Le Wall Street Journal a rapporté hier que l’Association of National Advertisers (ANA) – une association professionnelle de l’industrie – pousse la Federal Trade Commission (FTC) à adopter une nouvelle loi fédérale pour réglementer la manière dont les annonceurs et autres collectent et utilisent les données des consommateurs.
À peine.
Au lieu de cela, l’effort de l’ANA est une tentative finale de contourner les efforts au niveau de l’État pour réglementer les données à grande échelle – un domaine où le gouvernement fédéral a jusqu’à présent choisi de ne pas marcher. Dans un blog de l’ANA qui annonce son nouveau paradigme de confidentialité « – le paradigme étant l’un de ces mots qui me fait toujours vérifier que personne n’a glissé mon portefeuille – l’organisation souligne que la législation qu’elle envisage devrait être préemptive des lois des États. »
Pour rappel: au niveau fédéral, les États-Unis accusent un retard dans leurs politiques de protection des données, en particulier par rapport au nouveau Règlement général sur la protection des données (RGPD) de l’UE – bien que la Californie ait récemment promulgué la California Consumer Privacy Act (CCPA), qui est devrait entrer en vigueur en 2020.
Selon le WSJ, l’ANA soutient que la réglementation au niveau de l’État crée des problèmes de conformité coûteux et une confusion pour les consommateurs »:
Le plus gros problème est que ces lois ne sont pas identiques », a déclaré Dan Jaffe, vice-président exécutif du groupe pour les relations gouvernementales à l’ANA, se référant aux propositions réglementaires CCPA et de confidentialité des données dans les États au-delà de la Californie. Cela crée un nombre très important de problèmes pour les annonceurs pour collecter efficacement les données dont ils ont besoin et atteindre les consommateurs. »
L’ANA préfère une norme nationale unique appliquée par la FTC qui détermine quand une collecte de données ou une pratique d’utilisation est raisonnable en vertu de la loi.
Ou, comme indiqué dans le blog de l’ANA:
Notre économie axée sur les données, qui offre une valeur considérable aux entreprises et aux consommateurs, est menacée de manière injustifiée par les lois internationales et étatiques qui, bien que bien intentionnées, prolifèrent et fragmentent la structure réglementaire. Nos commentaires décrivent les graves défauts du RGPD de l’UE et du nouveau CCPA. Les deux ont des implications potentiellement très dommageables pour les entreprises et les consommateurs américains. Les impacts combinés du RGPD et de la CCPA sapent le marché concurrentiel et sont particulièrement préjudiciables aux nouveaux venus sur le marché et aux petites entités.
Cette approche trop restrictive menace la libre circulation des informations qui est essentielle pour fournir les produits et services que les consommateurs apprécient et attendent. Malheureusement, de nombreux autres États envisagent des lois supplémentaires et potentiellement incohérentes en matière de confidentialité et de sécurité des données. Nous avons expressément invité la FTC à procéder à un examen détaillé des effets du RGPD et de la CCPA sur la concurrence et les consommateurs.
Il ne fait aucun doute qu’un énorme facteur de motivation non mentionné, en ce qui concerne les fournisseurs de données, les utilisateurs et les courtiers, est que les gouvernements de certains États – y compris la Californie – n’ont pas été capturés dans la même mesure que l’appareil de réglementation fédéral. Ainsi, à l’occasion, les États peuvent soit promulguer des protections significatives pour les consommateurs, et dans certains cas, les juristes d’État tentent effectivement de les faire respecter.
Je suis bien sûr bien conscient qu’un certain nombre de tribunes se produisent au niveau de l’État, mais néanmoins, la situation n’est pas aussi désastreuse que l’état actuel du gouvernement fédéral – où la détérioration, je dois le souligner, dans les politiques publiques, reflétant même à distance l’opinion populaire et les besoins de la majorité se sont produits bien avant l’inauguration de Trump.
Bien que les démocrates aient repris la Chambre, la faible majorité républicaine au Sénat veillera à ce que les initiatives de protection des consommateurs continuent d’être contrecarrées – et si elles devaient en quelque sorte prévaloir, Trump opposerait probablement son veto à une telle législation.
Ainsi, en proposant un nouveau paradigme de confidentialité, l’ANA comprend qu’il y a peu de risque réel que la FTC propose une norme nationale qui soit reflète ou étend le RGPD ou la CCPA. Au lieu de cela, l’article de blog reconnaît:
Le Congrès s’intéresse de plus en plus à l’élaboration d’une vaste législation fédérale sur la confidentialité et la sécurité des données, et nous nous attendons à une activité considérable dans ce domaine l’année prochaine. Nous avons rencontré des décideurs clés pour décrire le nouveau paradigme »et les exhortons à considérer cette approche comme une meilleure alternative aux restrictions radicales du RGPD et du CCPA.
La FTC prendra en compte la confidentialité des consommateurs
La FTC a prévu une audition sur la vie privée des consommateurs en février. Dans des commentaires formels répondant à une demande de la FTC, l’ANA demande à la FTC de définir précisément les pratiques de données raisonnables et déraisonnables.
Le site Web de l’ANA est une source d’informations. Je suis toujours étonné quand je regarde ces sites à quel point les associations professionnelles de l’industrie de l’information sont prêtes à divulguer – bien que je ne sois certainement pas assez naïf pour penser que cette divulgation est nécessairement complète ou exacte.
Cliquez, par exemple, sur le lien Initiatives de l’industrie, et l’on tire une liste d’une douzaine d’initiatives défendant des causes pour rendre l’industrie plus forte et mieux informée. » Ou regardez plutôt le lien des initiatives de politique publique, pour voir des exemples où l’équipe de Washington, D.C., fournit une défense législative et réglementaire rigoureuse des spécialistes du marketing aux niveaux national et étatique. »
Je suppose qu’une des raisons pour lesquelles certaines informations sont divulguées est que le lecteur visé n’est pas moi – ni, malheureusement, les autres membres concernés du public – mais plutôt les membres de l’industrie de l’ANA.
