Jusque récemment, les cibles présumées du vol massif de données étaient considérées comme des entreprises qui manquaient de cybersécurité sophistiquée ou qui ne prenaient pas le problème assez au sérieux.

Mais depuis fin 2016, certains des plus grands noms de la technologie de pointe ont vu leurs données clients les plus sensibles, y compris le contenu des e-mails, numéros de carte de crédit, et les numéros de téléphone portable - tombent entre les mains de pirates, ou, dans certains cas, partagé ces données avec des tiers à l'insu ou sans le consentement des consommateurs.

La liste s'allonge rapidement. Des voleurs ont téléchargé des informations sur 25 millions de passagers Uber américains. L'agence d'évaluation du crédit Equifax s'est fait voler 143 millions de fichiers clients par des pirates. Cambridge Analytica a collecté les données d'au moins 87 millions d'utilisateurs de Facebook pour cibler des publicités politiques. Cet été, Google a admis au Congrès que les développeurs d'applications et d'autres ont accès au Gmail des utilisateurs. Les scientifiques des données ont découvert des failles de sécurité majeures dans AT&T, T Mobile, et les téléphones Sprint qui ont laissé les clients exposés. Et la semaine dernière, Facebook a révélé sa plus grande brèche, avec 50 millions d'utilisateurs concernés. Il a déclaré que les numéros de téléphone fournis à Facebook par les utilisateurs pour la sécurité de l'authentification à deux facteurs avaient été partagés avec les annonceurs.

Avec autant de violations et si peu de répercussions, les cadres supérieurs de Google, Pomme, Amazone, et Twitter, entre autres entreprises, ont été convoqués devant la commission sénatoriale du commerce, Science, et Transport la semaine dernière pour expliquer pourquoi les violations de la confidentialité des données se poursuivent, et de discuter de certains remèdes. Le sénateur John Thune (R., DAKOTA DU SUD.), le président du comité, a déclaré qu'il ne s'agissait plus de savoir s'il fallait une loi fédérale pour protéger la confidentialité des données des consommateurs, mais "quelle forme la loi devrait-elle prendre". Une autre audience est prévue plus tard ce mois-ci.

Urs Gasser, LL.M. '03, est directeur exécutif du Berkman Klein Center for Internet &Society à l'Université Harvard et professeur de pratique à la Harvard Law School. Ses recherches et son enseignement portent sur le droit et la politique de l'information, et il écrit fréquemment sur la vie privée, protection des données, et la régulation du numérique. Gasser a discuté de l'état de la confidentialité des données avec la Gazette par courrier électronique et a suggéré ce qui pourrait être fait pour protéger les utilisateurs contre les entreprises qui profitent des données des personnes.

Questions et réponses

GAZETTE :En tant que personne qui étudie la confidentialité des données depuis longtemps, êtes-vous surpris par cette chaîne d'échecs ?

GASSER :Ce qui est peut-être le plus surprenant, c'est la fréquence à laquelle de tels incidents liés à la vie privée deviennent maintenant publics, ainsi que leur prévalence et leur ampleur. En termes de causes sous-jacentes et d'efficacité des réponses, il est important d'analyser chaque incident séparément. Une violation de données causée par des pirates externes n'est pas le même problème et ne nécessite pas les mêmes contre-mesures que les menaces à la vie privée résultant d'accords de partage de données entre une plateforme en ligne et des annonceurs qui sont au cœur du modèle commercial. Cela étant dit, les effets en termes de confidentialité des utilisateurs pourraient être assez similaires. Il convient également de noter que le RGPD [Règlement général sur la protection des données de l'Union européenne] traite un large éventail de violations de la confidentialité des données, et il sera intéressant de voir si la violation de Facebook en particulier déclenchera une action d'application du RGPD.

GAZETTE :Bon nombre des plus grandes entreprises technologiques continuent d'autoriser ou d'empêcher que les données de leurs clients ne tombent entre les mains des annonceurs, développeurs d'applications, et d'autres tiers. Malgré les promesses fréquentes de meilleures protections de la vie privée, peu a changé. Pourquoi ces entreprises ne prennent-elles pas cela plus au sérieux ?

GASSER :Pour être juste, les entreprises ont fait des efforts importants pour mieux protéger les données des utilisateurs grâce à un large éventail de mesures, y compris les tableaux de bord de confidentialité, fonctions de confidentialité et de sécurité améliorées, tels que le cryptage de bout en bout, mises à jour de leurs politiques de confidentialité, et plus. Mais il y a en effet un problème structurel plus profond au cœur des batailles de la vie privée de notre époque qui fait que les efforts actuels se sentent insuffisants. La plupart des modèles commerciaux technologiques d'aujourd'hui sont basés sur une publicité ciblée, qui repose sur la collecte, partage, et l'analyse de vastes quantités de données utilisateur. Tout simplement, donner vraiment la priorité à la confidentialité des utilisateurs signifierait également compromettre un modèle commercial sous-jacent qui a été très fructueux en termes économiques et a produit certaines des entreprises les plus riches du monde.

