En tant que promoteur de la législation fédérale de base sur la protection des renseignements personnels, je suis encouragé par le fait que les propositions qui auraient été des pilules empoisonnées il n’y a pas longtemps, telles que les droits individuels de voir, de corriger et de supprimer des données ainsi que la nouvelle autorité de la Federal Trade Commission, suscitent un large soutien. maintenant. Mais certaines questions cruciales et difficiles restent ouvertes.
Dans un récent article de Brookings examinant les premiers projets de loi sur la protection de la vie privée qui incluent certaines des propositions, j’ai observé que la réflexion sur la manière de traiter les normes de comportement dans la législation américaine – comment les données sont collectées, utilisées et partagées – est moins évoluée que pour l’individu. droits en discussion. ” Pourtant, les normes de collecte, d’utilisation et de partage des informations personnelles sont au cœur du débat à venir. Ces normes détermineront dans quelle mesure la législation réussit à déplacer l’attention du choix du consommateur vers le comportement des entreprises et permet ainsi aux individus d’avoir confiance que les informations personnelles seront protégées quels que soient les avis qu’ils parviennent à lire, les fenêtres contextuelles sur lesquelles ils cliquent ou les paramètres de confidentialité qu’ils régler.
La collecte est la cheville ouvrière, car elle définit et peut éviter les risques et obligations liés à l’utilisation et au stockage des données. Cet article propose un langage pour une norme sur la collection. Ce langage est enraciné dans des principes reconnus sur la collecte d’informations personnelles, mais ajoute quelques repères généraux pour éclairer l’application des principes dans les contextes infiniment variables du monde actuel axé sur les données. Dans le même temps, il cherche à permettre une flexibilité pour des utilisations innovantes des données.
Les principes de l’OCDE en matière de pratiques équitables en matière d’information, qui sous-tendent de nombreuses lois et cadres de protection de la vie privée aux États-Unis, en Europe et ailleurs, énoncent un principe de limitation de la collecte. » Ce principe soutient qu’il devrait y avoir des limites à la collecte de données à caractère personnel « mais, à part le fait de dire que ces données devraient être obtenues par des moyens légaux et équitables », ne définit pas ce que devraient être ces limites. Une certaine contrainte est impliquée dans le principe de spécification de la finalité »: l’affirmation selon laquelle les finalités pour lesquelles les données personnelles sont collectées doivent être spécifiées au plus tard au moment de la collecte des données» suggère que la collecte doit avoir un objectif définissable.
Lorsque les principes de l’OCDE ont été adoptés en 1980, la collecte était limitée par la technologie disponible. Les bases de données avaient spécifié des champs et des informations analogiques devaient être saisies afin de les numériser, et les limites de la puissance de calcul et du stockage des données restreignaient le choix des données à collecter et à traiter. Maintenant, ces limites ont été effacées. Au lieu d’imposer des contraintes à la collecte, la technologie permet une collecte pratiquement illimitée.
La déclaration de l’OCDE selon laquelle il devrait y avoir des limites à la collecte de données personnelles »semble aller de soi. Il ne devrait pas être permis de collecter tout ce qui est disponible. Certains échecs notoires de la vie privée ont été causés par des personnes qui collectent des informations simplement parce qu’elles le pouvaient: des cartographes Google Street View collectant des flux de contenu à partir de points d’accès Wi-Fi non protégés le long de leur chemin, l’application smartphone Brightest Flashlight collectant des données de localisation, des employés d’Uber utilisant la vue God de l’entreprise »pour identifier les utilisateurs qui font honte le lendemain », et Cambridge Analytica tirant parti de l’accès à la recherche pour récupérer des données sur des millions d’utilisateurs de Facebook.
D’où la nécessité de quelques contours au principe général. En outre, toute limite de collecte doit être indépendante de la spécification de l’objectif. Ce principe s’est confondu avec l’avis et, à son tour, avec le choix et le consentement du consommateur. En conséquence, les politiques de confidentialité ont tendance à spécifier toutes les formes de données qu’une entreprise pourrait souhaiter collecter et des catalogues étendus de ses utilisations, car cela offre une protection juridique. Cependant, la spécification de finalité contenue dans ces avis ne définit pas de manière réfléchie les données dont l’entité a réellement besoin. Les limites de collecte doivent être indépendantes de toutes les formes de notification fournies aux individus, et non auto-définies.
