L’organisme britannique de surveillance de la protection des données a écrit à Apple et Google pour demander des détails sur la façon dont ils évaluent les applications afin de déterminer les classes d’âge qu’elles appliquent à la suite des préoccupations soulevées par un organisme de bienfaisance en ligne pour la sécurité des enfants.

Cette décision fait suite à l’entrée en vigueur du Royaume-Uni Code de conception adapté à l’âge en septembre — qui impose des exigences aux services numériques auxquels les enfants sont susceptibles d’accéder pour donner la priorité à la protection de leur vie privée et de leur sécurité.

Dans un déclaration aujourd’hui, la commissaire à l’information, Elizabeth Denham, a déclaré que son bureau menait actuellement un « processus de collecte de preuves pour identifier la conformité avec le code, et donc la conformité avec la loi sous-jacente sur la protection des données ».

Le commissaire à l’information répondait à une lettre du Fondation 5Droits — un organisme de bienfaisance pour la sécurité numérique des enfants qui a mené des recherches au cours de l’été pour vérifier la conformité avec le Code ; et affirme avoir trouvé 12 violations « systémiques », y compris une garantie d’âge insuffisante ; publicité erronée sur l’âge minimum des jeux sur les magasins d’applications ; l’utilisation de motifs sombres et de nudges ; des recommandations fondées sur des données qui créent des risques pour les enfants ; un manquement systématique à l’application des normes communautaires ; paramètres de confidentialité par défaut faibles ; et bien d’autres encore.

« Dans ce processus, l’ICO adopte une approche systémique ; nous concentrons nos interventions sur les opérateurs de services en ligne où il y a des informations qui indiquent une mauvaise conformité potentielle aux exigences de confidentialité, et où il existe un risque élevé de préjudice potentiel pour les enfants », a également écrit Denham en réponse à la 5Rights Foundation, ajoutant que comme Dans le cadre de ce travail, l’ICO a contacté Apple et Google – « pour savoir dans quelle mesure les risques associés au traitement des données personnelles sont un facteur dans la détermination de l’âge d’une application ».

Publicité

Les géants de la technologie ont été contactés pour commenter le développement.

Les deux exploitent des magasins d’applications qui appliquent des classifications d’âge aux applications mises à disposition au téléchargement – potentiellement par des enfants – ce qui signifie que leurs plates-formes relèvent du champ d’application du Code.

Cependant, l’ICO ne distingue pas Apple et Google – affirmant aujourd’hui qu’il est écrit à un total de 40 organisations dans les trois secteurs technologiques qu’il considère comme les plus risqués pour les enfants – à savoir les médias sociaux/la messagerie ; jeux ; et streaming vidéo/musique — « pour déterminer individuellement leurs normes de conformité ».

Il ajoute qu’il écrira à neuf autres entreprises à la suite de l’organisation caritative, soulignant une série de préoccupations – portant le nombre total de services numériques soumis à un examen réglementaire à près de 50.

L’ICO n’a pas publié la liste complète des entreprises technologiques qu’elle a ciblées pour les questions de conformité au Code.

La 5Rights Foundation ne semble pas non plus avoir publié la liste des entreprises au sujet desquelles elle soulève des préoccupations (mais elle a transmis leurs noms au régulateur).

Sa correspondance avec l’ICO fait également directement référence au lanceur d’alerte Facebook, Le récent témoignage de Frances Haugen devant les législateurs, qui comprend des avertissements sur la toxicité de plateformes comme Instagram pour le développement du cerveau des adolescents – suggérant le géant des médias sociaux (maintenant connu sous le nom de Meta) est probablement sur sa liste.

La présidente de l’organisation caritative, la baronne Kidron, a joué un rôle déterminant dans la promotion de l’ensemble des normes générales du Code à établir par l’ICO en premier lieu, dans le cadre de la législation britannique sur la protection des données.

Bien que le Code ne soit entré en vigueur qu’au début du mois de septembre, les normes ont été publiées au début de l’année dernière – l’ICO ayant choisi d’accorder aux entreprises un long délai de grâce pour se mettre en conformité.

Ainsi, dans un sens, il sera difficile pour les entreprises établies d’affirmer qu’elles n’ont pas eu assez de temps pour apporter les changements nécessaires.

