Pratique d’information équitable de la FTC

Les principes de pratiques équitables en matière d’information (FIPP) de la Federal Trade Commission des États-Unis sont des lignes directrices qui représentent des concepts largement acceptés concernant les pratiques équitables en matière d’information sur un marché électronique. [1]

Introduction

Les principes de pratiques équitables en matière d’information de la FTC sont le résultat de l’enquête de la Commission sur la manière dont les entités en ligne collectent et utilisent les informations personnelles et les garanties pour garantir que la pratique est équitable et offre une protection adéquate de la confidentialité des informations . [2] La FTC étudie les problèmes de confidentialité en ligne depuis 1995 et, dans son rapport de 1998, [3] la Commission a décrit les principes de notification, de choix, d’accès et de sécurité largement acceptés en matière de pratiques équitables en matière d’information . [1] La Commission a également identifié l’application , l’utilisation d’un mécanisme fiable pour prévoir des sanctions en cas de non-conformité, comme un élément essentiel de tout programme gouvernemental ou d’autorégulation visant à protéger la confidentialité en ligne.[1] [4]

Histoire et développement

La pratique de l’information équitable a été initialement proposée et nommée [5] par le comité consultatif du secrétaire américain sur les systèmes automatisés de données personnelles dans un rapport de 1973, Records, Computers and the Rights of Citizens , [6] publié en réponse à l’utilisation croissante des systèmes de données automatisés. contenant des informations sur les individus. La principale contribution du Comité consultatif a été l’élaboration d’un code de pratiques équitables en matière d’information pour les systèmes automatisés de données à caractère personnel. La Commission d’étude sur la protection de la vie privée peut également avoir contribué au développement des principes FIP dans son rapport de 1977, Personal Privacy in an Information Society . [7]

Alors que les lois sur la protection de la vie privée se répandaient dans d’autres pays d’Europe, les institutions internationales se sont penchées sur la protection de la vie privée en mettant l’accent sur les implications internationales de la réglementation sur la protection de la vie privée. En 1980, le Conseil de l’Europe a adopté une Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel . [8] Dans le même temps, l’ Organisation de coopération et de développement économiques (OCDE) a proposé des lignes directrices similaires sur la protection de la vie privée dans les Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontaliers de données personnelles. [9] Les lignes directrices de l’OCDE, la convention du Conseil de l’Europe et la directive de l’Union européenne sur la protection des données [10]se sont appuyés sur les FIP comme principes fondamentaux. Les trois organisations ont révisé et étendu la déclaration américaine originale des FIP, les lignes directrices de l’OCDE sur la protection de la vie privée étant la version la plus souvent citée les années suivantes. [11]

Des principes

Les principes fondamentaux de la vie privée abordés par ces principes sont :

1. Avis/Sensibilisation [12] Les consommateurs devraient être avisés des pratiques d’information d’une entité avant que des Renseignements personnels ne soient recueillis auprès d’eux. [12] Cela exige que les entreprises notifient explicitement tout ou partie des éléments suivants :

  • identification de l’entité collectant les données ;
  • identification des utilisations qui seront faites des données ;
  • identification des éventuels destinataires des données ;
  • la nature des données collectées et les moyens par lesquels elles sont collectées ;
  • si la fourniture des données demandées est volontaire ou obligatoire ;
  • les mesures prises par le collecteur de données pour assurer la confidentialité, l’intégrité et la qualité des données. [12]

2. Choix/Consentement [13]Le choix et le consentement au sens de la collecte d’informations en ligne signifient donner aux consommateurs des options pour contrôler la manière dont leurs données sont utilisées. Plus précisément, le choix concerne les utilisations secondaires des informations au-delà des besoins immédiats du collecteur d’informations pour mener à bien la transaction du consommateur. Les deux types typiques de modèles de choix sont « opt-in » ou « opt-out ». La méthode “opt-in” exige que les consommateurs autorisent expressément l’utilisation de leurs informations à d’autres fins. Si le consommateur ne prend pas ces mesures positives dans un système «opt-in», le collecteur d’informations suppose qu’il ne peut pas utiliser les informations à d’autres fins. La méthode « d’exclusion » exige des consommateurs qu’ils refusent affirmativement l’autorisation pour d’autres utilisations. Sans que le consommateur ne prenne ces mesures positives dans un “opt-out”peut utiliser les informations du consommateur à d’autres fins. Chacun de ces systèmes peut être conçu pour permettre à un consommateur individuel d’adapter l’utilisation des informations par le collecteur d’informations à ses préférences en cochant des cases pour accorder ou refuser l’autorisation à des fins spécifiques plutôt que d’utiliser une simple méthode “tout ou rien”. [13]

