagne adaptés de Who Has Your Back? rapport, qui depuis près d'une décennie évalue les pratiques des grandes entreprises technologiques mondiales.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/01/brazils-telecom-operators-made-strides-and-had-shortcomings-internet-labs-new le Fri, 27 Jan 2023 13:23:11 +0000.