5 principes fondamentaux de pratiques équitables en matière d’information
La quantité d’activité en ligne ne cesse d’augmenter, notamment avec l’expansion du Internet des objets (IoT) . Nous sommes constamment bombardés de demandes de données. Le nombre de sites Web frauduleux , stratagèmes de phishing , et des cas de l'usurpation d'identité est toujours en hausse. Il est plus important que jamais d’être extrêmement vigilant quant à la sécurité de vos informations. De plus, savoir exactement qui possède vos données personnelles et comment ils les utilisent est un aspect essentiel de votre droit à la vie privée.
Que vous communiquiez votre adresse e-mail ou effectuer des paiements en ligne , vous voulez être absolument sûr de la destination de vos informations et de la manière dont elles seront utilisées. En tant que tel, vous familiariser avec les principes de pratiques équitables en matière d’information vous aidera à prendre les bonnes décisions lorsque vous naviguez dans des environnements hors ligne et en ligne. Grâce à vos connaissances supplémentaires, vous serez également en mesure de signaler les entités qui ne suivent pas les meilleures pratiques afin de contribuer à créer un paysage plus sûr pour tous les utilisateurs.
Dans cet article, nous examinerons brièvement les lignes directrices qui ont été élaborées concernant les pratiques équitables en matière d’information. Nous aborderons ensuite les cinq principes fondamentaux et ce qu’ils signifient pour vous en tant que consommateur.
Quelques informations sur ces principes
Lorsque nous parlons de pratiques en matière d’information, nous faisons référence à la manière dont diverses entités collectent et utilisent vos informations personnelles. Lorsque nous parlons de l’équité de ces pratiques, nous devons examiner comment garantir que des règles régissant les pratiques en matière d’information sont en place et offrent une protection suffisante de la vie privée des consommateurs.
L’environnement est en constante évolution et, au fil des années, de nombreux rapports ont été publiés sur le thème des pratiques équitables en matière d’information. Des lignes directrices ont également été introduites dans le but d’établir des normes que les entreprises doivent suivre. Ces dernières années, de nombreux pays ont développé des politiques plus concrètes en matière de protection des données. À travers les différents rapports et lignes directrices, certains principes fondamentaux émergent.
Ces principes ont été exposés pour la première fois il y a plus de dix ans dans un rapport de la Federal Trade Commission (FTC) intitulé « Fair Information Practice Principles », qui a depuis été retiré. Même si cela reposait sur des rapports et des lignes directrices désormais obsolètes, les messages sous-jacents à ces principes restent apparents dans des directives plus récentes, notamment :
- Règlement Général sur la Protection des Données (RGPD) : c'était développé par l'UE pour remplacer le Directive sur la protection des données et sera applicable à partir de mai 2018.
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) : Cela s'applique au Canada et comprend les lignes directrices énoncées dans la Loi sur la confidentialité numérique et Code modèle CSA .
- Lignes directrices de l'OCDE sur la protection de la vie privée (publié à l'origine en 1980 mais mis à jour en 2013) : L'Organisation de coopération et de développement économiques (OCDE) établit des normes internationales sur une variété de choses, y compris la confidentialité.
Gardez à l’esprit que tous ces documents ne contiennent pas explicitement tous les principes ci-dessous. De plus, la plupart, sinon la totalité, contiennent des conseils supplémentaires approfondis. Ainsi, si vous envisagez cela d’un point de vue commercial ou si vous êtes un consommateur à la recherche d’informations plus approfondies, vous pouvez consulter directement le document correspondant. Vous pourriez également être intéressé par un côte à côte comparaison des politiques de confidentialité de certaines des plus grandes sociétés Internet.
Vous remarquerez peut-être l’absence de document américain sur la liste ci-dessus. Il n’existe actuellement aucune législation générale sur la confidentialité des données aux États-Unis. Cependant, il existe certaines lois relatives aux pratiques équitables en matière d'information, comme la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et le Loi sur les transactions de crédit équitables et exactes (FAITS). De plus, de nombreuses lois régissant les pratiques en matière d’information aux États-Unis sont instituées au niveau des États.