3. Accès/Participation [14] L’accès tel que défini dans les principes de pratiques équitables en matière d’information inclut non seulement la possibilité pour le consommateur de visualiser les données collectées, mais aussi de vérifier et de contester leur exactitude. Cet accès doit être peu coûteux et opportun pour être utile au consommateur. [14]

4. Intégrité/sécurité [15] Les collecteurs d’informations doivent s’assurer que les données qu’ils collectent sont exactes et sécurisées. Ils peuvent améliorer l’intégrité des données en les recoupant uniquement avec des bases de données réputées et en permettant au consommateur d’y accéder pour les vérifier. Les collecteurs d’informations peuvent sécuriser leurs données en les protégeant contre les menaces de sécurité internes et externes. Ils peuvent limiter l’accès au sein de leur entreprise aux seuls employés nécessaires pour se protéger contre les menaces internes, et ils peuvent utiliser le cryptage et d’autres systèmes de sécurité informatiques pour arrêter les menaces extérieures. [15]

5. Application/Recours [16] Afin de s’assurer que les entreprises respectent les principes de pratiques équitables en matière d’information, il doit y avoir des mesures d’application. La FTC a identifié trois types de mesures d’application : l’autoréglementation par les collecteurs d’informations ou un organisme de réglementation désigné ; les recours privés qui donnent des causes d’action civile aux personnes dont les informations ont été utilisées à mauvais escient pour poursuivre les contrevenants ; et l’application par le gouvernement qui peut inclure des sanctions civiles et pénales imposées par le gouvernement. [16]

Appliquer les principes

Actuellement, la version FTC des Fair Information Principles ne sont que des recommandations pour maintenir des pratiques de collecte de données respectueuses de la vie privée et axées sur le consommateur, et ne sont pas exécutoires par la loi. L’application et le respect de ces principes s’effectuent principalement par le biais de l’autoréglementation. La FTC a cependant entrepris des efforts pour évaluer les pratiques d’autorégulation de l’industrie, [17] fournit des conseils à l’industrie dans l’élaboration de pratiques d’information, [18] et utilise son autorité en vertu de la loi FTC pour faire respecter les promesses faites par les entreprises dans leurs politiques de confidentialité. [19]

Étant donné que les initiatives d’autoréglementation ne permettent pas une mise en œuvre idéale des principes (le rapport de la FTC de 2000 notait, par exemple, que les initiatives d’autoréglementation manquaient de politiques et de pratiques significatives de surveillance et d’application), la Commission recommande que le Congrès des États-Unis promulgue une législation qui, en conjonction avec la poursuite des programmes d’autorégulation, assurera une protection adéquate de la vie privée des consommateurs en ligne. [20]« La législation recommandée par la Commission établirait un niveau de base de protection de la vie privée pour les sites Web commerciaux axés sur le consommateur » et « établirait des normes de pratique de base pour la collecte d’informations en ligne… les sites Web commerciaux axés sur le consommateur qui recueillent des Renseignements personnels l’identification des informations provenant de ou sur les consommateurs en ligne… serait nécessaire pour se conformer aux quatre pratiques d’information équitables largement acceptées.” [11]

Les principes, cependant, forment la base de nombreuses lois individuelles aux niveaux fédéral et étatique – appelées «l’approche sectorielle». Les exemples sont la Fair Credit Reporting Act , la Right to Financial Privacy Act , la Electronic Communications Privacy Act , la Video Privacy Protection Act (VPPA) et la Cable Television Protection and Competition Act . [21] De plus, les principes continuent de servir de modèle pour la protection de la vie privée dans les nouveaux domaines en développement, comme la conception de programmes Smart Grid. [22]

Autres propositions concernant «l’information équitable»

L’ Organisation de coopération et de développement économiques (OCDE) et l’Union européenne , entre autres, ont adopté des approches plus globales en matière de pratiques équitables en matière d’information. Les principes de l’OCDE offrent des protections supplémentaires via le principe de participation individuelle où des exigences spécifiques sont imposées pour l’accès et la modification des informations personnelles collectées par l’individu et le principe de responsabilité (un responsable du traitement des données doit être responsable du respect des mesures qui donnent effet aux principes énoncés ci-dessus ). [23] [24]

La directive européenne sur la protection des données est un autre modèle de protection complète de la vie privée. [25] [26]

Critique des principes de la FTC

Les FIPP sont critiqués par certains chercheurs pour avoir une portée moins complète que les régimes de protection de la vie privée dans d’autres pays, en particulier dans l’Union européenne et d’autres pays de l’OCDE. De plus, la formulation des principes par la FTC a été critiquée par rapport à ceux émis par d’autres agences. La version 2000 des FIP de la FTC est plus courte et moins complète que les principes de protection de la vie privée publiés par le Privacy Office du Department of Homeland Security en 2008, qui comprennent huit principes étroitement alignés sur les principes de l’OCDE. [21]

Certains membres de la communauté de la protection de la vie privée reprochent aux FIPP d’être trop faibles, d’autoriser trop d’exemptions, de ne pas exiger une agence de protection de la vie privée, de ne pas tenir compte des faiblesses de l’autorégulation et de ne pas suivre le rythme des technologies de l’information. [27] De nombreux experts de la vie privée ont appelé à une législation omnibus sur la protection de la vie privée aux États-Unis [28] au lieu du mélange actuel d’autorégulation et de codification sélective dans certains secteurs. [29]

Les critiques d’un point de vue commercial préfèrent souvent limiter les FIP à des éléments réduits de notification, de consentement et de responsabilité. Ils se plaignent que d’autres éléments sont irréalisables, coûteux ou incompatibles avec les principes d’ouverture ou de liberté d’expression. [11]

Certains commentateurs soutiennent que les consommateurs n’ont pas leur mot à dire dans le processus de consentement. Par exemple, les clients fournissent leurs informations de santé telles que leur numéro d’assurance sociale ou leur numéro de carte d’assurance-maladie lorsqu’ils prennent rendez-vous en ligne pour un examen dentaire. Les clients sont généralement invités à signer un accord stipulant qu’un “tiers peut avoir accès aux informations que vous fournissez sous certaines conditions”. Certaines conditions sont rarement spécifiées dans une partie quelconque de l’accord. Plus tard, le tiers peut partager les informations avec ses institutions subsidiaires. Ainsi, l’accès aux informations personnelles des clients est hors de leur contrôle. [30]

Voir également

  • Commission fédérale du commerce
  • Politique de protection des informations
  • Sécurité des informations
  • Directive sur la protection des données