De plus, bien que l’ICO n’ait pas exactement la réputation d’être un exécuteur proactif des droits numériques, les groupes de sécurité de l’enfance comme la 5Rights Foundation ne semblent pas se contenter de laisser l’application en place pendant longtemps.

« Il y a un risque que le Code soit interprété comme introduisant une poignée de mesures de sécurité, plutôt que comme exigeant une refonte globale des systèmes et des processus de services pour garantir que leurs pratiques de collecte de données sont dans le meilleur intérêt des enfants » prévient la Fondation 5Droits dans sa lettre. « Si le Code doit avoir une réelle valeur dans la protection de la sécurité et des droits des enfants dans l’environnement numérique, l’ICO doit s’assurer qu’il est respecté dans la pratique.

Kidron suggère également que la nature « systémique » des problèmes mis au jour par la recherche de la 5Rights Foundation suggère que, bien que les problèmes aient été identifiés avant l’entrée en vigueur du Code cet automne, « beaucoup » persisteront probablement. violations » et publier des orientations.

Dans sa réponse, Denham suggère un calendrier du printemps prochain pour que l’ICO prenne une sorte d’action, en écrivant : « En termes de délais, nous devons prendre le temps de comprendre ce que les informations recueillies nous disent de manière systémique et individuelle. Nos options réglementaires seront basées sur cette compréhension approfondie et, en tant que tel, je pense que nous passerons aux prochaines étapes au printemps 2022. »

Mais il est à noter qu’elle a écrit « prochaines étapes » – plutôt que l’application réelle.

Cela suggère qu’il pourrait y avoir une danse beaucoup plus longue de l’ICO essayant d' »encourager » les améliorations de l’industrie de la technologie par rapport à l’application musclée des géants de la plate-forme – comme nous l’avons vu dans le cas des violations systémiques de la loi sur la protection des données par l’industrie adtech (qui l’ICO a « enquête » pendant des années, sans prendre aucune mesure coercitive).

Voir, par exemple, la discussion plus loin dans la lettre de Denham à Kidron sur les « tables rondes des parties prenantes » où elle dit qu’elle prévoit de recueillir des preuves sur l’utilisation de la technologie d’assurance-âge, en particulier, qui seront « utilisées pour éclairer la portée de toute autre réglementation action en matière d’assurance-âge ».

Sur l’assurance de l’âge – c’est-à-dire les technologies et les techniques utilisées pour essayer de déterminer l’âge d’un utilisateur afin de déterminer s’il est mineur / mineur – les recherches de la 5Rights Foundation ont révélé « de nombreux » services avec des restrictions d’âge qui, selon elle, peuvent néanmoins  » être facilement accessibles aux enfants n’ayant pas atteint l’âge minimum d’utilisation, y compris les services réservés aux adultes ».

Il rapporte également avoir trouvé certains services déclarant qu’ils ne collectent aucune donnée personnelle des enfants – mais dit que « beaucoup » d’entre eux manquaient de garantie d’âge ou utilisaient une garantie d’âge qui peut être facilement contournée (comme demander aux enfants de saisir une date de naissance, ce qui ils peuvent juste mentir).

« Si ces services n’identifient pas les enfants utilisateurs, on ne sait pas comment ils maintiennent leurs propres politiques de confidentialité ou sont en mesure de mettre en œuvre le Code », poursuit l’association caritative dans la lettre.

Cependant, la question de savoir comment les plates-formes peuvent se conformer aux éléments du cCode tels que les exigences d’« assurance d’âge » n’est pas vraiment simple.

Le mois dernier, l’ICO a publié un appel à témoignages sur l’assurance-âge. Et dans un avis sur le sujet, publié simultanément, le régulateur a proposé quelques orientations provisoires aux fournisseurs de services numériques – en recommandant une approche basée sur les risques et en suggérant que les plates-formes et applications qui présentent un risque « élevé » pour les enfants devraient soit appliquer toutes les normes de code pertinentes. à tous les utilisateurs pour garantir que les risques sont « atténués » ; ou introduire des mesures d’assurance de l’âge qui « donnent le plus haut niveau de certitude possible sur l’âge des utilisateurs » (probablement une vérification de l’âge plutôt qu’une estimation de l’âge).