Le Règlement général sur la protection des données (RGPD) de l’Union européenne traite de cette question en prévoyant que le traitement des informations personnelles n’est licite »que s’il s’inscrit dans les motifs énumérés. Il s’agit principalement du consentement, de l’exécution d’un contrat, des obligations légales et de l’intérêt légitime »de l’entité responsable du traitement. Tous ces motifs sont soigneusement circonscrits, l’intérêt légitime étant contrebalancé par les intérêts et les droits de la personne concernée », la personne à laquelle les données se rapportent.
Bien que la législation américaine sur la confidentialité devrait englober les motifs énumérés du RGPD, elle ne devrait pas suivre l’approche de l’UE en prescrivant les motifs exclusifs de collecte. Cette approche est ancrée dans un système de droit civil qui vise généralement à régir à l’avance les nouveaux développements en établissant des règles systématiques et complètes. Cela diffère de la façon dont nous pensons en vertu de la common law anglo-américaine.
Une loi américaine sur la vie privée devrait adopter une approche plus cohérente avec le système itératif post hoc de la common law. Comme je l’ai rappelé au personnel du Département du commerce lors de la rédaction d’une législation basée sur la Charte des droits des consommateurs de 2012 de l’administration Obama, la plupart des lois en matière de responsabilité délictuelle et bien d’autres lois reposent sur des jugements sur ce qui est raisonnable dans les circonstances, l’ensemble du droit américain de la concurrence est fondé sur deux phrases des articles 1 et 2 de la loi Sherman, et la plupart des lois constitutionnelles sur des clauses particulières. Je pense que ce n’est pas tout à fait une coïncidence si cette approche itérative est également la façon dont la technologie logicielle d’aujourd’hui fonctionne au fur et à mesure qu’elle se développe au fil des versions, des mises à jour et des correctifs. Une norme large peut permettre une flexibilité pour les utilisations et l’exploration de données imprévues sans permettre la collecte illimitée.
Le libellé qui suit est rédigé en tenant compte de ces considérations:
La collecte et le traitement de termes définis 1 de données à caractère personnel doivent avoir une base raisonnable et articulée qui prend en compte les besoins commerciaux raisonnables de l’entité / du responsable du traitement couvert / etc. 2 engagés dans la collecte contrebalancé par l’intrusion dans la vie privée et les intérêts des personnes auxquelles les données se rapportent. 3
Ce langage n’est délibérément pas détaillé, mais il est lié à divers domaines du droit et réfléchi à la vie privée et à d’autres domaines. Il contient quatre éléments qui lient la collecte de données: (1) une base articulée raisonnable, (2) les besoins commerciaux raisonnables du collecteur, (3) l’impact sur la vie privée et (4) l’impact sur les autres intérêts des individus.
L’effet pratique de ces éléments est illustré par les manquements à la confidentialité mentionnés ci-dessus. La collection Street View était simplement un cas d’ingénieurs sur le terrain se produisant sur des flux de données à partir de points d’accès Wi-Fi non cryptés et les récupérant simplement parce qu’ils étaient disponibles et pourraient être intéressants un jour. En d’autres termes, cela a été fait sans but précis en tête – sans fondement raisonnable et articulé. L’application Brightest Flashlight a collecté et partagé des données de localisation en continu, même si l’emplacement n’est pas pertinent pour le fonctionnement d’une lampe de poche. En bref, l’emplacement n’était pas nécessaire sur le plan commercial (cela signifie que la collecte de données uniquement dans le but de les exploiter unilatéralement n’est pas un objectif commercial raisonnable). Et bien que l’abus d’Uber de sa vision de Dieu »échoue sur tous les éléments – c’était stupide et pas à des fins commerciales – il est surtout connu pour son intrusion dans le comportement privé d’une manière malveillante à laquelle les utilisateurs ne pouvaient pas s’attendre. Cambridge Analytica est une question plus complexe à laquelle je reviendrai après avoir discuté des antécédents de la norme proposée.
La norme proposée est une expression du principe de limitation de la collecte tel que reformulé dans la Charte des droits de la vie privée des consommateurs de la Maison Blanche en tant que collecte ciblée », articulé comme un droit à des limites raisonnables sur les données personnelles que les entreprises collectent et conservent». La norme définit les contours de ces limites raisonnables et, en invoquant la vie privée et les autres intérêts des personnes concernées, ajoute du sens à ce que l’OCDE-OCDE a appelé des moyens équitables. » L’élément de base raisonnable et articulé ressemble à l’explication du principe de collecte ciblée de 2012, selon laquelle les entreprises devraient prendre des décisions réfléchies sur les types de données qu’elles doivent collecter pour atteindre des objectifs spécifiques. » Le principe de la collecte ciblée ne fait pas de la minimisation des données un absolu, mais invite les entreprises à porter un jugement réfléchi sur les données dont elles ont réellement besoin et pourquoi elles en ont besoin. Pour le dire en termes de tendance – et contrairement aux exemples de collecte aveugle ci-dessus – la base raisonnable et articulée appelle à la pleine conscience de la collecte.