Une dernière remarque avant d'aborder les principes est que certaines de ces lignes directrices reposent sur l'hypothèse que le consommateur disposera du jugement nécessaire pour décider de transmettre ou non ses informations. Cependant, lorsqu’il s’agit d’enfants, il y a de fortes chances qu’ils n’aient pas les mêmes capacités d’analyse et de jugement. Dans ce cas, les principes doivent être adaptés afin de garantir que les parents soient adéquatement équipés pour protéger les informations de leurs enfants. Nous aborderons ces principes adaptés dans un prochain article.
Les 5 principes fondamentaux de pratiques équitables en matière d’information
Maintenant que nous en savons un peu plus sur l’origine de ces principes, regardons les points clés qu’ils couvrent en matière de droits des consommateurs.
1. Les consommateurs doivent être informés
La notification fait référence au fait que la personne qui fournit des informations doit savoir exactement à qui les informations sont destinées et à quoi elles seront utilisées. Également appelé transparence, cela est de la plus haute importance afin que le consommateur soit bien équipé pour prendre la décision de transmettre ou non des informations, ainsi que les informations qu'il souhaite divulguer.
Certaines des choses qu'une entité doit couvrir, le cas échéant, sont :
- Qui collecte les informations
- À quoi il servira
- Qui pourrait potentiellement recevoir les données
- Quelles informations seront collectées et comment
- Si la fourniture des données est facultative
- Comment le collecteur garantira la confidentialité, la qualité et l’intégrité des informations
- Si et quand les informations seront supprimées
Si le prestataire remplit un formulaire physique, ces informations apparaîtront probablement quelque part sur le formulaire lui-même. Alternativement, dans un environnement en ligne, les informations peuvent être présentées sur le formulaire ou sur une page Web distincte. Dans les deux cas, il doit être évident et facilement accessible au lecteur.
Par exemple, lors de votre inscription à Portefeuille Nerd , l’utilisateur acceptera les conditions d’utilisation et la politique de confidentialité de l’entreprise, qui sont toutes deux présentées dans des documents distincts, disponibles par lien hypertexte :
Dans ce cas, le simple fait de s'inscrire indique que l'utilisateur accepte les conditions et politiques fournies. Dans d'autres cas, ils peuvent être tenus de prendre des mesures supplémentaires, comme cocher une case, confirmant qu'ils ont lu et compris les conditions et politiques fournies.
Dans de nombreuses situations, ces éléments sont ignorés, surtout si l’utilisateur bénéficie déjà d’un certain niveau de confiance envers l’entité collectrice. Cependant, dans certaines situations, vous serez peut-être beaucoup plus enclin à parcourir les conditions et les politiques pour obtenir des informations pertinentes. Disons par exemple que vous utilisez les services d’une entité pour des raisons spécifiques de protection des données. Si vous recherchez un fournisseur VPN ou un extension de confidentialité du navigateur , vous voudrez savoir exactement comment les entreprises en question vont traiter vos informations.
2. Des choix doivent être offerts et le consentement requis
En termes simples, ce principe donne aux consommateurs le droit de décider de la manière dont leurs informations sont utilisées. Il s'agit davantage d'une utilisation secondaire, car l'utilisation principale sera généralement évidente, par exemple pour s'inscrire à un service, finaliser un achat ou accéder à un élément de contenu.
Au-delà de la raison principale, les entités peuvent souhaiter enregistrer et utiliser vos données à d’autres fins, par exemple pour vous ajouter à leurs propres listes de diffusion ou à celles d’autres entreprises. Alternativement, ils peuvent vendre des données massives sur le comportement ou les préférences des utilisateurs à des tiers.
En fin de compte, toute utilisation des données au-delà de l’évidence doit être clairement exposée. De plus, le consommateur devrait avoir la possibilité de donner son consentement pour que ses informations soient utilisées de la manière spécifiée. Cela peut se faire sur une base opt-in ou opt-out, mais l’essentiel est que les options soient claires et faciles à mettre en œuvre.
La notion de choix et de consentement est une notion que nous rencontrons régulièrement dans le cadre des activités en ligne. Les formulaires d'inscription, d'achat et de soumission sont souvent accompagnés d'une ou plusieurs cases à cocher à la fin, et vous pourriez vous sentir bombardé de demandes visant à ce que vos informations soient utilisées de diverses manières.