Références

  1. ^ un bc la Commission commerciale fédérale, les Principes de Pratique d’Information Équitables. Archivé le 31 mars 2009 à la Wayback Machine
  2. ^ “Confidentialité : des principes à la pratique” . Informations consommateurs . 2018-05-11 . Récupéré le 09/04/2021 .
  3. ^ Federal Trade Commission, Privacy Online: A Report to Congress (juin 1998).
  4. ^ “Privacy Online: Fair Information Practices in the Electronic Marketplace: A Federal Trade Commission Report to Congress” . Commission fédérale du commerce . 2000-05-01 . Récupéré le 13/12/2020 .
  5. ^ Comité consultatif du secrétaire américain sur les systèmes automatisés de données personnelles, les dossiers, les ordinateurs et les droits des citoyens , chapitre IV: Garanties recommandées pour les systèmes de données administratives personnelles (1973).
  6. ^ Comité consultatif du secrétaire américain sur les systèmes automatisés de données personnelles, les dossiers, les ordinateurs et les droits des citoyens (1973).
  7. ^ Commission d’étude sur la protection de la vie privée, La vie privée dans une société de l’information (juillet 1977).
  8. ^ Conseil de l’Europe, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (28 janvier 1981).
  9. ^ Organisation de coopération et de développement économiques (OCDE), Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontaliers de données personnelles (23 septembre 1980).
  10. ^ Directive de l’Union européenne sur la protection des données, directive 95/46/CE http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Archivé le 11/03/2010 à la Wayback Machine
  11. ^ a bc Robert Gellman, Fair Information Practices: A Basic History (10 avril 2017).
  12. ^ a bc Federal Trade Commission, Fair Information Practice Principles ( FIPs ), 1. Notice / Awareness. Archivé le 9 mars 2010 à la Wayback Machine
  13. ^ a b Federal Trade Commission, Fair Information Practice Principles (FIPs), 2. Choice/Consent. Archivé le 9 mars 2010 à la Wayback Machine
  14. ^ une Commission commerciale fédérale b , les Principes de pratique d’information équitables (FIP), 3. Accès/Participation. Archivé le 9 mars 2010 à la Wayback Machine
  15. ^ a b Federal Trade Commission, Fair Information Practice Principles (FIPs), 4. Intégrité/Sécurité. Archivé le 9 mars 2010 à la Wayback Machine
  16. ^ a b Federal Trade Commission, Fair Information Practice Principles (FIPs), 5. Application/Redress. Archivé le 9 mars 2010 à la Wayback Machine
  17. ^ Directives de l’Association de l’industrie FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Archivé le 30/05/2010 à la Wayback Machine
  18. ^ Protéger les informations personnelles : un guide pour les entreprises http://www.ftc.gov/infosecurity/
  19. ^ Application des promesses de confidentialité : section 5 de la loi FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
  20. ^ Rapport de confidentialité FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
  21. ^ a b Department of Homeland Security, Privacy Policy Guidance Memorandum (2008) (Memorandum Number 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
  22. ^ Electronic Frontier Foundation et Center for Democracy and Technology Dépôt conjoint auprès de la California Public Utilities Commission concernant le programme Smart Grid de Californie. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf ; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
  23. ^ Organisation de coopération et de développement économiques (OCDE), Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontaliers de données personnelles (23 septembre 1980). http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
  24. ^ Pam Dixon, Une brève introduction au Forum mondial sur la confidentialité des pratiques équitables en matière d’information (5 juin 2006).
  25. ^ Directive 95/46/CE http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML
  26. ^ Spiros Simitis , Du marché à la Polis: La directive de l’UE sur la protection des données personnelles, 80 Iowa L. Rev. 445 (1995).
  27. ^ Annecharico, David (2002). « Transactions en ligne : concilier les dispositions de confidentialité de la loi Gramm-Leach-Bliley avec les principes de pratiques équitables en matière d’information de la FTC » . Institut bancaire de Caroline du Nord . 6 : 637–664.
  28. ^ Paul M. Schwartz, Vie privée et démocratie dans le cyberespace, 52 Vand. L. Rev. 1609 (1999); Joel R. Reidenberg, Restoring Americans’ Privacy in Electronic Commerce, 14 Berkeley Tech. LJ 771 (1999).
  29. ^ Les exemples sont le Fair Credit Reporting Act , le Right to Financial Privacy Act , le Electronic Communications Privacy Act et le Video Privacy Protection Act . Beth Givens, A Review of the Fair Information Principles: The Foundation of Privacy Public Policy Archivé le 08/04/2009 à la Wayback Machine (publié en 1997, mis à jour en 2004).
  30. ^ Tavani, HT & Bottis M. (2010, juin). Le processus de consentement dans la recherche médicale impliquant des banques de données ADN : quelques implications et défis éthiques. ACM SIGCAS Computers and Society, 40(2), 11-21. doi : 10.1145/1839994.1839996

Liens externes

  • Rapport de confidentialité FTC 2000
  • Confidentialité en ligne de la FTC : un rapport au Congrès
  • Pratiques équitables en matière d’information de l’OCDE
  • Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données personnelles
  • Le Privacy Act de 1974 , 5 USC § 552a .
Fair Information PracticeFederal Trade CommissionPrivacy Protection Actprotectionvie privée
Comments (0)
Add Comment