Qu’est-ce que le Dashboard Act et comment pourrait-il fonctionner ?
Vos données sont précieuses ; deux sénateurs veulent que les résidents des États-Unis comprennent à quel point.
Le 24 juin, les sénateurs américains Mark Warner (D-VA) et Josh Hawley (R-MO) ont présenté un projet de loi pour«Concevoir des garanties comptables pour aider à élargir la surveillance et la réglementation des données».Surnommé leLoi sur le tableau de bord, la nouvelle législation pourrait mettre l’accent sur la transparence des services en ligne qui génèrent des bénéfices à partir des données des visiteurs. La loi ouvre la voie à l’obligation pour les organisations de divulguer publiquement la valeur des données des utilisateurs et la manière dont elles génèrent des bénéfices.
Pourquoi une nouvelle facture ? Qu’est-ce que la loi sur le tableau de bord ?
Dans l’économie actuelle, presque tout le monde est en ligne. Selon Recherche sur le banc ,81 % des Américains possèdent un smartphone, nous permettant d'interagir avec les services en ligne partout où nous allons. Pourtant, même si la plupart des utilisateurs acceptent qu’une certaine collecte de données se fasse en arrière-plan, rares sont ceux qui sont conscients des revenus que leur participation gratuite rapporte aux grandes technologies. Spécialiste du numérique Tony Hymes estime que pour Facebook, le revenu moyen par utilisateur (ARPU) pour les Nord-Américains est d'environ neuf dollars par mois. C'est beaucoup de valeur pour une entreprise avec plus de 220 millions utilisateurs aux États-Unis seulement.
Comme le soulignent des scandales comme celui de Cambridge Analytics,nous ne sommes pas toujours conscients de ce qui se passe lorsque nous transmettons nos données. Même lorsque l’entreprise n’est pas victime d’une violation, les défenseurs de la vie privée affirment que les données peuvent faire l’objet d’une utilisation abusive. Dashboard tente de changer cela en obligeant les entreprises à divulguer ce qui se passe réellement. Comme Mariel Soto Reyes écrit dans Business Insider, le projet de loi « pourrait imposer aux entreprises technologiques des normes de responsabilité plus élevées en ce qui concerne la manière dont elles traitent les données ».
Voir également: Violations du gouvernement américain
En attendant l’approbation et les amendements, voici ce que le projet de loi apporte :
Qui doit respecter le Dashboard Act ? Opérateurs et utilisateurs de données commerciales
Vous ne savez pas si la loi sur le tableau de bord s'applique à vous ou à votre organisation ? Sous le Acte , il y adeux définitions essentielles :organisations qui agissent comme« opérateur(s) de données commerciales »,et le'utilisateurs',les personnes qui partagent leurs données en ligne.
Un opérateur de données commerciales(CDO)sous Dashboard se trouve une entité qui agit en tant que fournisseur de services en ligne ou courtier de données.Notamment, la loi s’applique si le CDO génère des revenus provenant de « l’utilisation, la collecte, le traitement, la vente ou le partage de données utilisateur ».et généralementcompte plus de « 100 000 000 de visiteurs mensuels uniques » en provenance des États-Unis.Ce n'est pas une petite statistique : en 2018, selon un communiqué de presse de CNN , même les meilleurs sites d'information dépassent rarement 90 000 000 de visiteurs mensuels uniques. En bref, pour la plupart des fournisseurs de services en ligne et des agences média, le tableau de bord n’aura pas beaucoup d’effet. Dans sa version actuelle, le projet de loi s’adresse directement aux grands acteurs.
En vertu de la loi, un « utilisateur » est une personne qui utilise un service en ligne à des fins commerciales.
Les informations sont des « données utilisateur » si :
- identifie,
- se rapporte à,
- décrit,
- est susceptible d’être associé ou pourrait raisonnablement être lié à l’utilisateur.
Les données utilisateur peuvent être activement soumises par les utilisateurs ou dérivées des activités des utilisateurs. Cela met en évidence des données acquises à la fois par saisie directe et des informations basées sur nos activités en ligne. Si l’activité de recherche Google peut être utilisée pour décrire ou identifier une personne autrement anonyme, il s’agit de données utilisateur.
Exigences des opérateurs de données commerciales
Si votre organisation est considérée comme CDO, Dashboard entraînera des investissements importants. Pour commencer, disposez d’une équipe d’économistes, d’actuaires et de data scientists. Dashboard exige que les CDO fournissent régulièrement aux utilisateurs une évaluation de la valeur économique de leurs données.Vous devrez informer les utilisateurs de cette valeur au moins une fois tous les 90 jours.. Les informations sur les données collectées par le CDO, comment elles sont obtenues et dans quel but seront incluses.Dashboard insiste notamment pour que les utilisateurs soient conscients si l’utilisation de leurs données « n’est pas directement ou exclusivement liée au service en ligne ».. Cela signifie qu’une entreprise comme Amazon doit informer ses clients si elle utilise leur adresse personnelle à des fins autres que l’expédition.Les CDO qui ne le font pas seront tenus en infraction pour pratiques déloyales et trompeuses en vertu de la loi.Le Dashboard Act signifie que les utilisateurs et les régulateurs gouvernementaux ont le droit de savoir qui possède leurs données et pourquoi.
