Juste parce que c'est légal, ça ne veut pas dire que c'est vrai – TechCrunch

Les entreprises vantent souvent leur conformité aux normes de l'industrie – je suis sûr que vous avez vu les logos, les tampons et les déclarations "Privacy Shield Compliant". Comme nous, et la FTC, avons été rappelés il y a quelques mois, cette étiquette ne signifie pas que les critères ont été remplis initialement, encore moins des années plus tard, lorsqu'ils ont finalement été soumis à un examen gouvernemental.

Alastair Mactaggart – un activiste qui a aidé à promouvoir la California Consumer Privacy Act (CCPA) – a menacé une initiative de scrutin permettant aux entreprises de certifier volontairement la conformité avec CCPA 2.0 à l'agence encore informée. Bien que ce type de publicité semble une évidence pour les entreprises qui cherchent à rester compétitives sur un marché qui valorise la confidentialité et la sécurité, est-ce vraiment le cas? Hormis les considérations commerciales, y a-t-il une obligation morale de se conformer à toutes les lois existantes sur la protection des renseignements personnels et une entreprise est-elle contraire à l'éthique pour invoquer des dérogations à ces lois?

Je rejette l'idée que le respect de la loi et de la morale est la même chose – ou que l'un dénote l'autre. En réalité, c'est une décision nuancée basée sur le coût, la clientèle, la tolérance au risque et d'autres facteurs. De plus, donner à la conformité volontaire l'apparence d'une confiance ou d'un altruisme supplémentaire est en fait préjudiciable aux consommateurs car notre système actuel ne permet pas une surveillance efficace ou opportune et le type de recours disponibles après coup ne résout pas les préjudices réels subis.

Il n'est pas contraire à l'éthique de s'appuyer sur une exemption

La conformité n'est pas liée à la moralité.

En son cœur se trouve une analyse des coûts, et une analyse nuancée à cela. Les lois sur la protection des renseignements personnels – autant que les législateurs veulent croire le contraire – ne sont pas en noir et blanc dans leur mise en œuvre. Toutes les collectes de données non réglementées ne sont pas néfastes et toutes les entreprises qui s'y conforment (volontairement ou autrement) ne sont pas purement altruistes. Bien que les pénalités aient un coût financier, la collecte de données est une source de revenus pour beaucoup en raison des connaissances et des connaissances acquises dans les grands magasins de données variées – et du besoin des autres entreprises d'accéder à ces données.

Ils équilibrent le coût de la construction de systèmes et de processus conformes et la modification des accords existants avec souvent des milliers de fournisseurs de services avec la perte d'activité de ne pas être en mesure de fournir ces services aux consommateurs couverts par ces lois.

Il y a aussi la question de en vigueur lois. Le respect d'une loi peut interférer ou diminuer les protections offertes par les lois que vous suivez qui vous exonèrent en premier lieu, par exemple, lorsqu'une loi vous interdit de partager certaines informations à des fins de sécurité et une autre vous obligerait à les divulguer et à faire à la fois les données et la personne moins sécurisée.

Une conformité stricte permet également aux entreprises de se reposer sur leurs lauriers tout en profitant d'une réputation de confidentialité avant tout. La loi est la norme minimale, tandis que l'éthique vise à prescrire le maximum. Se conformer, même avec une loi inapplicable, est littéralement le moins que l'entreprise puisse faire. Cela les met également en position de ne pas faire de choix supplémentaires ou d'innover car ils ont déjà fait plus que ce qui est attendu. Cela est particulièrement vrai avec les lois fondées sur la technologie, où la législation est souvent à la traîne de l'industrie et de ses capacités.

De plus, qui décide de ce qui est éthique varie selon le temps, la culture et la dynamique du pouvoir. Le respect de la lettre stricte d'une loi destinée à couvrir tout le monde ne tient pas compte du fait que les entreprises de différents secteurs utilisent les données différemment. Les entreprises tentent de s'intégrer dans un cadre sans même répondre à la question de savoir quel cadre elles devraient respecter volontairement. Je vous entends maintenant: "C'est facile! Celui qui a la norme de collecte la plus élevée / la plus stricte / la plus stricte. »Ce sont tous des adjectifs qui sont jetés quand on parle d'une loi fédérale sur la vie privée. Cependant, «le plus élevé», «la plupart» et «le plus fort» sont tous subjectifs et ne vivent pas dans le vide, surtout si les États commencent à élaborer leur propre mosaïque de lois sur la vie privée.

Je suis sûr qu'il y a des gens qui disent que le Massachusetts – qui interdit à une entreprise de fournir des détails à un consommateur touché – offre la "plus" protection des consommateurs, alors qu'il existe un camp qui croit fournir autant d'informations détaillées que possible – comme la Californie et son exemple de modèle – fournit la protection «la plus». Qui a raison? Cela ne tient même pas compte du fait que la collecte de données peut avoir lieu dans plusieurs États. Dans ces cas, quelle loi couvrirait cette personne?

