Renforcez vos pratiques équitables en matière d'information

La semaine dernière, Facebook a organisé [email protected], une conférence sur la confidentialité avec un objectif unique : l'utilisateur final.

De nos jours, l'ordre du jour de la plupart des événements sur la confidentialité est presque toujours axé sur l'incertitude juridique ou réglementaire - aurons-nous une loi sur la confidentialité aux États-Unis ? Le règlement européen proposé sera-t-il un jour adopté ?

Au crédit de Facebook, [email protected] s'est concentré sur ce que les entreprises peuvent ou devraient faire en ce moment concernant la confidentialité des utilisateurs finaux, indépendamment de toute cette incertitude réglementaire. Et pendant la conférence, nous avons eu un aperçu de la façon dont les entreprises continuent d'innover autour des pratiques équitables en matière d'information ou « FIP » - avis, consentement, accès, sécurité et application.

Par exemple, les entreprises qui fabriquent des voitures connectées ne débattent pas de l'opportunité d'avoir ou non une politique de confidentialité ; plutôt que la discussion s'est déplacée sur ce à quoi les avis de confidentialité devraient ressembler, si les sons ou les icônes peuvent jouer un rôle dans l'animation des politiques textuelles, et ce qui se passe si l'écran de l'appareil est très petit ou inexistant.

Que sont les FIP ?

Les FIP sont les éléments constitutifs importants de tout programme de confidentialité. Ils ont été formulés pour la première fois dans un rapport du gouvernement américain de 1973 intitulé "Records, Computers and the Rights of Citizens". C'était la première fois qu'un rapport gouvernemental se concentrait sur les effets du "traitement automatisé des données" sur les citoyens américains. Maintenant, dans l'ère post-Snowden, l'introduction de Caspar Weinberger semble incroyablement prémonitoire et même un peu sinistre :

"Les ordinateurs reliés entre eux par des réseaux de télécommunications à haut débit sont destinés à devenir le principal moyen de créer, de stocker et d'utiliser des enregistrements sur les personnes..."

Les FIP ne sont jamais devenus la base d'une loi sur la collecte de données commerciales aux États-Unis (les États-Unis n'ont toujours pas une telle loi aujourd'hui), mais ils ont constitué le fondement des exigences en vertu de plusieurs lois sectorielles américaines, notamment la loi de 1974 sur la protection de la vie privée qui oblige le gouvernement fédéral à gouvernement pour protéger les informations personnelles collectées auprès des citoyens américains. Et curieusement, la plupart des cadres mondiaux et de protection des données d'aujourd'hui intègrent et étendent les FIP.

Augmentez vos FIP !

Avec ce contexte à l'esprit, devriez-vous "intensifier vos FIP ?" Absolument. La FTC a officiellement adopté les FIP dans un rapport de 2000, et l'agence continue de faire évoluer cette mise en œuvre en décidant comment évaluer les atteintes à la vie privée des utilisateurs finaux. En tant que tels, les annonceurs et les spécialistes du marketing d'applications doivent être conscients de chaque FIP et de la manière dont ils sont mis en œuvre dans le cadre de l'expérience du produit ou de l'application, ainsi que des processus backend.

Avis – Soyez transparent et assurez-vous que les politiques de confidentialité fournissent un avis « significatif » sur la collecte et l'utilisation des données. Ne faites pas de promesses que vous ne tenez pas. La FTC a poursuivi Snapchat sur la base des avis de confidentialité de l'entreprise et d'autres déclarations qui affirmaient que les messages des utilisateurs «disparaîtraient» après une période de temps définie. En réalité, les messages étaient stockés dans les journaux de Snapchat et pouvaient être consultés par des applications tierces.

Consentement – ​​Aussi appelé choix et contrôle. L'obtention du consentement de l'utilisateur final pour la collecte et l'utilisation des données est indispensable, y compris l'obtention d'un consentement exprès pour la collecte de catégories de données « sensibles » telles que l'emplacement précis de l'appareil de l'utilisateur final.

Accès – Fournissez un moyen de modifier, voire de supprimer les données que vous détenez sur les utilisateurs finaux. Cela inclut le respect des demandes de désactivation des utilisateurs finaux, comme la FTC nous l'a montré dans sa récente action contre les technologies Nomi, une société de suivi de la vente au détail qui n'a pas désabonné les utilisateurs finaux sur demande.

Sécurité – Sécurisez toutes les données personnelles précieuses avec les bonnes mesures organisationnelles et techniques pour empêcher tout accès ou divulgation non autorisés. La FTC a intenté des actions contre Credit Karma et Fandango pour avoir déformé les pratiques de sécurité et n'avoir pas réussi à sécuriser les informations personnelles sensibles des consommateurs.

Application - Cela comprend à la fois la réglementation gouvernementale, ainsi que les cadres d'autorégulation et de corégulation comme les directives mobiles de la Digital Advertising Alliance (DAA) ou le code de la Network Advertising Alliance (NAI). De plus, il est important de ne pas déformer ou de ne pas déformer votre adhésion à un cadre réglementaire ou à une sphère de sécurité. Ce point a été soulevé plus récemment par la FTC, qui vient de finaliser deux actions contre des entreprises pour avoir déclaré de manière erronée leur statut de participation à la sphère de sécurité UE-États-Unis.

Faites attention au DAA, au NAI et aux autres exigences d'autorégulation

Ce dernier point mérite particulièrement réflexion. Au cours des deux derniers mois, nous avons vu deux annonces importantes d'autorégulation :

• La DAA commencera à appliquer ses directives mobiles DAA en septembre 2015 pour toutes les entités engagées dans la publicité basée sur les intérêts et la collecte de données inter-applications. Ces directives s'appuient sur les principes d'autorégulation de la DAA pour la publicité comportementale en ligne ou « OBA ». Les principes de la DAA constituent un important programme d'autoréglementation et reposent en partie sur les principes de l'OBA 2009 du personnel de la FTC.

• Le NAI a publié des lignes directrices pour l'utilisation de technologies non basées sur les cookies (par exemple, les empreintes digitales numériques), en s'appuyant sur le code NAI. Le NAI catégorise les entreprises en premières parties (qui collectent et utilisent des données pour leur propre compte) ou en tierces parties (entreprises engagées dans la « publicité croisée des données » ou la « diffusion et communication d'annonces » au nom d'autres sociétés).

Il est important de déterminer si vous êtes visé par l'un de ces programmes d'autoréglementation. Par exemple, la DAA a déclaré que ses principes couvrent " toutes les entreprises engagées dans [la publicité basée sur les intérêts] et l'activité de collecte de données multi-sites et multi-applications pour une utilisation autorisée", que vous soyez membre de la DAA ou non.

En terminant…

C'est le bon moment pour revoir la façon dont vous intégrez les FIP dans votre programme de confidentialité et l'expérience de l'application. Comme de nombreuses actions de la FTC nous l'ont montré, l'intégration de ces exigences est une étape importante pour répondre à vos exigences légales et de conformité. Mais les FIP sont également un élément essentiel pour garantir la confiance, car ils montrent aux utilisateurs finaux que vous respectez leurs droits à la vie privée et que vous êtes un gestionnaire digne de confiance de leurs données personnelles.

Et, à mesure que de plus en plus d'entreprises continuent de suivre ce modèle d'adoption de pratiques basées sur un cadre commun, l'autoréglementation devient une alternative plus viable à l'adoption d'exigences légales. Contrairement à une loi, l'autoréglementation peut suivre le rythme de l'évolution de la technologie. C'est donc une approche que les entreprises innovantes devraient envisager pour rester en conformité, mais aussi pour rester innovantes.

Vous souhaitez en savoir plus sur l'intensification de vos FIP ? Alors n'oubliez pas d'assister à l'atelier « FIPs for Apps » de TUNE à Postback cette année.

Vous aimez cet article ? Inscrivez-vous pour recevoir nos e-mails de résumé de blog.