Un exemple courant est la possibilité de recevoir des informations promotionnelles de la part de l'entité à laquelle vous transmettez vos informations, comme c'est le cas avec le Formulaire d'inscription à la loterie de Californie :
Il existe également des situations dans lesquelles vous pouvez disposer de plusieurs options quant à la manière dont vos informations peuvent être utilisées. Dans le cas de NerdWallet, les options de désinscription de tiers se trouvent dans la politique de confidentialité, qui est facile à localiser à partir du formulaire d'inscription, comme nous l'avons mentionné ci-dessus :
Encore une fois, l’essentiel est que les options soient claires et que l’adhésion ou la désinscription soit simple. Comme le montrent les exemples fournis, cela est assez simple à réaliser dans l’environnement en ligne, il ne devrait donc y avoir aucune excuse.
3. Les consommateurs devraient pouvoir accéder aux données et les modifier
Alors, que se passe-t-il en termes de droits après la transmission de vos données ? Eh bien, le consensus général parmi les rapports et les lignes directrices sur la confidentialité des données est que les consommateurs devraient avoir la possibilité d’accéder aux informations qu’ils ont fournies.
Ce principe traduit également leur droit de contester les informations qu'ils estiment inexactes et/ou ont la possibilité de les modifier. L’une des principales raisons derrière ce principe est qu’il donne les meilleures chances que toutes les informations soient exactes et complètes – ce qui est en fait lié au principe suivant.
Bien entendu, cela ne fonctionnera pas si les informations sont difficiles d’accès, soit en raison d’un processus long, soit en raison d’un processus coûteux. Il est donc important que les entités disposent de mécanismes permettant aux consommateurs d’accéder et d’examiner leurs données de manière simple et directe. De même, ils doivent pouvoir contester son exactitude, son exhaustivité et/ou y apporter des modifications sans difficulté.
Par exemple, les fournisseurs de messagerie, les plateformes de médias sociaux et les sites de commerce électronique – comme Amazon – permettent aux utilisateurs de modifier facilement leurs informations. Cela a du sens tant pour les entités que pour les consommateurs.
4. Les données doivent être exactes et sécurisées
Ce principe fait référence à l'intégrité et à la sécurité de toutes les données. La composante intégrité est liée au dernier principe, il incombe aux entités de faire ce qu’elles peuvent pour garantir que toutes les informations sont exactes et correctes. Nous venons de parler de l'accessibilité des données et cela revient à cela. Les entités doivent garantir que les consommateurs peuvent accéder aux données, les contester ou les modifier afin qu'elles soient effectivement exactes.
Cependant, il appartient également à ceux qui collectent des informations de prendre d’autres mesures que l’accessibilité pour garantir l’intégrité des données qu’ils détiennent. Cela peut impliquer de croiser d’autres sources pour garantir que les fournisseurs de données saisissent des informations exactes. Cela peut également signifier que les entités doivent éliminer des données qui peuvent être obsolètes ou les rendre anonymes après un certain temps.
Outre l’intégrité, les entités doivent également prendre très au sérieux la sécurité des données des consommateurs. Cela signifie mettre en place des mesures pour garantir que les données ne soient pas perdues et qu’elles ne puissent pas être consultées, utilisées, modifiées, détruites ou divulguées sans autorisation. Le fait de ne pas protéger les informations peut avoir un coût énorme pour des entreprises comme Morgan Stanley .
Bien entendu, même avec un niveau de sécurité élevé, les violations de données se produisent toujours . Des mesures de plus en plus strictes sont en place pour garantir que les entreprises signalent effectivement les violations de données . Cependant, L’aveu assez récent de Yahoo d'une énorme violation de données survenue plusieurs années plus tôt montre que nous ne pouvons jamais être absolument certains que nos informations sont en sécurité. Pour cette raison, il est presque impossible de dire qu’une entreprise en particulier est meilleure en matière de sécurité que d’autres, simplement parce qu’aucune violation n’a fait la une des journaux.
En tant que tel, vous devez toujours faire ce que vous pouvez pour vous protéger. Vous pouvez commencer par vous assurer de ne pas utiliser le même mot de passe sur plusieurs comptes. Assurez-vous également de supprimer les anciens comptes , afin que vos données ne soient pas stockées inutilement quelque part. Idéalement, à ce stade, vos informations devraient être supprimées. Dans le cas contraire, toute information personnelle identifiable doit au moins être supprimée, agrégée ou anonymisée après une certaine période de temps.
