Aux USA, il faut céder encore plus de données pour profiter du RGPD

Pierre Crochart
Spécialiste smartphone & gaming
15 janvier 2020 à 13h43
0
Données Confidentialité
© madartzgraphics via Pixabay.com

Appliqué depuis le 1er janvier dernier, le California Consumer Privacy Act (CCPA, équivalent du RGPD européen) a déjà permis à quelques entreprises de faire évoluer leurs politiques de confidentialité dans tout le pays. Mais pour les utilisateurs·rices, la consultation et la suppression de leurs données restent encore un beau parcours du combattant.

Si les Californiens sont les premiers concernés par les mesures prévues par le CCPA, tout le territoire américain commence à profiter de la mise en conformité des entreprises. Néanmoins, les mesures phares de la loi que sont la consultation et la suppression des données personnelles récoltées par les entreprises se heurtent à des contraintes techniques assez fortes. En clair : il faut céder davantage de données afin d'avoir accès à son archive.

Un processus kafkaïen

Comme le rapporte le New York Times, certaines entreprises assaillies de demandes concernant les données utilisateurs ont dû faire appel à des sociétés tierces pour gérer l'afflux de requêtes. L'une de ces sociétés, Berbix, a notamment pour mission de s'assurer que la personne qui émet la demande de récupération d'archive est bien la propriétaire du compte.

Alors pour la mener à bien, Berbix demande aux internautes qui en font la demande de téléverser une copie de leur carte d'identité, et d'ajouter un ou deux selfies récents dans lesquels, je cite, il faut s'assurer « d'avoir l'air joyeux ou heureux ». L'objectif étant de s'assurer que vous ne tenez pas simplement une photographie devant votre appareil photo.


CCPA requête photo
Capture d'écran montrant le processus de vérification d'identité en question. © Jake Phelps pour le New York Times

« Un futur cauchemardesque », commente un lecteur du New York Times, rejoint par Barbara Clancy, une professeure de neuroscience à la retraite qui ajoute : « Ce n'est pas normal d'avoir à céder encore plus d'informations personnelles » pour exercer son droit à protéger ses données.

Des ratés qui effraient

Pourquoi ce processus étonnant ? Pour la simple et bonne raison que les quelques ratés qui ont émaillé la mise en place du RGPD sur le Vieux Continent ont échaudé certaines entreprises. « Les entreprises ne veulent pas céder vos données personnelles à la mauvaise personne », justifie l'auteur de l'article du New York Times, prenant pour exemple la bourde d'Amazon qui, il y a un peu plus d'un an, avait envoyé une archive contenant quelque 1 700 fichiers audio Alexa à la mauvaise personne.

Un précédent qui fait peur donc, et qui encourage les sociétés américaines à encadrer davantage l'application des mesures du CCPA. Autre exemple : celui de Jean Yang, une cadre dans la technologie qui, suite au piratage de son compte Spotify, avait appris que le hacker avait pu récupérer l'intégralité des données incluses dans son archive (adresse postale, historique musical, mais aussi informations bancaires).



Il faut concéder que le système européen n'est pas infaillible. Deux groupes de chercheurs (Usenix et Blackhat) ont déjà démontré que, se dépêchant de se mettre en conformité (bien qu'elles ont eu deux ans pour le faire), les entreprises n'effectuaient pas toujours les vérifications nécessaires auprès des demandeurs avant de leur remettre une archive.


Autant d'exemples qui ont donc motivé de nombreuses entreprises américaines à s'offrir les services de Berbix ou de ses concurrents. Pour Steve Kirkham, fondateur de Berbix, le processus de vérification n'est en aucun cas malicieux. « Nous voulons empêcher les requêtes frauduleuses et autoriser celles qui sont légitimes », assure-t-il, tout en admettant que de devoir en passer par là a découragé un certain nombre de citoyens. « Beaucoup de personnes ne veulent pas donner davantage d'informations », commente Steve Kirkham. « Ils présument que nous allons faire quelque chose de malhonnête avec. Mais c'est toute l'ironie ici. Nous demandons plus d'informations de la part des gens afin de pouvoir les protéger ».

Mais que deviennent ces données une fois le processus de validation mené à son terme ? Sur ce point, le patron de Berbix affirme qu'elles sont supprimées dans un délai allant de sept jours à une année — selon les consignes de leur client.

Source : The New York Times
Modifié le 15/01/2020 à 13h52
1
2
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Coronavirus : Bill Gates va faire construire des usines pour fabriquer les 7 vaccins les plus prometteurs
Une association pointe du doigt Amazon, qui livre toujours des produits hors hygiène et alimentaire
Comment fonctionne la nouvelle attestation de déplacement sur smartphone ?
Coronavirus : comment l'Iran et l'Espagne gèrent la crise d'un point de vue technologique
Blue Origin pousse ses employés à développer une fusée touristique malgré le coronavirus
Disney+ : pas de 4K ni d'Ultra-HD au lancement pour le concurrent de Netflix
Quatre ans après leur sortie, les Samsung Galaxy S7 ne seront plus mis à jour
Et de trois ! Un nouveau prototype de Starship détruit lors d'un test de réservoir
COVID-19 : Lamborghini aussi se met à produire du matériel médical
Audi : pas de version 100 % électrique pour la berline premium A8
scroll top