Passer au contenu

Les FAI américains auront besoin du consentement express des clients pour collecter leurs données

Le gendarme des télécoms US muscle les règles du jeu à l’encontre des fournisseurs d’accès à Internet (FAI). Ces derniers devront obtenir la permission de leurs clients avant de partager ou vendre leurs données, tel que l’historique de navigation web.

fai-fcc-consentement-clients-partage-donnees
Batman by Thumbs And Ammo

Un consentement clair et explicite (opting-in), c’est l’une des nouvelles mesures auxquelles devront se plier les FAI américains (de Comcast à AT&T en passant par Verizon) avant de partager les données sensibles de leurs clients.

Jeudi 27 octobre, le régulateur américain des télécommunications, la Federal Communications Commission (FCC) a annoncé tout un panel de nouvelles restrictions pour les FAI, limitant les informations qu’ils seront en droit de partager sur leurs abonnés. À l’instar de ce qui se fait déjà pour les opérateurs téléphoniques.

Les informations sensibles soumises au consentement

Les informations considérées comme sensibles sont directement concernées. Parmi elles, l’historique de navigation, les données de localisation, les applications que vous utilisez, les données financières et de santé (numéro de sécurité sociale notamment) ou encore le contenu de votre correspondance électronique et autre communication. Google scanne notamment les messages reçus sur Gmail pour proposer des publicités ciblées.

Jusqu’à présent, ces données particulièrement révélatrices sur les habitudes d’un abonné n’étaient régies par aucune règle de confidentialité de la FCC. Les FAI étaient donc libres de vendre ou partager ces données avec leurs partenaires, qui les utilisaient pour promouvoir leurs propres services auprès des abonnés.

Tom Wheeler, président de la FCC
Tom Wheeler, président de la FCC

Les FAI contraint à la transparence

Les autres informations considérées comme non sensibles pourront être partagées par le FAI, mais le consommateur aura la possibilité de manifester son refus (opt-out).

En outre, les FAI seront tenus d’informer leurs clients concernant les informations collectées, la façon dont elles seront utilisées et avec qui elles pourront être partagées. Ces informations devront être mises à jour au moindre changement.

Des mesures justifiées par « l’information du consommateur », a déclaré Tom Wheeler, le président de la FCC. « La façon dont ces données sont utilisées devrait être le choix du consommateur, et non celui de quelques algorithmes d’entreprises ». La transparence est donc de mise.

Les FAI rappelés à leur devoir de sécurisation des données

Les FAI devront également s’assurer de « prendre des mesures raisonnables » pour sécuriser les données sensibles des clients. Si ces mesures ne sont pas détaillées, des lignes directrices ont été fournies, comme s’assurer que ces procédures de sécurité sont suffisantes et mises à jour.

fcc-fai-donnees

Les cyberattaques se multiplient ces derniers mois aux États-Unis et le vol de données personnelles avec. Récemment encore, c’est Yahoo qui a dû confirmer le piratage de plus de 500 millions de comptes utilisateurs et des données s’y référant. Désormais, les FAI devront notifier les clients sous 30 jours en cas de violations de leurs données.

Toutefois, les FAI ne vont pas se retrouver les poches vides, ils pourront toujours partager et vendre les données de leurs clients pour peu qu’elles soient anonymes.

Anonymisées, toute information peut être partagée

La FCC autorise le partage des données sans le consentement des abonnés pour peu que le FAI procède à leur anonymisation, « de sorte qu’elles ne peuvent être raisonnablement liées à un individu ou un dispositif spécifique », et qu’il soit interdit, par contrat, aux partenaires de tenter d’identifier le propriétaire des informations partagées.

Le data center de Facebook en Suède
Le data center de Facebook en Suède

Autrement dit, informations sensibles ou non, ces données pourront toujours être partagées si elles restent anonymes. Pas de quoi contenter les FAI US qui ne décolèrent pas depuis mars dernier et la présentation préliminaire de ces nouvelles mesures. AT&T estime pour sa part qu’il n’y a pas de raison qu’ils se voient imposer des restrictions quand les géants du web tels que Facebook ou Google procèdent de même. Argument rejeté par le FCC qui estime la collecte d’un moteur de recherche limitée à son service, quand les FAI ont une vision d’ensemble du comportement et des habitudes d’un internaute.

« La relation d’un consommateur avec son FAI est très différente de celle qu’elle a avec un site ou une app. Les internautes peuvent changer instantanément de service, de moteur de recherche ou d’application. Mais quand ils s’abonnent à une offre Internet, les consommateurs peuvent à peine éviter le réseau pour lequel ils paient des frais mensuels », rétorquait alors la FCC.

FAI : touche pas au grisbi

Les FAI voient surtout leur modèle économique épinglé, ces derniers se financent en partie par la publicité ciblée et le traitement des données clients. Ainsi, Verizon a préféré conclure un accord avec la FCC et verser 1,35 million de dollars pour ses pratiques litigieuses : des « supercookies » indélébiles pour ses clients mobiles ou recrées une fois supprimés sans qu’ils en soient avertis.

fai-fcc-donnees-att

En début de semaine, c’est AT&T qui se retrouvait au cœur du scandale pour avoir vendu les données de ces clients aux forces de l’ordre américaines. Pendant 8 ans, grâce à un programme intitulé “Hemisphère”, le premier opérateur US, AT&T, a enregistré et revendu aux autorités, les données provenant des SMS, historiques d’appels ou conversations Skype de ses clients.

Pour cela, AT&T réclamait entre 100 000 et 1 million de dollars, selon l’agence gouvernementale qui en faisait la demande, et ce, sans qu’aucun mandat ne soit requis.

Ces nouvelles règles ont été adoptées par 3 voix contre 2 et devraient entrer en vigueur début 2017.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

1 commentaire
  1. Il y a fort à parier que si le consentement clair et explicit du client est nécessaire pour la collecte des données, le client se verra refusé l’accès au site en cas de refus.

    “les FAI seront tenus d’informer leurs clients concernant les informations collectées, la façon dont elles seront utilisées et avec qui elles pourront être partagées” :
    ils vont tout simplement que ces informations peuvent être partagées avec l’ensemble de leurs partenaires et le client ne sera pas plus avancé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *