L'autorité fédérale américaine Federal Trade Commission (FTC) a publié le 19 septembre un rapport complet qui passe notamment au crible la collecte et l'utilisation des données des grands services de médias sociaux et de streaming vidéo. La conclusion de l'autorité de la concurrence et de la protection des consommateurs : Les Etats-Unis ont besoin de toute urgence d'une loi nationale sur la protection des données.
Rapport de la FTC sur la soif de données des grandes plateformes de médias sociaux
Le rapport se base sur une enquête qui a débuté en décembre 2020, lorsque la FTC a ordonné à neuf grandes entreprises au total de fournir des informations complètes sur leurs pratiques en matière de protection des données. Concrètement, il s'agit des entreprises suivantes : Amazon (pour la plateforme de jeux Twitch), Facebook (désormais Meta Platforms), YouTube, Twitter (désormais X Corp.), Snap, ByteDance (pour la plateforme de partage de vidéos TikTok), Discord, Reddit et WhatsApp.
L'objectif était de découvrir comment ces plateformes collectent, stockent et utilisent les données. Il s'agissait également d'examiner comment elles utilisent les informations démographiques à des fins publicitaires et quelles mesures sont prises pour protéger les enfants et les adolescents.
Le rapport montre que nombre de ces entreprises
- collecter d'énormes quantités de données à caractère personnel. Et pas seulement des utilisateurs, mais aussi des non-utilisateurs, souvent avec l'aide d'intermédiaires de données.
- conserver ces données indéfiniment, sans appliquer de politiques de suppression appropriées.
- partager des données à grande échelle, ce qui soulève des inquiétudes quant à la protection de ces informations.
- ne protègent pas suffisamment les enfants et les adolescents en appliquant les mêmes normes de protection des données que pour les adultes
- utiliser des technologies de suivi publicitaire pour diffuser des publicités ciblées en fonction des intérêts et des préférences.
Selon le rapport de la FTC, il est alarmant de constater que bon nombre des entreprises examinées n'ont pas réagi de manière appropriée aux demandes de suppression des utilisateurs. En outre, des technologies de suivi telles que les "pixels" sont utilisées pour établir des profils complets en vue de mesures publicitaires ciblées. Les enfants et les adolescents, qui sont particulièrement vulnérables, sont souvent traités comme des adultes et ne sont pas suffisamment protégés, alors qu'ils sont exposés à des risques importants tels que le vol d'identité ou l'atteinte à leur santé mentale.
Les entreprises doivent adapter leurs pratiques de protection des données
Les conclusions du rapport ont des conséquences importantes pour les entreprises, notamment en ce qui concerne l'adaptation de leurs pratiques et stratégies en matière de protection des données.
- Renforcer la réglementation et les exigences légales
Le rapport demande expressément au Congrès d'adopter une loi nationale complète sur la protection des données. Les entreprises doivent s'attendre à ce que la législation future impose des exigences plus strictes en matière de minimisation des données et de protection des données des consommateurs. Cela pourrait limiter considérablement l'utilisation commerciale des données par les entreprises tout en leur imposant des obligations plus strictes en matière de responsabilité et de conformité. - Limitation du stockage et de la diffusion des données
La FTC recommande aux entreprises de mettre en place des directives claires en matière de minimisation des données. Cela implique de ne conserver les données que le temps nécessaire et de limiter fortement le volume de la collecte de données. Les entreprises doivent revoir leurs pratiques de stockage et développer de nouvelles mesures pour s'assurer que les données sont supprimées à l'issue de la durée d'utilisation requise. - Limiter la publicité ciblée
Le rapport critique le fait que le modèle économique de nombreuses entreprises repose sur la collecte et la monétisation massives des données des utilisateurs par le biais de la publicité ciblée. Les entreprises doivent se préparer à des réglementations plus strictes qui pourraient limiter l'utilisation des données personnelles à des fins publicitaires, notamment en ce qui concerne les informations sensibles. - Renforcer le contrôle des algorithmes et des systèmes d'IA
L'utilisation d'algorithmes et d'intelligence artificielle (IA) pour le traitement et l'analyse des données à caractère personnel a également fait l'objet d'un examen critique dans le rapport. Les entreprises qui dépendent de ces technologies doivent s'attendre à des exigences plus strictes en matière de transparence et de contrôle de ces systèmes. On s'attend à ce que des mécanismes de test et de contrôle plus stricts soient mis en place afin d'éviter les abus ou les comportements inappropriés des systèmes automatisés. - Amélioration de la protection des enfants et des jeunes
La critique de la FTC selon laquelle les entreprises traitent les enfants et les adolescents de la même manière que les adultes est particulièrement grave. De nombreuses entreprises comptent sur le fait que leurs plates-formes ne s'adressent pas formellement aux enfants. Elles peuvent ainsi éviter d'être tenues responsables en vertu du Children's Online Privacy Protection Act (COPPA). La FTC exige toutefois que les entreprises reconnaissent que les enfants et les adolescents utilisent leurs plates-formes et les protègent en conséquence. Dans la pratique, cela pourrait signifier que les entreprises prennent des mesures supplémentaires de protection des données pour les jeunes utilisateurs et qu'elles devront à l'avenir se conformer à des règles plus strictes en matière de restrictions d'âge et de consentement parental. - Risque accru de domination du marché
Le rapport souligne également que la collecte massive de données sur les utilisateurs confère à certaines entreprises une position dominante sur le marché. Les entreprises qui gèrent de grandes quantités de données pourraient à l'avenir être soumises à un contrôle plus strict de la concurrence, en particulier si cela entraîne des distorsions de concurrence et une limitation du choix des consommateurs.
Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - de quel pouvoir discrétionnaire dispose une autorité de protection des données ?
Recommandations de la FTC
Dans son rapport, la FTC a formulé une série de recommandations à l'intention des entreprises et des législateurs. Les points essentiels de ces recommandations sont les suivants :
- La nécessité d'une loi fédérale complète sur la protection des données pour les États-Unis.
- Les entreprises ne devraient conserver les données que le temps nécessaire et adopter une politique de protection des données claire et compréhensible.
- L'utilisation de technologies portant atteinte à la vie privée, telles que le suivi publicitaire, devrait être considérablement limitée.
- La protection des enfants et des adolescents doit aller au-delà du minimum légal, avec une attention particulière pour la protection de la vie privée et de la santé mentale.
Il est crucial pour les entreprises d'adapter leurs pratiques en matière de protection des données à ces recommandations. Et ce, non seulement pour éviter des sanctions réglementaires, mais aussi pour conserver la confiance des consommateurs dans une société de plus en plus consciente de la protection des données. Agir maintenant permet déjà d'intégrer les futures exigences légales dans la stratégie de l'entreprise et de s'assurer des avantages concurrentiels à long terme.