En novembre, Google a atteint un Règlement de 392 millions de dollars accord avec 40 États américains concernant le suivi de localisation. Plus tard dans le même mois, la Commission irlandaise de protection des données Amende de 275 millions de dollars infligée à Meta pour avoir enfreint le règlement général sur la protection des données (RGPD) de l’Union européenne. Ces lourdes amendes sont les dernières d’une série de mesures réglementaires contre les géants de la technologie, mettant en lumière la sécurité des données et son avenir.
Le règlement de Google aux États-Unis concerne des allégations selon lesquelles la société a continué à suivre les consommateurs via leurs appareils malgré la désactivation du suivi de localisation. Un groupe de 40 procureurs généraux des États-Unis a collaboré pour mener à bien l’enquête, ce qui a mené au plus important règlement sur la protection de la vie privée jamais conclu dans le pays.
Le règlement était dirigé par Oregon AG Ellen Rosenblum et Nebraska AG Doug Peterson. Alexandra Vesalga, avocate spécialisée dans la protection de la vie privée et fondatrice de la société de conseil AV Privacy, souligne que ce type de collaboration est susceptible d’être une tendance à l’avenir.
« Nous continuerons probablement de voir les organismes de réglementation collaborer à des mesures d’application plus importantes. Nous l’avons vu plus tôt cette année lorsque les organismes d’application de la loi sur la protection de la vie privée du Royaume-Uni et de l’Australie ont travaillé ensemble sur une enquête et une application de la loi contre Clearview AI. Comme tout le monde, les organismes de réglementation sont à court de ressources, et les mesures combinées d’application de la loi leur donnent plus de ressources et un pouvoir de négociation plus fort », a déclaré Vesalga.
Fuite de données d’informations personnelles
L’amende de 275 millions de dollars de Meta est liée à une fuite de données qui a conduit à la publication d’informations personnelles de 500 millions d’utilisateurs de Facebook. En septembre, la société a également été frappée d’une amende de 400 millions de dollars pour avoir violé le RGPD en raison de sa mauvaise gestion des données des mineurs sur Instagram. L’entreprise Plans d’appel cette amende. Il a également annoncé mises à jour de Facebook et Instagram pour protéger la vie privée des utilisateurs adolescents.
Suite à l’annonce du règlement de 392 millions de dollars de Google, la société a publié un Article de blog promettant plus de transparence en ce qui concerne l’utilisation des données de localisation.
« Étant donné que les conditions du règlement incluent la promesse de Google d’être maintenant plus ouvert sur les données de localisation qu’il recueille, il est clair que la collecte (et inévitablement la monétisation) des données de localisation ne s’arrêtera pas », a déclaré Sharon Polsky, présidente et chef de la direction de la société de protection de la vie privée et des données AMINA et présidente du Conseil canadien de la protection de la vie privée et de l’accès à l’information.
Les amendes de plusieurs millions de dollars s’accumulent, et les chiffres peuvent sembler alléchants, mais quel impact auront-ils finalement sur les entreprises qui font des milliards de profits?
« Le règlement sera-t-il toujours une option pour les entreprises et ce règlement entraînera-t-il des changements tangibles dans les politiques et pratiques de Google, ou sera-t-il considéré comme un coût pour faire des affaires ? », demande Tom Cope, RSSI de la société de solutions de protection des données Next DLP.
Si le règlement est une option et que les entreprises peuvent se permettre les amendes, les violations de la confidentialité des données peuvent continuer à faire les gros titres. « L’espoir serait que ces amendes dissuaderont d’autres entreprises de violer la vie privée des consommateurs à l’avenir, mais cyniquement, je soupçonne que de nombreuses entreprises feront simplement plus d’efforts pour ne pas se faire prendre », a déclaré Todd Kartchner, responsable de la protection de la vie privée du cabinet d’avocats d’affaires Fennemore.
La taille n’a pas d’importance
Les entreprises géantes qui ont les moyens de payer ces lourdes amendes ne sont pas les seules à être soumises à la réglementation sur la confidentialité des données. « Les grandes entreprises technologiques font les gros titres, mais il y a plus de petites entreprises qui luttent pour se conformer à la myriade de lois sur la protection de la vie privée et l’accès à l’information », selon Polsky.
Les amendes élevées qui font les manchettes attirent davantage l’attention sur la confidentialité des données, et Polsky s’attend à ce que les enquêtes et les amendes impliquant des organisations de toutes tailles augmentent.
Cinq États américains ont Lois complètes sur la confidentialité des données des consommateurs, et les 50 États ont des lois sur les actes et pratiques déloyaux et trompeurs, qui peuvent être utilisés pour protéger les informations en ligne, selon la Conférence nationale des législatures d’État. La législation sur la protection des données, la Loi américaine sur la confidentialité et la protection des données (ADPPA), est également à l’étude au niveau fédéral.
« De nombreux États ont récemment adopté ou proposé des lois complètes sur la protection de la vie privée, et un projet de loi fédéral a été envisagé. Néanmoins, le sujet est complexe et il y a des intérêts concurrents, ce qui signifie que les choses avancent lentement », explique Vesalga.
Polsky souligne le RGPD de l’UE, la loi californienne sur la protection de la vie privée des consommateurs, la loi sur la protection de la vie privée biométrique de l’Illinois et la nouvelle force de l’AustralieLes lois sur la protection de la vie privée sont des exemples de lois qui donnent aux organismes de réglementation un plus grand pouvoir, mais elle espère voir un changement fondamental dans la façon dont la nouvelle législation aborde la confidentialité des données.
« Un changement réel et durable nécessitera une nouvelle perspective législative qui soit préventive et non réactive », explique-t-elle.
Le règlement Google et Meta fine lèvent le voile sur la façon dont les entreprises traitent mal les données, mais la violation de la réglementation a déjà eu lieu. « Le gros problème avec la législation sur la protection de la vie privée, c’est que personne ne sait qu’il y a un problème de protection de la vie privée jusqu’à ce qu’il fasse les manchettes. Quelques lignes de code et n’importe qui peut collecter une quantité massive d’informations personnelles si son application est suffisamment populaire », explique Cope.
De nombreuses entreprises, comme Google, adoptent une approche « opt-out » pour le suivi de localisation et l’utilisation des données personnelles. En revanche, la réglementation GDPR préconise une approche « opt-in », encourageant les entreprises à permettre Consentement « donné librement ».
Polsky veut que cette approche du consentement du consommateur devienne la norme. « Le consentement doit être opt-in au lieu de opt-out, et les politiques de confidentialité devraient être brèves, sans ambiguïté et clairement détaillées – et requises pour nous permettre d’accepter seulement certaines choses, pas tout ou rien », explique-t-elle. « Cette nouvelle approche permettrait à chaque personne de faire un choix pleinement éclairé et de contrôler ce qui est recueilli à son sujet et comment il pourrait être utilisé. »
Ce qu’il faut lire ensuite:
Ce que l’examen minutieux de la collecte et de la sécurité des données par la FTC peut signifier
La collecte de données peut-elle persister au milieu des questions de confidentialité post-Roe?
Les mesures d’application de la loi en matière de confidentialité des données s’intensifient
