Aux USA, il faut céder encore plus de données pour profiter du RGPD

Pierre Crochart
Spécialiste smartphone & gaming
15 janvier 2020 à 13h52
1
Données Confidentialité
© madartzgraphics via Pixabay.com

Appliqué depuis le 1er janvier dernier, le California Consumer Privacy Act (CCPA, équivalent du RGPD européen) a déjà permis à quelques entreprises de faire évoluer leurs politiques de confidentialité dans tout le pays. Mais pour les utilisateurs·rices, la consultation et la suppression de leurs données restent encore un beau parcours du combattant.

Si les Californiens sont les premiers concernés par les mesures prévues par le CCPA, tout le territoire américain commence à profiter de la mise en conformité des entreprises. Néanmoins, les mesures phares de la loi que sont la consultation et la suppression des données personnelles récoltées par les entreprises se heurtent à des contraintes techniques assez fortes. En clair : il faut céder davantage de données afin d'avoir accès à son archive.

Un processus kafkaïen

Comme le rapporte le New York Times, certaines entreprises assaillies de demandes concernant les données utilisateurs ont dû faire appel à des sociétés tierces pour gérer l'afflux de requêtes. L'une de ces sociétés, Berbix, a notamment pour mission de s'assurer que la personne qui émet la demande de récupération d'archive est bien la propriétaire du compte.

Alors pour la mener à bien, Berbix demande aux internautes qui en font la demande de téléverser une copie de leur carte d'identité, et d'ajouter un ou deux selfies récents dans lesquels, je cite, il faut s'assurer « d'avoir l'air joyeux ou heureux ». L'objectif étant de s'assurer que vous ne tenez pas simplement une photographie devant votre appareil photo.


CCPA requête photo
Capture d'écran montrant le processus de vérification d'identité en question. © Jake Phelps pour le New York Times

« Un futur cauchemardesque », commente un lecteur du New York Times, rejoint par Barbara Clancy, une professeure de neuroscience à la retraite qui ajoute : « Ce n'est pas normal d'avoir à céder encore plus d'informations personnelles » pour exercer son droit à protéger ses données.

Des ratés qui effraient

Pourquoi ce processus étonnant ? Pour la simple et bonne raison que les quelques ratés qui ont émaillé la mise en place du RGPD sur le Vieux Continent ont échaudé certaines entreprises. « Les entreprises ne veulent pas céder vos données personnelles à la mauvaise personne », justifie l'auteur de l'article du New York Times, prenant pour exemple la bourde d'Amazon qui, il y a un peu plus d'un an, avait envoyé une archive contenant quelque 1 700 fichiers audio Alexa à la mauvaise personne.

Un précédent qui fait peur donc, et qui encourage les sociétés américaines à encadrer davantage l'application des mesures du CCPA. Autre exemple : celui de Jean Yang, une cadre dans la technologie qui, suite au piratage de son compte Spotify, avait appris que le hacker avait pu récupérer l'intégralité des données incluses dans son archive (adresse postale, historique musical, mais aussi informations bancaires).



Il faut concéder que le système européen n'est pas infaillible. Deux groupes de chercheurs (Usenix et Blackhat) ont déjà démontré que, se dépêchant de se mettre en conformité (bien qu'elles ont eu deux ans pour le faire), les entreprises n'effectuaient pas toujours les vérifications nécessaires auprès des demandeurs avant de leur remettre une archive.


Autant d'exemples qui ont donc motivé de nombreuses entreprises américaines à s'offrir les services de Berbix ou de ses concurrents. Pour Steve Kirkham, fondateur de Berbix, le processus de vérification n'est en aucun cas malicieux. « Nous voulons empêcher les requêtes frauduleuses et autoriser celles qui sont légitimes », assure-t-il, tout en admettant que de devoir en passer par là a découragé un certain nombre de citoyens. « Beaucoup de personnes ne veulent pas donner davantage d'informations », commente Steve Kirkham. « Ils présument que nous allons faire quelque chose de malhonnête avec. Mais c'est toute l'ironie ici. Nous demandons plus d'informations de la part des gens afin de pouvoir les protéger ».

Mais que deviennent ces données une fois le processus de validation mené à son terme ? Sur ce point, le patron de Berbix affirme qu'elles sont supprimées dans un délai allant de sept jours à une année — selon les consignes de leur client.

Source : The New York Times
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Bezenman78
Peut-être que, devant l’afflux de demande de la part des utilisateurs, Berbix va elle-même faire appel à une société tierce, qui va demander - à son tour - d’autres données perso pour que l’on puisse récupérer les précédentes ? Si aucune boîte n’avait voulu faire du pognon inconsidérément avec les infos de leurs clients/utilisateurs dès l’origine, nous n’en serions pas là…
Voir tous les messages sur le forum

Derniers actualités

Insolite : il imagine et fabrique une boîte à rythmes... en LEGO
Imaginé pour les pros du vélo, ce nouveau moteur électrique Bosch a de quoi vous envoyer dans le décor
Bitdefender Total Security est un excellent antivirus portant particulièrement bien son nom !
Ce weekend semble particulièrement bien choisi pour souscrire à cette licence NordVPN !
Top 5 des applications à tester sur son smartphone cette semaine !
Forfait mobile : payez ce que vous consommez avec cette offre Prixtel
La part de mineurs dans l'audience de Pornhub est impressionnante, selon le rapport du Sénat
Entre micmacs financiers et idéologiques, que révèlent les messages d'Elon Musk exposés par le procès Twitter ?
Greenpeace investit 1 million de dollars dans une campagne pour changer le Bitcoin
La carte d'identité numérique commence son déploiement sur iOS
Haut de page