Les agences gouvernementales ne peuvent actuellement pas assurer une surveillance suffisante

Mettre une certification sur votre site Web que vous savez que vous ne rencontrez pas a été traité comme une pratique déloyale et trompeuse par la FTC. Cependant, la FTC n'a généralement pas le pouvoir d'amende pour une première infraction. Et même si cela peut obliger les entreprises à indemniser les consommateurs, les dommages peuvent être très difficiles à calculer.
Malheureusement, les dommages-intérêts pour violation de la vie privée sont encore plus difficiles à prouver devant les tribunaux; les fonds obtenus vont de manière disproportionnée aux avocats, chaque individu recevant un de minimis paiement, même s’ils arrivent au tribunal. La Cour suprême a indiqué à travers leurs avoirs dans Clapper c. Amnesty Intern., ETATS-UNIS. 133 S. Ct. 1138 (2013) et Spokeo, Inc. c. Robins, 136 S. Ct. 1540 (2016), que des dommages tels que le potentiel de fraude ou de ramifications résultant de la perte ou de l'utilisation abusive de données sont trop spéculatifs pour avoir qualité pour maintenir un procès.

Cela place la FTC dans une position de négociation plus faible pour obtenir des résultats avec le moins de ressources dépensées possible, d'autant plus que la FTC ne peut pas faire grand chose – elle a une compétence limitée et aucun contrôle sur les banques ou les organisations à but non lucratif. Pour faire écho au commissaire Noah Phillips, cela ne changera pas sans une loi fédérale sur la protection des renseignements personnels qui fixe des limites claires sur l'utilisation des données et les dommages et donne à la FTC un plus grand pouvoir d'appliquer ces limites dans les litiges.

Enfin, en plus de ces contraintes juridiques, la FTC manque de personnel en matière de confidentialité, avec environ 40 membres du personnel à temps plein dédiés à la protection de la vie privée de plus de 320 millions d'Américains. Pour contrôler adéquatement la vie privée, la FTC a besoin de plus d'avocats, d'enquêteurs, de technologues et d'outils technologiques de pointe. Sinon, il continuera de financer certaines enquêtes au prix d'un manque de personnel.

L'externalisation de la surveillance d'une entreprise privée peut ne pas être plus avantageuse – pour le simple fait qu'une telle certification aura un prix élevé (surtout au début), laissant les moyennes et petites entreprises à un désavantage concurrentiel. De plus, contrairement aux professionnels de la vie privée et à l'équipe juridique d'une entreprise, une entreprise de certification est plus susceptible de veiller au respect de la lettre de la loi – en mettant l'accent sur le fond – au lieu de traiter les nuances des modèles d'utilisation des données d'une entreprise particulière.

Les recours existants ne corrigent pas les préjudices subis par les consommateurs

Supposons qu'une agence propose une mesure d'exécution, les types de pouvoirs de sanction que ces agences ont actuellement ne traitent pas adéquatement le préjudice causé aux consommateurs. Cela est dû en grande partie au fait que le respect d'une législation sur la protection des renseignements personnels n'est pas un interrupteur marche-arrêt et que le régime actuel est davantage axé sur la restitution financière.
Même lorsqu'il existe des mesures prescrites pour se mettre en conformité avec la loi, cette conformité prend des années et ne tient pas compte des ramifications de l'utilisation historique des données non conformes.

Prendre la mise en demeure de la CNIL contre Vectuary pour ne pas avoir recueilli un consentement affirmatif et éclairé. Vectuary a collecté des données de géolocalisation auprès des utilisateurs d'applications mobiles pour fournir des services de marketing aux détaillants à l'aide d'une plate-forme de gestion du consentement qu'elle a développée en mettant en œuvre le cadre de transparence et de consentement de l'IAB (une association d'autoréglementation). Cet avis mérite une attention particulière parce que Vectuary suivait une directive établie par une association professionnelle, et pourtant son consentement a été jugé invalide.

En conséquence, la CNIL a mis Vectuary en demeure de suspendre le traitement des données de cette manière et de supprimer les données collectées au cours de cette période. Et même si cela peut être considéré comme une victoire parce que la décision a forcé l'entreprise à reconstruire ses systèmes – combien d'entreprises auraient le budget pour le faire, si elles n'avaient pas les ressources nécessaires pour se conformer en premier lieu? De plus, cela prendra du temps, alors qu'advient-il de leur modèle commercial entre-temps? Peuvent-ils continuer à être non conformes, en théorie jusqu'à ce que le délai de conformité fixé par l'agence soit respecté? Même si les données sous-jacentes sont supprimées – aucune des parties avec lesquelles elles ont partagé les données ou les déductions qu'elles ont construites sur elles n'ont été affectées.

L'eau est encore plus trouble lorsque vous examinez des remèdes pour une fausse auto-certification du bouclier de protection des données. Un logo Bouclier de protection des données sur le site d'une entreprise indique essentiellement que l'entreprise estime que ses transferts de données transfrontaliers sont correctement sécurisés et que les transferts sont limités aux parties qui, selon elle, ont des pratiques responsables en matière de données. Donc, si une entreprise est jugée avoir faussement fait ces déclarations sous-jacentes (ou a omis de se conformer à une autre exigence), elle devrait cesser d'effectuer ces transferts et si cela fait partie de la façon dont ses services sont fournis, doit-elle simplement cesser de fournir ces services à leurs clients immédiatement?

Il semble en pratique que choisir de ne pas se conformer à une loi autrement inapplicable ne consiste pas à ne pas se soucier de vos clients ou des défauts moraux, c'est littéralement juste «pas comment quelque chose fonctionne», ni aucun avantage supplémentaire pour le consommateur à essayer aux consommateurs – et n'est-ce pas ce qui compte au final?

Les opinions exprimées dans cet article sont celles de l'auteur et non celles de son cabinet, des investisseurs, des clients ou autres.

Traduit de la source : https://techcrunch.com/2019/12/20/just-because-its-legal-it-doesnt-mean-its-right/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.