GAZETTE :Les législateurs ont appelé les entreprises technologiques à mieux sécuriser les informations de leurs utilisateurs et ont laissé entendre qu'elles pourraient commencer à réglementer strictement la façon dont les données sont traitées si les entreprises ne renforcent pas la sécurité des données. Le Congrès fera-t-il quoi que ce soit bientôt pour obliger ces entreprises à rendre des comptes, et, si non, que faudrait-il pour que le gouvernement fédéral prenne des mesures concrètes?

GASSER :Dans le climat politique actuel, Je doute que quoi que ce soit de dramatique, disons, comme le RGPD—sera bientôt au niveau fédéral. Mais nous voyons beaucoup d'activité de confidentialité des consommateurs au niveau de l'État. Considérez la récente promulgation de la California Consumer Privacy Act, qui est susceptible d'être très influente compte tenu de son champ d'application, ou la législation du Vermont sur les courtiers en données. Combiné avec le programme de protection des consommateurs amélioré par de nombreux A.G. d'État, c'est là que se déroule l'action jusqu'à ce que le Congrès propose quelque chose de significatif. Et, bien sûr, il y a aussi la pression accrue des autorités législatives et de protection des données européennes, sur la base des nouvelles protections et instruments énoncés par le RGPD. Certains prétendent qu'un « marché de la protection de la vie privée » est en train d'émerger qui offrira des incitations, en particulier aux startups de la confidentialité, pour être plus respectueux de la vie privée.

GAZETTE :Est-il temps de déclarer l'ère de la politique de confidentialité volontaire comme un échec et de commencer à traiter ces entreprises comme des services publics ?

GASSER :Je suis d'accord pour dire que le modèle d'autoréglementation n'a pas réussi à fournir des niveaux adéquats de protection de la vie privée des consommateurs dans l'environnement technologique d'aujourd'hui. Où aller d'ici est plus difficile à dire, bien que. De nombreux défenseurs de la vie privée désignent le RGPD comme une nouvelle norme d'or. je suis plus sceptique, une telle approche étant profondément ancrée dans les valeurs européennes, culture, et l'économie politique et ne peuvent pas être transplantés d'une manière "couper-coller". Il comporte également de sérieux inconvénients, en termes de coûts de mise en conformité, par exemple. Je pense qu'il est temps de repenser plus fondamentalement la confidentialité des données. Vous pouvez trouver certaines de mes réflexions ici. Introduire des obligations fiduciaires pour les entreprises technologiques est une autre nouvelle façon intéressante de réfléchir à certains des problèmes structurels mentionnés précédemment.

GAZETTE :Qui est à blâmer pour où nous en sommes maintenant ? Les utilisateurs sont-ils en partie responsables de ne pas faire plus d'histoires sur les violations de la vie privée ? La plupart des gens comprennent-ils à quel point leurs informations sont entre les mains d'autres, et comment il est utilisé?

GASSER :Je suis d'accord pour dire qu'il est trop simple de blâmer les entreprises technologiques pour le statu quo. Je pense que nous devons considérer la crise de la vie privée comme un problème au niveau de l'écosystème, avec de nombreuses forces en jeu - technologiques, marché, comportemental, et juridique - et de nombreux acteurs impliqués, y compris les utilisateurs qui prennent souvent des décisions en matière de confidentialité sur la base d'informations incomplètes et avec des biais cognitifs en jeu. C'est pourquoi je plaide dans mon propre travail en faveur d'une approche plus holistique de l'avenir de la vie privée, qui combine de solides protections juridiques avec une alphabétisation numérique et des efforts éducatifs, technologies de nouvelle génération améliorant la confidentialité, et des incitations économiques pour des services plus respectueux de la vie privée, entre autres éléments de la stratégie, au lieu de miser uniquement sur des lois similaires au RGPD. Une telle approche comprendrait également une éducation et une autonomisation plus intelligentes des utilisateurs.

GAZETTE :Les utilisateurs ne peuvent pas désactiver l'utilisation de Google, et ne décidera pas de ne pas avoir de téléphone portable, alors que peuvent faire les gens pour se protéger ?

GASSER :Il existe un certain nombre de vérifications de la confidentialité en ligne et une série d'outils d'auto-assistance en matière de confidentialité, y compris les navigateurs de confidentialité ou les VPN [réseaux privés virtuels], pour n'en citer que deux. Certains d'entre eux sont fournis par les entreprises technologiques elles-mêmes, et certains sont proposés par des organisations de consommateurs telles que l'EPIC ou l'EFF. Je recommanderais vivement aux gens d'utiliser ces offres, même s'ils ne sont que tactiques dans le sens où ils ne peuvent naturellement pas s'attaquer à la cause structurelle du problème.

Cette histoire est publiée avec l'aimable autorisation de la Harvard Gazette, Journal officiel de l'université Harvard. Pour des nouvelles universitaires supplémentaires, visitez Harvard.edu.