Quel cadre l’ANA aimerait-elle voir?
L’ANA distingue deux types d’utilisations des données, déraisonnables, telles que les données qui seraient discriminatoires en fonction de l’emploi, de l’admissibilité au crédit, des soins de santé et d’autres facteurs similaires. Un autre exemple de cette catégorie déraisonnable serait la tarification d’un produit ou d’un service basé sur la race, la religion ou l’orientation sexuelle.
D’accord, c’est un point de départ. Vous n’obtiendrez aucun argument de ma part selon lequel l’utilisation de données pour discriminer ou fixer des prix sur une base discriminatoire devrait être interdite.
Mais, le groupe est favorable à une approche libre des pratiques raisonnables, ce que Jaffe a expliqué au WSJ pourrait inclure la collecte et l’utilisation de nombreux types de données de vente, mais pas de données sensibles qui sont protégées par les lois existantes, telles que celles protégeant les enfants et les renseignements personnels sur la santé Jerri-Lynn ici: c’est moi qui souligne.
Pour traduire cela en anglais simple, je lis cela comme codifiant essentiellement le statu quo, où les attitudes et les pratiques du Far West permettent le partage, le courtage et la manipulation de toutes sortes d’informations que nous partageons volontairement mais souvent sans le savoir sur nous-mêmes, lorsque nous faisons achats en ligne, accéder à un site Web, utiliser les médias sociaux, visiter certains endroits ou suivre certains itinéraires.
Qualifiant ces pratiques de raisonnables », je dirais que ma lecture en anglais simple de ce que je pense que ce mot signifie.
Quelle est la menace pesant sur le partage libre des données que la California Consumer Privacy Act – et les autres cadres d’État potentiels – représentent?
La Californie a adopté une loi phare sur la protection des données au cours de l’été dernier. Selon un compte WSJ de juin:
Les législateurs californiens ont offert aux consommateurs des protections sans précédent pour leurs données et ont imposé des restrictions sévères à l’industrie de la technologie, créant potentiellement un modèle de confidentialité pour le reste du pays.
La loi, qui a été précipitée à l’Assemblée cette semaine et signée par le gouverneur Jerry Brown jeudi, élargit la définition de ce qui constitue des informations personnelles et donne aux consommateurs californiens le droit d’interdire la vente de données personnelles à des tiers et de refuser le partage. tout à fait. Le projet de loi s’applique aux géants d’Internet tels que Facebook Inc. et Google d’Alphabet Inc., mais affectera également les entreprises de toute taille qui collectent des données sur leurs clients.
Ashkan Soltani, chercheur numérique et ancien technologue en chef de la Federal Trade Commission, a déclaré que la réglementation était la première du genre aux États-Unis.
Bien que la loi ne s’applique qu’aux consommateurs californiens, les entreprises technologiques modifieront probablement leurs politiques pour se conformer à la nouvelle loi compte tenu de la complexité de la suppression des normes contradictoires. Cela pourrait également inciter le Congrès à envisager une législation fédérale, après plusieurs audiences au cours desquelles les législateurs ont paralysé les dirigeants de l’industrie pour savoir s’ils prenaient suffisamment au sérieux la confidentialité des données.
Étant donné que le projet de loi n’entrera en vigueur qu’en 2020, les groupes technologiques et toutes sortes d’entreprises et d’autres intérêts ont de nombreuses possibilités de faire pression pour obtenir le cadre détaillé et final reflétant leurs préférences.
Jerri-Lynn ici. Le but de ce court article n’est pas d’analyser les détails du cadre californien en attente. Pourtant, je tiens à souligner que la Californie établit les limites de la création de cadres réglementaires d’État qui vont bien au-delà de tout ce que Washington envisagera probablement de mettre en œuvre au niveau national – en particulier compte tenu de la distribution actuelle des personnages en charge à DC et de leur réactivité au lobbying. intérêts.
Et je rappellerai plutôt aux lecteurs que par le passé, l’adoption par la Californie de normes d’émissions strictes a de facto conduit à leur mise en œuvre à l’échelle nationale, car les constructeurs automobiles n’étaient pas disposés à créer deux gammes de produits: une à vendre en Californie et une à vendre ailleurs. (Je laisse aux lecteurs le soin de peser sur la façon dont l’univers de la confidentialité des données est distinct, dans lequel il pourrait être possible pour les entreprises de se conformer aux normes californiennes pour leurs clients basés en Californie uniquement, tout en suivant des normes plus souples pour les résidents de États qui n’adoptent pas de restrictions similaires.)
D’autres États ont également commencé à étendre les dispositions sur la protection des données, selon un article d’octobre Fortune:
La réglementation américaine sur la confidentialité des données est sur le point de devenir très confuse. Depuis l’entrée en vigueur du RGPD, seuls certains États ont élargi leurs réglementations en matière de protection des données pour inclure des exigences de notification des violations. Et les lois des États régissant les violations de données varient considérablement: le Texas impose des amendes civiles pouvant atteindre 50 000 $ par violation, tandis que la Géorgie n’impose aucune sanction.
Il est probable que d’autres États adopteront bientôt leur propre législation sur la confidentialité des données. Un peu plus de la moitié du public (51%) pense que les entreprises technologiques devraient être réglementées plus qu’elles ne le sont actuellement, selon un rapport de juin 2018 du Pew Research Center. Alors que les atteintes à la sécurité et les problèmes de confidentialité continuent de faire la une des journaux, la sensibilisation du public et la demande de pratiques de protection des données plus solides devraient augmenter.