Pour les services à risque faible ou moyen, l’OIC a suggéré soit d’appliquer toutes les normes de code pertinentes à tous les utilisateurs pour garantir que les risques sont « faibles » ; ou « introduire des mesures d’assurance de l’âge qui donnent un niveau de certitude sur l’âge des enfants utilisateurs qui est proportionné aux risques potentiels pour les enfants ».

Il y a donc une subjectivité inhérente dans la façon dont les plateformes évaluent les risques et choisissent les mesures d’atténuation à appliquer.

L’avis a également souligné le défi pour les services numériques d’équilibrer l’exigence de protéger la vie privée avec l’application de techniques d’assurance de l’âge (potentiellement) intrusives, l’ICO écrivant : être fait pour assurer leur respect et se conformer à la loi sur la protection des données.

Le régulateur s’est également engagé à revoir l’avis conformément à une révision prévue du Code en 2022 – « en raison de l’évolution rapide du marché de l’assurance-âge, des propositions législatives plus larges et du paysage politique en développement ».

S’attendre à ce qu’une application musclée pleuve dans une zone où la confidentialité et la sécurité se croisent – et même se heurtent – et où il n’y a pas de solution unique et universelle qui conviendra partout, pour chaque type de service et d’utilisateur – semble, eh bien, improbable.

La longue lettre de Denham n’est pas seulement remplie de mises en garde et de qualifications, elle commence par gérer les attentes – en définissant le Code comme cherchant à conduire « des protections proportionnées qui améliorent l’engagement de la société dans le monde numérique » – ce qui suggère que son bureau favorisera un ajustement plus pragmatique et plus -par tweak, approche de la conformité au Code que certains organismes de bienfaisance pour la sécurité des enfants (et fournisseurs de technologie d’assurance de l’âge) pourraient préférer.

Le gouvernement britannique est également en train de consultation sur la « réforme » du régime national de protection des données — potentiellement interférer avec l’indépendance de l’OIC en faveur d’une « innovation » alimentée par les données en priorité. Ainsi, l’ICO peut être défavorisé et les droits à la vie privée nationaux éviscérés dans un avenir pas trop lointain.

Le temps nous dira comment celui-ci se déroulera. Mais les militants britanniques pour la sécurité des enfants pourraient finir par se sentir frustré en tant que défenseurs de la vie privée au Royaume-Uni — qui continuent de siffler l’application de la réglementation contre violations systémiques (que l’ICO a lui-même identifié) années après que le pays a mis à jour son régime de protection des données pour ajouter (au moins sur papier) une série de dents…

« J’espère que vous reconnaîtrez qu’en tant que régulateur, l’ICO sera toujours confrontée à des choix difficiles sur la façon de déployer nos ressources limitées », met en garde Denham Kidron. « En tant que tel, c’est pourquoi nous nous concentrons initialement sur les cas de préjudice potentiel le plus important avec non-conformité à plusieurs normes. »

Elle prévient également que l’ICO restera dans sa voie, par exemple en n’appliquant pas rétrospectivement les normes du Code.

La lettre de Denham prend également soin de souligner que le régulateur ne peut pas s’attaquer à certaines préoccupations soulevées par l’association car elles ne relèvent pas de ses attributions ou ne relèvent pas du champ d’application du Code (comme l’accès des enfants à des sites Web réservés aux adultes) – pointant plutôt vers le prochain Loi sur la sécurité en ligne comme la législation appropriée pour cela; une réglementation axée sur le contenu qui sera supervisée par l’Ofcom, et non par l’ICO.

« L’ICO continuera à travailler avec DCMS [the Department for Digital, Culture, Media and Sport], Ofcom en tant que régulateur de sécurité en ligne prévu, et d’autres pour garantir que là où nous pouvons agir en vertu de la réglementation actuelle, nous essayons d’empêcher l’accès des mineurs. Cependant, la solution au problème n’est pas celle qui s’inscrit directement dans le code ou dans la protection des données, ce n’est donc pas une solution que l’ICO peut s’engager à résoudre entièrement », ajoute-t-elle.

Rate this post
Publicité
Article précédentTed Cruz s’est brutalement moqué du Tweet de Biden « Man From Nantucket »
Article suivantLes ventes de Haikyu montrent comment un anime peut augmenter les bénéfices
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici