Données et confidentialité : conversations et tendances du troisième trimestre 2015

Le troisième trimestre est généralement l'un des plus calmes, englobant les deux derniers mois de l'été, puis le retour invariable au travail et à l'école.

Mais pour la confidentialité, le troisième trimestre 2015 a été en fait l'un des trimestres les plus actifs de l'année avec des développements qui ont eu un impact à la fois sur l'écosystème publicitaire en général et sur la confidentialité en particulier.

Voici un coup de projecteur sur trois des principaux développements que nous suivons de près.

Événements FTC

La FTC a remporté une victoire importante lorsque le troisième circuit a affirmé son droit de réglementer la «sécurité des données» dans le cas de longue date de l'agence contre Wyndham Hotels. Maintenant, l'affaire a été renvoyée pour voir si Wyndham a adopté ou non des pratiques de sécurité des données "raisonnables" après avoir été violées à plusieurs reprises par des pirates russes. Consultez mon récent article de blog pour plus de détails.

La FTC a également poursuivi son examen des entreprises qui prétendent faire partie des cadres US-EU ou US-Swiss Safe Harbor pour le transfert de données personnelles de l'UE vers les États-Unis. L'agence a déposé des décrets de consentement contre treize entreprises qui ont laissé expirer leurs certifications Safe Harbor ou ont complètement déformé leur statut Safe Harbor.

Après des actions en janvier et avril de cette année, le nombre total de cas Safe Harbor déposés par la FTC s'élève désormais à 27 (pour un total de 39 mesures d'application au total). Combien de cas Safe Harbor ont été déposés par les régulateurs de l'UE ? Zéro. Et pourtant, les régulateurs de l'UE ont contesté la validité de la sphère de sécurité. En fait, pas plus tard que la semaine dernière, un avocat général de la Cour de justice de l'UE a déclaré la sphère de sécurité invalide pour les transferts de données personnelles de l'UE vers les États-Unis. Plus, dans notre récapitulatif Safe Harbor plus loin dans cette mise à jour.

FCC émerge comme un autre Enforcer à surveiller

Sous la direction du président Tom Wheeler, la FCC est devenue un régulateur dynamique (et parfois redouté) - un régulateur qui est clairement en concurrence avec la FTC sur plusieurs questions de protection des consommateurs et d'application de la confidentialité des données. Exemple concret : le chef de l'application de la loi de la FCC, Travis LeBlanc (ancien chef de la division de la protection des consommateurs au bureau du procureur général de Californie), a infligé près de 500 millions de dollars d'amendes cette année seulement, dont une amende de 100 millions de dollars contre AT&T pour avoir » la nature de ses forfaits de données.

Au cours des derniers mois, nous avons également vu des discussions sur les tentatives de la FCC de reclasser les fournisseurs « périphériques » en tant que transporteurs publics soumis aux règles de la FCC, y compris les règles de confidentialité de l'agence. Les fournisseurs Edge incluent des entreprises qui proposent des services et du contenu en ligne, suivent l'activité des utilisateurs et collectent des informations personnelles. Plus particulièrement, ce groupe pourrait inclure les sociétés Apple, Google et Facebook ; il pourrait également inclure des fournisseurs B2B basés sur SAAS comme TUNE. Cela devrait faire quelques mois intéressants alors que la FCC tente de faire avancer son programme de réglementation cet automne. Certains des fournisseurs de périphérie supposés ont déjà enregistré leurs objections - jetez un coup d'œil au dossier FCC de Google de février 2015 faisant valoir, entre autres, que les fournisseurs de périphérie ne devraient pas être classés comme des transporteurs publics ou des FAI parce qu'ils, tout comme les utilisateurs finaux, s'appuient sur les FAI pour « l'interconnexion ».

Port sûr

Et revenons à la sphère de sécurité - qui reste le principal moyen utilisé par de nombreuses entreprises américaines (y compris TUNE) pour transférer des données personnelles de manière conforme entre l'UE et les États-Unis.

La semaine dernière, l'avocat général de la Cour de justice des Communautés européennes (« CJE ») a rendu un avis déclarant que la sphère de sécurité était « invalide » lorsqu'il s'agissait de transferts de données des États-Unis vers l'UE - principalement en raison de la « la surveillance et l'interception massives et aveugles de données à caractère personnel appartenant à des citoyens de l'UE. L'avis ne fait aucune mention de la surveillance par l'UE et d'autres gouvernements étrangers – ce que Snowden a également révélé.

En réponse, Tony Gardner (ambassadeur des États-Unis auprès de l'UE) a publié cette déclaration contestant l'avis de l'avocat général et soulignant :

"Les États-Unis ne se livrent pas et ne se sont pas engagés dans une surveillance aveugle de qui que ce soit, y compris des citoyens européens ordinaires."

Gardner a également rappelé à l'avocat général et aux autres détracteurs de la sphère de sécurité que PRISM était en fait dirigé contre des cibles de renseignement étrangères et qu'il était soumis à une certaine forme de processus. Il a également cité des développements positifs récents, tels que la loi sur les recours judiciaires de 2015, actuellement au Congrès, qui accorderait un droit d'action privé aux citoyens de l'UE demandant des dommages-intérêts contre des entreprises américaines devant les tribunaux américains, pour violation de la vie privée.

On ne sait pas dans quelle mesure l'avis de l'avocat général influencera la CJUE qui examine actuellement l'affaire Schrems c. Facebook. Le citoyen autrichien Max Schrems poursuit Facebook pour ses pratiques en matière de confidentialité, y compris le recours de Facebook à la sphère de sécurité pour les transferts de données de l'UE vers les États-Unis. Cette décision est attendue le 6 octobre. Vous pouvez en savoir plus sur les détails de l'avis de l'avocat général et son impact potentiel sur l'affaire Schrems c. Facebook, dans cet article .

Pour l'instant, l'avis de l'avocat général a clairement jeté une clé dans les négociations en cours entre l'UE et les États-Unis sur le Safe Harbor (plus tôt ce mois-ci, les deux parties prédisaient qu'une résolution était imminente). Le plus préoccupant est le raisonnement de l'avis selon lequel les autorités de protection des données de l'UE ont « le pouvoir d'ordonner la suspension du transfert de données en cas de violation avérée ou de risque de violation des droits fondamentaux ». Cela signifie que les régulateurs de la protection des données de l'UE peuvent, dans certains cas, bloquer les transferts de données de l'UE vers les États-Unis. On ne sait pas comment cela se déroulera; avant l'avis, il n'y avait aucune raison pour qu'un pays de l'UE individuel se retire unilatéralement de ce qui est essentiellement un traité international entre l'UE et les États-Unis.

Avec ces développements en jeu, le quatrième trimestre s'annonce comme particulièrement crucial pour la confidentialité et la protection des données des deux côtés de l'Atlantique. La décision de la CJE sur Schrems c. Facebook est attendue le 6 octobre (et avec elle, le sort du Safe Harbor). Il y aura des audiences sur les tentatives de la FCC de reclasser les fournisseurs de périphérie en « transporteurs publics ». Un vote est attendu sur la loi sur le partage d'informations sur la cybersécurité (CISA) en octobre. Et, le 16 novembre, la FTC tiendra un important atelier à Washington DC, sur le tracking cross-device .

Nous suivrons ces développements de près et nous attendons avec impatience de récapituler et de récapituler dans notre mise à jour du quatrième trimestre et les newsletters suivantes.

Vous aimez cet article ? Inscrivez-vous pour recevoir nos e-mails de résumé de blog.