FTC : les grands services sociaux et vidéo ont mené une surveillance massive des utilisateurs
(ftc.gov)- Un rapport des équipes de la FTC indique que les principaux services de médias sociaux et de streaming vidéo ont massivement surveillé les consommateurs pour monétiser les données personnelles, tout en présentant des protections insuffisantes pour les enfants et les adolescents
- L’enquête s’appuie sur les réponses à des ordonnances 6(b) envoyées en décembre 2020 par la FTC à 9 entreprises : Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit et WhatsApp
- Les entreprises visées pouvaient collecter et conserver des données sur les utilisateurs, les non-utilisateurs, ainsi que des informations issues de courtiers en données, et leurs pratiques de minimisation, de conservation et de suppression des données ont été jugées très insuffisantes
- Le modèle économique de nombreuses entreprises reposait sur la publicité ciblée, ce qui a encouragé la collecte massive de données ; ces données étaient utilisées dans des technologies de suivi comme les pixels ainsi que dans des systèmes automatisés et l’IA, sans que les utilisateurs aient pratiquement aucun droit de refus
- Le rapport des équipes de la FTC recommande une loi fédérale sur la protection de la vie privée, des politiques de minimisation et de conservation des données, des restrictions sur le suivi des informations sensibles, un renforcement de la transparence et de la vérification des systèmes automatisés, ainsi qu’une extension des protections pour les enfants et les adolescents en prenant le COPPA comme seuil minimal
Entreprises visées et périmètre du rapport
- Le rapport des équipes de la FTC examine les pratiques de collecte et d’utilisation des données des principaux services de médias sociaux et de streaming vidéo
- Le rapport des équipes repose sur les réponses de 9 entreprises aux ordonnances 6(b) émises en décembre 2020
- L’enquête porte sur les 9 entreprises et services suivants
- Amazon.com, Inc. : propriétaire de la plateforme de jeu Twitch
- Facebook, Inc. : aujourd’hui Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc. : aujourd’hui X Corp.
- Snap Inc.
- ByteDance Ltd. : propriétaire de la plateforme de partage vidéo TikTok
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- Les ordonnances de la FTC examinaient la manière dont les entreprises traitaient les informations personnelles et démographiques
- Collecte, suivi et utilisation des informations personnelles et démographiques
- Manière dont la publicité et les contenus sont affichés aux consommateurs
- Existence et modalités d’application d’algorithmes ou d’analyses de données aux informations personnelles et démographiques
- Impact de ces pratiques sur les enfants et les adolescents
Problèmes dans les pratiques de collecte et de conservation des données
- Les entreprises visées ont collecté en masse les données personnelles des consommateurs et les ont monétisées à hauteur de plusieurs milliards de dollars par an
- La présidente de la FTC, Lina M. Khan, a déclaré que ces pratiques de surveillance menacent la vie privée et peuvent exposer les personnes à divers préjudices, du vol d’identité au harcèlement
- Les entreprises pouvaient collecter et conserver indéfiniment les données suivantes
- Données des utilisateurs
- Données des non-utilisateurs des plateformes
- Informations obtenues auprès de courtiers en données
- Les pratiques étendues de partage de données ont renforcé les inquiétudes quant à l’existence d’un contrôle et d’une supervision suffisants du traitement des données
- Les pratiques de collecte, de minimisation et de conservation des données ont été jugées « woefully inadequate »
- Certaines entreprises répondaient aux demandes de suppression sans pour autant effacer l’ensemble des données d’un utilisateur
Modèle publicitaire et systèmes automatisés
- Le modèle économique de nombreuses entreprises était conçu pour monétiser les données des utilisateurs, en particulier via la publicité ciblée, qui représentait l’essentiel de leurs revenus
- Ces incitations peuvent entrer en conflit avec la vie privée des utilisateurs et pousser à collecter toujours plus de données
- Certaines entreprises utilisaient des technologies de suivi intrusives pour la vie privée, comme les pixels, afin de permettre des publicités fondées sur les préférences et centres d’intérêt des utilisateurs
- Les données personnelles des utilisateurs comme des non-utilisateurs étaient injectées dans divers systèmes automatisés
- Algorithmes
- Analyse de données
