Aux USA, il faut céder encore plus de données pour profiter du RGPD

Pierre Crochart
Expert smartphone & gaming
15 janvier 2020 à 13h43
0
Données Confidentialité
© madartzgraphics via Pixabay.com

Appliqué depuis le 1er janvier dernier, le California Consumer Privacy Act (CCPA, équivalent du RGPD européen) a déjà permis à quelques entreprises de faire évoluer leurs politiques de confidentialité dans tout le pays. Mais pour les utilisateurs·rices, la consultation et la suppression de leurs données restent encore un beau parcours du combattant.

Si les Californiens sont les premiers concernés par les mesures prévues par le CCPA, tout le territoire américain commence à profiter de la mise en conformité des entreprises. Néanmoins, les mesures phares de la loi que sont la consultation et la suppression des données personnelles récoltées par les entreprises se heurtent à des contraintes techniques assez fortes. En clair : il faut céder davantage de données afin d'avoir accès à son archive.

Un processus kafkaïen

Comme le rapporte le New York Times, certaines entreprises assaillies de demandes concernant les données utilisateurs ont dû faire appel à des sociétés tierces pour gérer l'afflux de requêtes. L'une de ces sociétés, Berbix, a notamment pour mission de s'assurer que la personne qui émet la demande de récupération d'archive est bien la propriétaire du compte.

Alors pour la mener à bien, Berbix demande aux internautes qui en font la demande de téléverser une copie de leur carte d'identité, et d'ajouter un ou deux selfies récents dans lesquels, je cite, il faut s'assurer « d'avoir l'air joyeux ou heureux ». L'objectif étant de s'assurer que vous ne tenez pas simplement une photographie devant votre appareil photo.


CCPA requête photo
Capture d'écran montrant le processus de vérification d'identité en question. © Jake Phelps pour le New York Times

« Un futur cauchemardesque », commente un lecteur du New York Times, rejoint par Barbara Clancy, une professeure de neuroscience à la retraite qui ajoute : « Ce n'est pas normal d'avoir à céder encore plus d'informations personnelles » pour exercer son droit à protéger ses données.

Des ratés qui effraient

Pourquoi ce processus étonnant ? Pour la simple et bonne raison que les quelques ratés qui ont émaillé la mise en place du RGPD sur le Vieux Continent ont échaudé certaines entreprises. « Les entreprises ne veulent pas céder vos données personnelles à la mauvaise personne », justifie l'auteur de l'article du New York Times, prenant pour exemple la bourde d'Amazon qui, il y a un peu plus d'un an, avait envoyé une archive contenant quelque 1 700 fichiers audio Alexa à la mauvaise personne.

Un précédent qui fait peur donc, et qui encourage les sociétés américaines à encadrer davantage l'application des mesures du CCPA. Autre exemple : celui de Jean Yang, une cadre dans la technologie qui, suite au piratage de son compte Spotify, avait appris que le hacker avait pu récupérer l'intégralité des données incluses dans son archive (adresse postale, historique musical, mais aussi informations bancaires).



Il faut concéder que le système européen n'est pas infaillible. Deux groupes de chercheurs (Usenix et Blackhat) ont déjà démontré que, se dépêchant de se mettre en conformité (bien qu'elles ont eu deux ans pour le faire), les entreprises n'effectuaient pas toujours les vérifications nécessaires auprès des demandeurs avant de leur remettre une archive.


Autant d'exemples qui ont donc motivé de nombreuses entreprises américaines à s'offrir les services de Berbix ou de ses concurrents. Pour Steve Kirkham, fondateur de Berbix, le processus de vérification n'est en aucun cas malicieux. « Nous voulons empêcher les requêtes frauduleuses et autoriser celles qui sont légitimes », assure-t-il, tout en admettant que de devoir en passer par là a découragé un certain nombre de citoyens. « Beaucoup de personnes ne veulent pas donner davantage d'informations », commente Steve Kirkham. « Ils présument que nous allons faire quelque chose de malhonnête avec. Mais c'est toute l'ironie ici. Nous demandons plus d'informations de la part des gens afin de pouvoir les protéger ».

Mais que deviennent ces données une fois le processus de validation mené à son terme ? Sur ce point, le patron de Berbix affirme qu'elles sont supprimées dans un délai allant de sept jours à une année — selon les consignes de leur client.

Source : The New York Times
Modifié le 15/01/2020 à 13h52
1
2
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Voitures électriques : le réseau de chargeurs Ionity facturera désormais au kWh
HP désactive vos cartouches d’encre à distance en cas de résiliation à son service d’abonnement
Taxation du numérique : après une discussion Macron/Trump, la taxe provisoirement suspendue
Démarchage téléphonique : plusieurs associations lancent une pétition pour y mettre fin
Réforme de l'audiovisuel : du cinéma chaque jour de la semaine sur les chaînes gratuites ?
La police va pouvoir extraire toutes les données de vos smartphones en 10 minutes chrono
La baisse de prix sur les cartes graphiques Nvidia GeForce RTX 2060 est officielle !
Kaamelott : un premier teaser et une date de sortie avancée pour le film
Netflix se bat contre Disney+ à coup de Google Trends : The Witcher y exploserait The Mandalorian
L'ESA travaille sur une usine capable de transformer la poussière de Lune en oxygène

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top