Bien entendu, outre le piratage, vous pourriez également être préoccupé par la confidentialité de vos informations du point de vue gouvernemental. L’Electronic Frontier Foundation (EFF) réussit bien à identifier, grâce à son « Qui vous soutient ? » liste , quelles entreprises surveiller en matière de confidentialité.
5. Des mécanismes d’application et de réparation sont nécessaires
Bien sûr, c’est bien beau d’avoir des règles concernant les pratiques équitables en matière d’information, mais s’il n’y a pas de mécanismes en place pour les faire respecter, elles deviennent inutiles. De plus, s’il n’existe aucune forme de recours, les entités ne sont que peu ou pas du tout incitées à respecter les règles.
Comme pour de nombreuses réglementations, plusieurs approches différentes peuvent être adoptées lorsqu’il s’agit de faire respecter celles qui concernent les pratiques équitables en matière d’information. Ici, nous allons examiner les trois principaux :
Régimes d'autorégulation
Ce type de réglementation pourrait être effectué à la discrétion de l'entité elle-même. Par exemple, les sites de médias sociaux comme YouTube vous offrent un moyen de déposer une plainte . En matière de recours, des processus doivent être mis en place pour permettre aux clients d'accéder facilement à un système de réclamation et pour que leurs réclamations fassent l'objet d'une enquête.
Alternativement, l’application pourrait être assurée par un organisme de réglementation externe. Cela pourrait inclure l’acceptation de pratiques d’information équitables afin d’adhérer à une association industrielle. Une entité peut également inviter des auditeurs externes à vérifier qu'ils suivent les directives, éventuellement avec une certification accordée à la fin.
Législation privée
La législation privée donne généralement au consommateur le droit à une indemnisation s'il est victime de pratiques déloyales en matière d'information. Par exemple, ils pourraient avoir des raisons d’intenter une action en justice si une mauvaise utilisation des informations entraînait des dommages. Centre d'information électronique sur la confidentialité (EPIC) est une organisation indépendante qui se penche sur ces types de droits civils. Aussi, Confidentialité internationale est une organisation de défense des droits humains basée au Royaume-Uni qui aide à protéger le droit des personnes à la vie privée.
Législation gouvernementale
Dans certains cas, la réglementation gouvernementale s'exerce au sein de secteurs spécifiques. Par exemple, au sein du secteur de la santé aux États-Unis, si vous pensez avoir été victime d'une infraction de la part d'une agence couverte par la HIPAA, vous pouvez déposer une plainte avec le Bureau des droits civiques (OCR). Dans de nombreux pays, il existe également des méthodes de signalement des violations indépendantes de l’industrie (nous y reviendrons plus en détail dans la section suivante).
Signalement des violations d’informations
À mesure que l’environnement en ligne continue d’évoluer, la réglementation relative aux pratiques équitables en matière d’information évoluera continuellement. La nature évolutive de ce paysage n’offre pas vraiment une tranquillité d’esprit aux consommateurs qui sont constamment invités à fournir des informations personnelles à toutes sortes d’entreprises.
Cependant, maintenant que vous connaissez les principes fondamentaux des pratiques équitables en matière d’information, vous serez mieux équipé pour faire attention à certains signaux lorsque vous fournissez des informations aux entités. De plus, même si les règles varient selon les pays et les secteurs, vous serez mieux en mesure de repérer lorsqu’une entité ne suit pas des pratiques équitables en matière d’information.
Comme mentionné, il existe différents endroits où vous pouvez signaler les cas où vous pensez qu'il y a eu des violations. Nous en avons parlé ci-dessus, et il existe également des formulaires spécifiques à chaque pays, dont certains sont répertoriés ici :
- ROYAUME-UNI: Bureau du commissaire à l’information (OIC)
- NOUS: Commission fédérale du commerce (FTC)
- Canada: Bureau de la Commission de la protection de la vie privée du Canada (OPC)
- Australie: Bureau du commissaire australien à l'information (OAIC)
En général, le meilleur conseil que nous puissions vous donner est de protéger soigneusement vos informations et d’essayer de traiter uniquement avec des entreprises en qui vous avez confiance pour faire de même. N’oubliez pas de lire attentivement les termes, conditions et politiques de confidentialité, et en cas de doute, posez des questions !
' Accepter » par Catkin sous licence CC PAR 2.0