Protection de la vie privée : un rêve pour les internautes américains !

Nous nous inquiétons souvent de la façon dont les services en ligne comme Facebook et leurs partenaires publicitaires suivent chacun de nos mouvements, mais n’oublions pas les informations que les FAI (Fournisseurs d’Accès Internet) collectent eux aussi sur nous !

Ces entreprises peuvent voir les sites en ligne que vous visitez, quand vous y accédez, où exactement, et quel équipement vous utilisez, parmi beaucoup d’autres choses. C’est un trésor de données utilisateurs. La semaine dernière, le gouvernement américain a stoppé l’application d’une loi permettant aux utilisateurs d’avoir le contrôle sur leurs données, la veille de son entrée en vigueur.

Les FAI américains ont toujours été en mesure de vendre ces informations sensibles à des courtiers en ligne qui souhaitaient en savoir plus sur leurs clients. Ces courtiers pouvaient ensuite les utiliser pour de la publicité et du marketing ciblés. En octobre, la FCC a décidé de réglementer ces comportements en appliquant une loi contestée en matière de protection de la vie privée, et qui visait à instaurer un cadre pour les FAI.

En vertu de cette loi, les fournisseurs de services à haut débit ne pouvaient plus utiliser ces données sensibles, à moins que l’utilisateur ne donne son accord explicite. Les données sensibles comprennent des éléments comme l’emplacement géographique, l’historique d’utilisation des applications et le contenu des communications (incluant par exemple votre historique de navigation).

Cette loi laissait les FAI faire ce qu’ils voulaient avec les données utilisateurs non-sensibles, mais les utilisateurs pouvaient encore les en empêcher, encore une fois en en faisant la demande. Cette loi exigeait des FAI, qu’ils prennent des mesures de sécurité efficaces pour protéger les données des clients.

Les fournisseurs de services à haut débit étaient contre cette loi, et à la fin de janvier, les lobbyistes défendant les intérêts des opérateurs de téléphonie et des réseaux publicitaires ont demandé au Congrès de s’abstenir de la valider, en vertu du Congressional Review Act.

Pour ces derniers, un problème majeur avait été le basculement en matière de réglementation opérée il y a deux ans. À l’époque, la FCC avait reclassé les FAI en tant qu’opérateurs de téléphonie, et ce en vertu du Title II du Telecommunications Act. Cela a également permis à l’agence de préserver la neutralité d’internet, mais a également reclassé les FAI comme des services de télécommunications.

Auparavant, la Federal Trade Commission assurait la réglementation des FAI. L’approche de la FTC en matière de réglementation de la vie privée se concentre principalement sur les établissements privés. Les services Internet “Edge” tels que Facebook et d’autres réseaux sociaux relevaient alors de cette compétence. Les opérateurs de téléphonie préfèrent le règlement de la FTC, à l’approche de la FCC, et les lobbyistes ont demandé le même traitement.

Cependant, si vous lisez les principes de la protection de la vie privée des FAI que la National Cable and Television Association a réaffirmés, en demandant au Congrès de ne pas appliquer cette loi, il semble que la FTC offre une réglementation similaire. Parmi ces principes :

Les FAI continueront à : (i) suivre les directives de la FTC concernant le consentement volontaire de l’utilisation et le partage d’informations sensibles telles que définies par la FTC; (ii) proposer une option de désactivation concernant l’utilisation, des informations non confidentielles des clients à des fins de marketing ciblé, par un tiers.

Si la FTC veut également le consentement de l’utilisateur pour les données, alors quel est le problème ? La question en fait concerne la définition des données sensibles. La FCC défini un champ d’action plutôt large, en classant les données comme sensibles, toutes les données de navigation internet d’un internaute. La FTC a quant à elle restreint ce champ. Seuls certains sites web dans des domaines tels que la santé seraient considérés comme sensibles. Pour en savoir plus sur ce sujet, voici un podcast de la Federalist Society, dans lequel des gens des deux tendances engagent le débat.

Les FAI qui veulent le même type de réglementation que les fournisseurs de services de technologie de pointe ne doivent pas s’inquiéter car le président Républicain de la FCC, Ajit Pai, vient de venir à leur secours. La personne nommée par Trump était contre la loi sur la protection de la vie privée lorsqu’elle travaillait comme commissaire à la FCC. Il a alors travaillé dur pour faire machine arrière concernant le travail de son prédécesseur Démocrate Tom Wheeler, appelant plutôt à une réglementation “légère” qui permettrait aux entreprises d’innover.

La loi sur la protection de la vie privée de la FCC est son dernier cheval de bataille. Il a appelé à un vote de la part de la FCC pour stopper cette loi qui a été adoptée le 1er mars.

Cette règle a été critiquée dès le départ, et avec les commissaires et le président de la FCC ayant tendance à voter selon les lignes du parti. Maintenant que Pai est aux commandes, il est peu probable que ce problème soit résolu à court terme. Ainsi quelles sont les implications pour la protection de la vie privée des clients de services à haut débit aux États-Unis ?

Il ne semble pas qu’il existe beaucoup d’options pour obtenir le consentement des utilisateurs au niveau des FAI aux États-Unis pour le moment. Cependant, les utilisateurs américains pourraient toujours essayer de payer pour la protection de la vie privée. Comcast a lancé l’idée avec la FCC dans le passé, en demandant que cette option soit proposée afin de “permettre à divers business models d’offrir des réductions ou d’autres avantages aux consommateurs, et ce en échange de l’utilisation de leurs données par les FAI”. Le plan haut débit GigaPower d’AT&T a déjà implémenté cette solution par le passé.

Aux États-Unis, il semble que tout soit vraiment à vendre. Si vous n’êtes pas prêt à rentrer dans ce jeu, alors il existe toujours Tor !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Say goodbye to enhanced data privacy, US web surfers, par Danny Bradbury, Sophos NakedSecurity.