Les lois sur la Politique de confidentialité ne sont efficaces que si les entreprises les mettent en œuvre

La Politique de confidentialité est un sujet HOT pour les législateurs du monde entier.

Les programmes de campagne des candidats démocrates à la présidentielle incluent des lois et réglementations sur la Politique de confidentialité . Amy Klobuchar discuté d'une taxesur les entreprises qui partagent les données des utilisateurs. Elizabeth Warren aintroduit Une loi envisageant des peines de prison pour les PDG en cas de manquement à la protection de la Politique de confidentialité . Avant de se retirer de la course, John Delaney a proposé la loi américaine adopter une loi similaire à la California Consumer Politique de confidentialité Act, ce qui donne aux consommateurs une plus grande marge de manœuvre lorsqu'il s'agit de limiter la collecte de leurs données par les entreprises.

Les électeurs exigent des mesures concrètes.sondage récentSelon une étude de Morning Consult, 79 % des électeurs inscrits ont déclaré que le Congrès devrait adopter un projet de loi visant à mieux protéger les données en ligne des consommateurs, tandis que 65 % ont qualifié la Politique de confidentialité des données ONEun des plus gros problèmes auxquels la société est confrontée.

L'Union européenne, composée de 27 États membres avec la perte du Royaume-Uni, a promulgué le règlement général sur la protection des données (RGPD), consacrant l'idée que chacun a le contrôle de ses données personnelles. La Californie a récemment promulgué sa propre loi sur la Politique de confidentialité , le California Consumer Politique de confidentialité Act (CCPA), qui entrera en vigueur le 1er janvier. Cette loi permet aux consommateurs californiens de savoir quand des entreprises privées collectent, partagent ou vendent leurs données et d'empêcher cette vente si nécessaire. Elle s'applique aux entreprises dont le chiffre d'affaires annuel brut est supérieur à 25 millions de dollars ou qui détiennent des informations sur 50 000 consommateurs ou plus.

Mais les lois peuvent avoir des conséquences inattendues. Parfois, les lois censées garantir la Politique de confidentialité peuvent inciter les entreprises à partager leurs données. Le RGPD ouvre la voie aux escrocs pour se faire passer pour des personnes et obtenir leurs données auprès des entreprises.

Un an après l’entrée en vigueur du RGPD, des chercheurs de l’UE ont montré à quel point il est facile d’accéder aux données personnelles des entreprises.

« Le problème ne vient T de la loi elle-même, mais plutôt des entreprises et organisations qui la mettent en œuvre », a déclaré Mariano Di Martino, ONEun des chercheurs et doctorant à l'Université de Hasselt en Belgique, lors d'une interview accordée à CoinDesk . « Cela peut être dû à des contraintes budgétaires ou à une T des risques liés à ces données. »

Un groupe Ils ont utilisé des informations publiques, telles que des noms, des adresses e-mail et des numéros de téléphone, ainsi que des méthodes plus complexes pour Request des informations sur leurs partenaires de recherche à 55 entreprises, conformément au RGPD. ONEune de ces méthodes complexes consistait à remplacer le nom, la date de naissance et la photo sur une pièce ID afin de refléter la personne dont les chercheurs souhaitaient obtenir les informations. Sur ces 55 entreprises, 15 ont communiqué des informations personnelles sensibles aux chercheurs. Quatre entreprises n'ont jamais répondu à leurs demandes de données, en violation flagrante du RGPD.

Ce n’est T un problème de loi en elle-même, mais plutôt de la part des entreprises et des organisations qui la mettent en œuvre.

Les informations recueillies comprenaient des sociétés financières divulguant des détails tels que les numéros de carte ID , une liste de transactions financières horodatées, les identifiants de clients, les numéros de téléphone et le lieu de naissance, et des sociétés de transport et de logistique divulguant les lieux visités par les personnes dans le passé ainsi que les itinéraires qu'elles avaient enregistrés.

Un autre équipe de chercheursDes chercheurs de l'UE ont constaté des problèmes similaires lorsqu'une ONE a demandé des informations sur son partenaire de recherche et son épouse en utilisant une adresse e-mail usurpée, une variante du nom de l'épouse. Environ un quart des 150 entreprises et organisations contactées ont divulgué des informations personnelles sensibles sans vérifier l'identité du demandeur. Les informations qui lui ont été fournies comprenaient tout, du numéro de sécurité sociale à ses notes de lycée, en passant par divers mots de passe.

Avec l'entrée en vigueur du CCPA, il est possible que des problèmes similaires se posent. L'étude sur le RGPD montre que l'efficacité des lois sur la Politique de confidentialité dépend de celle des entreprises concernées. C'est inquiétant. Ces fuites ont des implications concrètes.

« Imaginons que j'essaie de harceler quelqu'un et que je souhaite en Guides plus sur lui », explique Di Martino. « Je pourrais envoyer une Request de données à une entreprise de taxi ou de bus pour obtenir tous les itinéraires ou positions GPS de cette personne. Et ça pourrait fonctionner. »