Cet élément renvoie également aux origines du principe de spécification de réutilisation. En exigeant des choix réfléchis sur les données à collecter, il fournit un contrôle de responsabilité qui n’a pas besoin d’être connecté à ce qui est décrit dans les politiques de confidentialité ou autres avis au public. L’accent est mis sur la décision de collecte elle-même, et non sur la divulgation.
La proposition utilise le mot «raisonnable» à deux reprises. Il s’agit d’un terme élastique, mais, comme mentionné ci-dessus, il existe de vastes ensembles de lois qui impliquent des jugements de caractère raisonnable – l’attention raisonnable, la personne raisonnable et la crainte raisonnable de préjudice sont des exemples courants – et les avocats et les juges sont formés pour porter ces jugements. La confidentialité n’est pas un champ vert à cet égard. William Prosser a depuis longtemps distillé 70 ans de droit en appliquant le célèbre article de révision de la loi Warren et Brandeis sur le droit à la vie privée dans le retraitement (deuxième) des délits, qui définissait les intrusions dans l’isolement et la vie privée en termes de ce qui serait hautement offensant … la personne raisonnable. » À bien des égards, ce que Daniel Solove et Woodrow Hartzog ont qualifié de «common law» de la FTC en matière de confidentialité »a défini les pratiques déloyales et trompeuses en termes de pratiques raisonnables et de normes de l’industrie; dans la décision très médiatisée de Wyndham Hotels, la Third Circuit Court of Appeals a jugé que le pouvoir de la FTC de réglementer les pratiques déloyales de cybersécurité englobe les cas où […] le non-recours d’une entreprise à des mesures de sécurité raisonnables »cause un préjudice aux consommateurs. La Securities and Exchange Commission a suivi une voie similaire dans sa surveillance de la cybersécurité
Il existe un nombre croissant de normes et de pratiques professionnelles pour éclairer ces jugements. L’American Bar Association a reconnu une nouvelle spécialité juridique en droit de la vie privée, et l’Association internationale des professionnels de la vie privée compte désormais plus de 40 000 membres dans le monde. De nombreuses autres organisations ont publié des manuels et des normes d’audit sur les pratiques de confidentialité et de sécurité. Mais quelle que soit la spécificité d’une loi sur la vie privée, l’incertitude sera inhérente. Le RGPD est plus détaillé que de nombreuses personnes ne le préconiseraient aux États-Unis, mais il a nécessité de nombreuses explications de la part du Conseil européen de la protection des données, l’organisme collectif des régulateurs européens de la protection des données.
Le langage spécifique, base raisonnable et articulée »est adapté de la loi existante protégeant les intérêts de la vie privée. La USA FREEDOM Act a été adoptée en 2015 pour limiter la collecte fédérale en vrac de métadonnées téléphoniques aux États-Unis.Elle exige que le gouvernement demande au Foreign Intelligence Surveillance Court un mandat pour analyser les métadonnées; la demande de mandat doit inclure un terme de sélection spécifique et des faits montrant que le terme est pertinent pour une enquête et un soupçon raisonnable et articulable « que le terme est associé à une puissance étrangère engagée dans le terrorisme international (qui fournit la base légale pour la surveillance du gouvernement).
Cette norme codifie ce que la National Security Agency (NSA) a utilisé comme norme pour la base sur laquelle un analyste serait autorisé à interroger les métadonnées que l’agence collectait en vrac auprès des opérateurs téléphoniques américains en vertu de l’article 215 de la USA PATRIOT Act, que le USA FREEDOM Act remplacé. La norme de la NSA était basée sur la formulation distillée de la décision de la Cour suprême de 1968 dans Terry c. Ohio, dans laquelle la cour a jugé qu’un arrêt et une fouille étaient raisonnables en vertu du quatrième amendement où le policier était réputé avoir des soupçons raisonnables sur la base de l’observation et de l’expérience que les suspects étaient armés et dangereux.
