En novembre, les Californiens seront appelés à voter sur une initiative de vote appelée California Privacy Rights Act , ou Proposition 24 . L'EFF ne le soutient pas; L'EFF ne s'y oppose pas non plus.
L'EFF travaille dans tout le pays pour promulguer et défendre des lois qui permettent aux utilisateurs de la technologie de contrôler la façon dont les entreprises traitent leurs informations personnelles. Les meilleures lois sur la confidentialité des données des consommateurs exigent que les entreprises obtiennent le consentement des consommateurs avant de traiter leurs données; interdire le traitement des données, sauf si nécessaire pour donner aux consommateurs ce qu'ils ont demandé (souvent appelé «minimisation des données»); interdire les systèmes de «paiement pour la vie privée» qui font pression sur tous les consommateurs, et en particulier ceux à faible revenu, pour qu'ils renoncent à leurs droits à la vie privée; et laisser les consommateurs poursuivre les entreprises qui enfreignent ces règles. En Californie, nous avons travaillé avec d'autres défenseurs de la protection de la vie privée pour essayer de faire adopter ce type d' amendements de renforcement à notre California Consumer Privacy Act (CCPA).
Prop 24 ne fait pas assez pour améliorer la confidentialité des données des consommateurs californiens. C'est un sac mixte de pas partiels en arrière et en avant. Il comprend certaines des modifications de renforcement demandées par les défenseurs de la vie privée, mais pas la plupart. Ce billet traite de certaines des dispositions de cette initiative de vote de 52 pages et de certaines occasions manquées.
Plus d'obligation de payer pour notre vie privée
La proposition 24 élargirait les systèmes de « paiement pour la vie privée ». Plus précisément, l'initiative exempterait les «clubs de fidélité» de la limite actuelle de l'ACCP sur les entreprises qui facturent des prix différents aux consommateurs qui exercent leurs droits à la protection de la vie privée. Voir Sec. 125 a) (3). Ce changement permettrait à une entreprise de refuser une remise à un consommateur, à moins que le consommateur ne laisse l'entreprise récolter des données granulaires sur ses habitudes d'achat, puis de profiter de la divulgation de ces données à d'autres entreprises. L'initiative élargirait également une échappatoire existante du CCPA (permettant des «incitations financières» pour certains traitements de données) de la simple «vente» de ces données à un «partage» de celles-ci.
Malheureusement, les systèmes de paiement pour la vie privée font pression sur tous les Californiens pour qu'ils renoncent à leurs droits à la vie privée. Pire encore, en raison des inégalités économiques flagrantes de notre société, ces systèmes conduiront injustement à une société de «nantis» et de «démunis» de la vie privée.
Une opportunité manquée sur les défauts de protection de la vie privée
L'EFF préconise un modèle opt-in de traitement des données, dans lequel les entreprises ne peuvent pas collecter, utiliser, partager ou stocker nos informations sans obtenir au préalable notre consentement explicite. Cela fait de la confidentialité l'option par défaut. Des études montrent que les valeurs par défaut sont importantes, car la plupart des gens ne modifient pas les paramètres de leurs appareils et applications. La confidentialité devrait être la valeur par défaut, en particulier lorsqu'il s'agit de garantir aux consommateurs le contrôle de la manière dont leurs informations circulent dans un écosystème de données complexe.
La CCPA, bien qu’une loi importante, impose aux consommateurs le fardeau de refuser la conservation et la vente de leurs renseignements. Mais la plupart des gens ne le feront jamais. Cela permet aux entreprises de continuer à conserver et à vendre leurs données, même si bon nombre de ces personnes ne le souhaitent pas.
Il est maintenant temps d'inverser la valeur par défaut et d'assurer ainsi une solide protection de la vie privée. Prop 24 rate une occasion de le faire.
Un demi-pas sur la minimisation des données
La règle de minimisation des données de Prop 24 n'est qu'un pas en avant partiel. Les entreprises doivent être interdites de collecter les informations personnelles d'un consommateur au-delà de ce qui est nécessaire pour fournir au consommateur le bien ou le service demandé. Telle était l'approche adoptée cette année dans le California AB 3119 (Asm. Wicks), que la coalition pour la protection de la vie privée a soutenue.
Mais Prop 24 utilise le mauvais critère: au lieu de se pencher sur les propres attentes du consommateur, Prop 24 se tourne plutôt vers les objectifs de l'entreprise. Voir Sec. 100 (c). Pire encore, une entreprise peut même étendre son traitement à «un autre objectif divulgué [de l'entreprise] compatible avec le contexte». La politique de confidentialité d'une entreprise peut divulguer un grand nombre d'objectifs, dont beaucoup pourraient être jugés compatibles avec le contexte.
Parce que la règle de minimisation de l'initiative utilise la norme de ce qu'une entreprise attend plutôt que de ce à quoi les consommateurs s'attendent, les Californiens seront surpris par la façon dont les entreprises continuent de traiter leurs informations, ce qui va à l'encontre des objectifs d'une véritable minimisation des données.
Erosion du droit de suppression
Prop 24 étendrait le pouvoir d'une entreprise de refuser la demande d'un consommateur de supprimer ses données. Plus précisément, une entreprise peut refuser lorsqu'elle estime que la rétention «contribuerait à assurer la sécurité et l'intégrité», voir Sec. 125 (d) (2), défini au sens large pour inclure la capacité d'un système d'information à détecter les incidents de sécurité qui compromettent les données, voir Sec. 140 (ac). Les entreprises peuvent prétendre que cela permet de conserver de grands volumes de données sur les consommateurs, malgré les demandes de suppression, au nom de la détection de la fraude adtech .