La loi sur le tableau de bord impose également l’effacement des données.Section 3.a.2 comprend une clause qui oblige les utilisateurs à pouvoir supprimer toutes leurs données.Les informations doivent pouvoir être supprimées via des champs individuels ou sous forme globale. La suppression des données doit être réalisable via un paramètre unique ou un mécanisme clair ; plus le processus est simple, mieux c'est. Des exemptions existent, mais elles sont limitées. Les données ne peuvent pas être effacées si le CDO les conserve en vertu d'obligations légales, si les données sont utilisées dans le cadre de réclamations légales ou si elles sont nécessaires pour contribuer aux opérations de sécurité.Les CDO ne peuvent pas « conserver plus de données utilisateur que nécessaire »pour l'exercice des activités qu'ils ont préalablement précisées.
Tableau de bord et Exchange Act
La transparence pour les utilisateurs n’est pas le seul objectif de Dashboard. La loi entend modifierArticle 13de laLoi sur la bourse des valeurs mobilières de 1934, aussi connu sous le nomla loi sur les changes,etarticle 229.306detitre 17,Code des Régulations Fédérales.Les modifications apportées au tableau de bord incluent l'ajout des définitions précédemment mises en évidence et la configuration de nouvelles règles de divulgation.
Avec les modifications en place, les CDO devront divulguer chaque année des détails sur leurs pratiques en matière de données.Ces rapports comprendront :
- divulgations quantitatives et qualitatives de la valeur des données des utilisateurs,
- mesures techniques protégeant les données des utilisateurs,
- les mesures légales protégeant les données des utilisateurs,
- une évaluation des risques financiers et juridiques, et
- sources de données utilisateur, y compris par la vente et par le biais de relations.
Dashboard souhaite également que les CDO soient plus clairs sur le montant des revenus qu'ils génèrent réellement. Les modifications apportées au SE incluent des informations sur les revenus qu'ils génèrent réellement.« génération de revenus discrets qui repose sur les données des utilisateurs »si l'entreprise conclut des contrats de collecte avec des tiers d'une valeur supérieure à 10 000 000 $ et d'autres transactions financières. Si Twitter devait acheter des données d'achat importantes auprès de détaillants tiers, la loi sur le tableau de bord exige d'en informer la Federal Trade Commission (FTC).
Des questions qui méritent d'être posées
Jusqu'à présent, la loi sur le tableau de bord n'en est qu'à ses débuts, et cela se voit : en parcourant la loi, de nombreuses questions se posent. Par exemple,la loi sur le tableau de bord s'appliquera-t-elle aux développeurs d'applications ?Après tout, les applications populaires profitent énormément des données des utilisateurs.les applications ne sont pas mesurées par les visiteurs uniques.Qu’en est-il des données anonymisées ? Cela vaut la peine de mentionner quela loi est totalement muette sur les données « anonymes »,informations personnelles qui ne peuvent pas être liées à un individu. C’est une omission étrange, et susceptible d’être contestée : où les données anonymisées relèvent-elles de la loi ?
En supprimant les identifiants courants, tels que l'identifiant d'utilisateur, le nom ou l'adresse e-mail lorsqu'elles regroupent des données, de nombreuses organisations utilisent l'agrégation de données anonymes pour minimiser les problèmes de confidentialité. Malheureusement, de telles tentatives se sont souvent soldées par des retours de flamme : comme l’écrit Kalev Leetaru dans « TL’ère du Big Data et de la désidentification mosaïquée : pouvons-nous encore anonymiser les données? « Obtenir des données véritablement anonymisées n’est pas une mince affaire. Avec suffisamment de données, l’anonymat existe-t-il encore ? C’est une discussion de plus en plus répandue parmi les experts, comme ceux du2018 « L'avenir de la transformation numérique »par le Institut Strelka .
La définition du CDO est également problématique.Le seuil de 100 000 000 de visiteurs uniques signifie que le projet de loi a une portée extrêmement limitée.À des fins de comparaison, c’est plus que la population totale de la Californie, qui s’élève à un peu moins de 40 millions d’habitants selon le Bureau du recensement des États-Unis . Sous Dashboard, il en faut beaucoup pour être qualifié de CDO au sens de la loi : beaucoup de ceux qui profitent des données des utilisateurs pourront continuer sans interruption.
Où allons-nous à partir d'ici?
Depuis le 12 juillet, le Dashboard Act est nouveau dans le jeu et peut encore s'attendre à de nombreux changements. Pour commencer, comme Siméon Béal écrit pour One World Identity, le projet de loi n'a pas encore été« le peloton d’exécution du débat législatif ». De nouvelles dispositions pourraient être ajoutées, des définitions modifiées ou des exigences modifiées. Pourtant, alors que le temps presse pour la nouvelle loi californienne sur la protection de la vie privée et que d’autres États cherchent à élaborer leurs propres règles, les appels à la transparence des données ne disparaîtront pas. Une nouvelle loi pour le domaine numérique pourrait encore se profiler à l’horizon.
Voir également:
