Juridique & Affaires Publiques

La FCC propose de renforcer la protection de la vie privée des consommateurs envers leurs FAI

Jeudi 10 mars, le Président de la FCCle régulateur américain des télécoms -, Tom Wheeler, a diffusé une proposition visant à instaurer de nouvelles règles en matière de protection des données personnelles des consommateurs envers leurs fournisseurs d’accès à Internet. Cette proposition doit être votée en séance plénière le 31 mars. Si elle est adoptée, elle sera suivie d’une consultation publique. 

Un besoin de choix, de transparence et de sécurité en ligne

Partant du constat que les fournisseurs d’accès bénéficient d’une position privilégiée pour collecter les données des consommateurs : analyse du trafic (sites visités, applications utilisées), suivi des activités en temps réel via les téléphones mobiles, etc. Grâce à cette masse d’information, ces prestataires peuvent créer des profils détaillés des individus. La FCC souligne à ce propos que la relation qui unit un FAI et un consommateur est différente de celle qu’on peut avoir avec un éditeur d’application ou un moteur de recherche, dès lors que l’engagement financier envers ces derniers est plus important et s’inscrit dans la durée.

Ainsi, le Président de la FCC souhaite que les consommateurs aient un contrôle effectif sur la manière dont leurs informations personnelles sont utilisées et partagées par leur FAI, tout comme cela existe pour les réseaux téléphoniques classiques. Sa proposition repose sur trois principes :

  • Le choix : les consommateurs doivent avoir le droit d’exercer un contrôle significatif sur la manière dont les FAI partagent leurs données avec des tiers ou des sociétés partenaires.
  • La transparence : les consommateurs ont le droit de connaître les catégories d’informations collectées, leur utilisation et les conditions de leur partage. Les FAI doivent divulguer leurs pratiques de manière accessible et compréhensible.
  • La sécurité : les FAI doivent protéger les données de leurs utilisateurs, tant lors de leur circulation sur le réseau que de leur stockage.

Des propositions concrètes afin d’assurer le contrôle des individus sur leurs données

La proposition du Président de la FFC distingue trois niveaux de consentement selon le type d’utilisation des données sont précisés. Lorsque les FAI n’utilisent des données que pour la fourniture et le marketing d’un service auquel a souscrit l’utilisateur, son consentement n’aurait pas à être obtenu à nouveau. En revanche, l’utilisation de ces données serait soumise au principe d’opt-out (droit d’opposition) dans le cadre du marketing d’autres services en lien avec ce service, et dans le cadre du partage des données avec leurs filiales. Enfin, serait soumis à l’opt-in (consentement exprès) toute autre utilisation et partage des données des consommateurs.

Par ailleurs, les FAI seraient soumis à des obligations minimum en matière de sécurité des données. A ce titre, l’adoption de standards est encouragée, et les FAI devraient prendre des mesures raisonnables pour prévenir l’utilisation et la divulgation non autorisées des données, identifier un manager senior en charge de cette question, sensibiliser leur personnel, adopter des pratiques de management de gestion de risques, adopter des critères fiable d’authentification, ou encore prendre la responsabilité de tout partage avec des tiers.

Les consommateurs devraient être informés de tout risque pour leurs données. En cas de faille, les FAI auraient l’obligation spécifique de notifier les consommateurs touchés dans un délai maximum de 10 jours à compter de sa découverte, mais aussi la FCC (délai de 7 jours), voire le FBI et les services secrets américains quand plus de 5000 consommateurs sont concernés (délai de 7 jours).

La question de la vie privée au centre des débats

Cette proposition n’est pas vraiment une surprise puisqu’elle vient préciser la neutralité du Net tel qu’adoptée par la FCC en février 2015. A cette occasion, le régulateur américain avait notamment prévu que la section 222 du Communication Act, qui concerne la protection de la vie privée des consommateurs, serait appliquée à Internet.

Pour autant, elle fait polémique dès lors que deux visions s’opposent. En effet, mi-février, la FCC avait reçu une lettre de la part de six associations d’industriels et d’opérateurs demandant des règles « flexibles » en matière de vie privée, pour leur permettre « d’innover » en matière de services. Face à elles, des organisations de consommateurs demandent un contrôle strict des données détenues par ces FAI.

La National Cable and Telecommunications Association (NCTA) a rapidement répondu à la publication de l’autorité. « Nous sommes déçus de la décision apparente du président Wheeler de proposer des règles pour les FAI en contradiction avec celles requises des autres grandes entités du Net ». Les opérateurs dénoncent une différence de traitement avec les opérateurs non soumis à la régulation des télécoms, comme les GAFA.

Mais la FCC semble convaincue de l’utilité de cette proposition puisqu’elle a signé, le 8 mars dernier, un accord avec l’opérateur Verizon qui traquait ses clients mobiles à l’aide de « super cookies ». Ils ont notamment servi à des sociétés marketing pour recréer des cookies supprimés par les utilisateurs, sans que ceux-ci n’en soient jamais prévenus. L’opérateur doit payer une amende de 1,35 million d’euros, informer les consommateurs et recueillir leur consentement dans un délai de trois ans. Des demandes donc proches de celles inscrites au sein de la proposition du Président de la FCC.

image_pdfimage_print

Tagged , ,