De plus, l'initiative réduirait l'obligation d'une entreprise de transmettre la demande de suppression d'un consommateur aux entités en aval qui ont obtenu les données de ce consommateur de cette entreprise. Plus précisément, une entreprise pourrait refuser si cela exigeait des «efforts disproportionnés». Voir Sec. 105 c) (1). Pourtant, il serait très lourd pour un consommateur d'identifier ces entités en aval et de leur envoyer ensuite des demandes de suppression supplémentaires.
Confidentialité biométrique plus faible
La proposition 24 mettrait fin à la protection par l'ACCP des informations biométriques (telles que l'ADN ou les empreintes faciales), lorsque l'entreprise qui traite ces informations ne les utilise pas pour établir l'identité d'une personne ou n'a pas l'intention de le faire. Voir Sec. 140 c). Une entreprise pourrait plus tard changer de cap et utiliser les mêmes informations biométriques pour établir l'identité d'un individu, auquel moment la CCPA s'appliquerait, mais le traitement non réglementé aurait déjà eu lieu.
Plus de mélange de données
Prop 24 élargirait le pouvoir des fournisseurs de services (qui traitent les données pour les entreprises) de combiner des ensembles de données sur les consommateurs qu'ils obtiennent de différentes entreprises ou directement des consommateurs. Plus précisément, un fournisseur de services pourrait le faire à «toute fin commerciale» définie ultérieurement par la réglementation. Voir Secs. 140 (ag) (1) et 185 (e) (10). Bien que ce pouvoir de combinaison ne puisse pas s'étendre à la publicité pour les consommateurs qui se désengagent, voir Sec. 140 (e) (6), de nombreux consommateurs ne se retireront pas, et même à leur sujet, des ensembles de données combinés peuvent être utilisés à de nombreuses autres fins .
Aucune application par les consommateurs
Prop 24 ne permet pas aux consommateurs de poursuivre les entreprises qui violent leurs droits à la vie privée. Sans application efficace, une loi n'est qu'un morceau de papier. Il ne suffit pas d'autoriser une agence gouvernementale à appliquer la loi, qu'il s'agisse d'une unité du Bureau du procureur général de Californie (comme actuellement sous le CCPA), ou d'une nouvelle agence indépendante de protection des données (comme proposé par Prop 24). Aucune agence n'aura les ressources suffisantes pour faire appliquer toutes les violations d'une loi, et chaque agence court le risque d'une influence excessive des entreprises sur les décisions d'application.
Les consommateurs ont besoin d'un droit d'action privé, afin qu'ils puissent faire le travail lorsque les régulateurs ne peuvent pas – ou ne le feront pas. C'est pourquoi de nombreux projets de loi fédéraux sur la confidentialité des données des consommateurs ont un droit d'action privé.
Autres demi-étapes
Certaines dispositions de la Prop 24 sont des avancées partielles, nous ne nous opposons donc pas catégoriquement à l'initiative, mais nous ne la soutenons pas non plus, car les avancées ne sont que partielles et doivent être mises en balance avec les retours en arrière et les opportunités manquées. Par exemple:
- Il existe un nouveau droit de refuser certaines utilisations de ce que Prop 24 appelle des informations personnelles «sensibles», voir 121, mais de nombreuses données non protégées sont également très sensibles (comme le statut d'immigration et les relations familiales), et la protection de la vie privée la valeur par défaut doit être opt-in et non opt-out.
- Il existe un nouveau droit de retrait de ce que la Prop 24 appelle le «partage» des données, voir 120 (a), et une nouvelle limite sur le «partage» des données par des tiers, voir Sec. 115 (d), mais la Prop 24 limite ces nouvelles règles de «partage» aux seules données pour les publicités comportementales inter-contextes, voir Sec. 140 (ah).
- Alors que l'EFF prend en charge les lois exigeant que les entreprises se conforment à « Ne pas suivre » et aux signaux similaires du navigateur affichés par les consommateurs, Prop 24 donne à chaque entreprise le choix unilatéral de se conformer à ce que l'initiative appelle «préférence ou signaux de désinscription», ou plutôt de se conformer au mandat actuel de l'ACCP d'afficher un lien «Ne pas vendre» sur son site Web. Voir 135 (b). Une protection solide de la vie privée exigerait que toutes les entreprises se conforment à la fois aux signaux de désactivation des utilisateurs et affichent un lien «ne pas vendre» sur leurs sites Web.
- Il y a un petit élargissement du droit privé d'action de l'ACCP pour les violations de données, voir 150 (a) (1), et la suppression de l'obstacle de notification et de guérison à l'application du procureur général, voir Sec. 155 (b), mais la Prop 24 laisse les consommateurs impuissants à appliquer presque toutes ses garanties. Encore une fois, toutes les garanties de confidentialité doivent être appliquées avec un droit d'action privé solide. Notamment, l'initiative originale de vote sur la confidentialité des données en 2018 avait un droit d'action privé, mais cette mesure d'exécution a été supprimée dans le cadre du compromis qui a conduit à la promulgation législative de la CCPA.
Conclusion
L'EFF continuera de travailler avec d'autres défenseurs de la vie privée pour adopter de nouvelles protections des données des consommateurs en Californie et dans tout le pays. Mais nous ne soutiendrons pas Prop 24.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/why-eff-doesnt-support-cal-prop-24 le Wed, 29 Jul 2020 20:07:38 +0000.