Le langage de base raisonnable et articulé a donc un lien avec la façon dont nous avons protégé nos conceptions de la vie privée en tant que droit constitutionnel. Les lois sur l’accès du gouvernement se concentrent sur les raisons d’obtenir des informations et leur utilisation en relation avec ces raisons. Pourquoi ne pas faire de même pour l’accès à l’information par d’autres institutions, d’autant plus que le temps s’est écoulé depuis que nous avons eu beaucoup de choix sur cet accès? Le langage USA FREEDOM a également la valeur tactique d’avoir déjà passé le Congrès – et dans la mémoire récente de cela.
L’utilisation d’intérêts commerciaux raisonnables «ressemble aux motifs d’intérêt légitime» du RGPD, l’une des dispositions les plus subtiles de ce règlement. Comme l’intérêt légitime, il valide à la fois les intérêts commerciaux en tant que motif de collecte mais (surtout en conjonction avec le langage de base raisonnable et articulé) juge ces intérêts selon une norme objective et requiert également un test d’équilibre. À son tour, cet équilibre par rapport aux intérêts individuels vise à promouvoir la gestion des données que de nombreuses entreprises professent et les oblige à protéger les intérêts des sujets individuels de données. ThisThis devient au devoir de loyauté « dans le Data Care Act proposé par le sénateur démocrate Brian Schatz d’Hawaï, l’un des groupes de travail » des dirigeants du comité sénatorial du commerce qui rédige la législation, et la règle d’or « J’ai proposé en juillet dernier que les entreprises devraient mettre les intérêts des personnes dont les données sont en avance sur les leurs. »
L’examen de l’intrusion dans la vie privée à des fins de cet équilibre apporte également une évaluation du risque de confidentialité, quelque chose qui est fondamental pour la gestion des données. L’analyse de la confidentialité ou de la sécurité des informations commence par examiner quelles données sont collectées et comment elles circulent, puis évaluer les risques associés à ces données, leurs utilisations et leurs mouvements. Les évaluations des risques pour la vie privée sont requises dans le RGPD, une idée made in America développée et déployée dans les agences du gouvernement fédéral. L’un des aspects les plus efficaces du bilan débattu à l’Assemblée législative de l’État de Washington est une section exigeant des évaluations des risques pour la vie privée, y compris si les risques potentiels pour les droits du consommateur l’emportent sur les intérêts du responsable du traitement, du consommateur, des autres parties prenantes et du public. le traitement des données personnelles du consommateur. » Cela revient à la même chose d’une manière moins détaillée.
La langue ne répond pas à toutes les questions qui peuvent se poser concernant la collecte d’informations personnelles. Ni les limites de collecte ni aucune autre disposition unique ne peuvent avoir tout le poids de la conduite des affaires sur le traitement des données personnelles.
Une loi réussie sur la vie privée devra fonctionner de manière holistique, et l’interprétation des règles d’utilisation devra fonctionner de manière holistique pour façonner les limites d’une norme de collecte. Par exemple, il peut prendre des dispositions ou des règles qui excluent certains champs de données sensibles ou le ciblage pour établir des limites pour la publicité comportementale. Mais, même si la publicité comportementale en général est considérée comme un objectif commercial raisonnable, ce langage de collecte pourrait être interprété comme interdisant au traitement des données d’achat par Target de livrer des publicités pour des produits de maternité à une adolescente secrètement enceinte comme une intrusion excessive dans sa vie privée et ses intérêts.
Cette norme pourrait également atteindre la récolte de Cambridge Analytica »des données provenant des contacts de ses sujets de recherche rémunérés d’origine., Mais je reconnais que ce n’est pas clair. Comme Danny Weitzner l’a souligné dans Lawfare l’année dernière, cette affaire concerne vraiment l’utilisation secondaire des données à des fins en dehors du contexte des consentements et des attentes d’origine des sujets de recherche.
Une norme particulière ne devrait pas non plus tenter de répondre à chaque question. Le volume, la vitesse et la variété accrus des données signifient aujourd’hui un volume, une vitesse et une variété accrus de défis dans la gestion responsable des données. Il existe des compromis entre la certitude et la créativité, entre la précision et la flexibilité; les enjeux sont trop divers pour qu’une seule taille convienne à tous. Ainsi, une législation réussie en matière de protection de la vie privée devrait éviter une liste de contrôle pour la conformité et être flexible, adaptable et axée sur les résultats. C’est ce que la norme ci-dessus vise à faire en contrôlant la collecte irréfléchie et en mettant l’accent sur l’impact sur la vie privée et les individus qui peuvent être liés aux données collectées.