- IA
- Les utilisateurs et les non-utilisateurs disposaient de peu, voire d’aucun moyen de refuser l’utilisation de leurs données dans ces systèmes automatisés
- Les méthodes de surveillance et de test de l’utilisation des systèmes automatisés variaient selon les entreprises, avec un manque de cohérence et de rigueur
Protection des enfants et des adolescents, et enjeux liés au COPPA
- Les services de médias sociaux et de streaming vidéo ont été jugés insuffisants dans leur protection des enfants et des adolescents sur leurs plateformes
- Le rapport cite des recherches selon lesquelles les médias sociaux et les technologies numériques ont des effets négatifs sur la santé mentale des jeunes utilisateurs
- De nombreuses entreprises ont affirmé qu’il n’y avait pas d’enfants sur leurs plateformes au motif que leurs services ne leur étaient pas destinés ou qu’elles n’autorisaient pas la création de comptes pour enfants
- Le rapport des équipes de la FTC y voit une tentative manifeste d’échapper aux responsabilités prévues par la Children’s Online Privacy Protection Act Rule
- Les services de médias sociaux et de streaming vidéo traitaient souvent les adolescents comme des utilisateurs adultes
- La plupart des entreprises permettaient aux adolescents d’utiliser leurs plateformes sans restrictions de compte particulières
Effets sur la concurrence et recommandations de la FTC
- Les pratiques de données des entreprises peuvent aussi affecter la concurrence
- Les entreprises ayant accumulé de grandes quantités de données utilisateurs peuvent acquérir une position dominante sur le marché, ce qui peut conduire à des pratiques nuisibles privilégiant l’acquisition de données au détriment de la vie privée
- Une concurrence limitée entre les services de médias sociaux et de streaming vidéo réduit également les choix offerts aux consommateurs
- Le rapport des équipes de la FTC adresse les recommandations suivantes aux décideurs publics et aux entreprises
- Le Congrès devrait adopter une loi fédérale globale sur la protection de la vie privée limitant la surveillance, instaurant des protections de base et accordant des droits sur les données aux consommateurs
- Les entreprises devraient limiter la collecte de données et mettre en place des politiques de minimisation et de conservation des données précises et opposables
- Elles devraient restreindre le partage de données avec des tiers et des sociétés affiliées, et supprimer les données des consommateurs qui ne sont plus nécessaires
- Les politiques de confidentialité devraient être claires, simples et faciles à comprendre pour les consommateurs
- Les entreprises ne devraient pas collecter d’informations sensibles au moyen de technologies publicitaires de suivi intrusives pour la vie privée
- Elles devraient examiner avec prudence leurs politiques et pratiques de ciblage publicitaire fondées sur des catégories sensibles
- Elles devraient remédier au manque de contrôle des utilisateurs et au manque de transparence sur l’utilisation des données dans les systèmes automatisés
- Des critères plus stricts de test et de surveillance devraient être appliqués aux systèmes automatisés
- Les plateformes ne devraient pas ignorer la réalité de la présence d’enfants parmi leurs utilisateurs, et devraient considérer le COPPA comme une exigence minimale en ajoutant des mesures de sécurité supplémentaires
- Les adolescents ne sont pas des adultes et devraient bénéficier de protections renforcées en matière de vie privée
- Le Congrès devrait adopter une loi fédérale sur la protection de la vie privée pour combler, pour les adolescents de plus de 13 ans, les lacunes que le COPPA ne couvre pas
- La FTC a voté à 5 contre 0 la publication du rapport des équipes
- La présidente Khan ainsi que les commissaires Alvaro Bedoya, Melissa Holyoak et Andrew N. Ferguson ont chacun publié une déclaration distincte
1 commentaires
Avis de Hacker News
Il manque une façon de renforcer la responsabilité des entreprises qui gèrent mal les données des utilisateurs.
Ça n’a aucun sens de recevoir par courrier une notification d’une fuite de données vieille de plusieurs mois, contenant notamment mon numéro de sécurité sociale, et que la seule chose que je puisse faire soit de geler mon crédit auprès de plusieurs agences d’évaluation du crédit.
Après avoir traversé publiquement un burn-out et une période difficile, un ami m’a aidé à trouver un temps partiel dans une société de traitement des paiements par carte bancaire. Il y a environ deux mois, pendant mon absence, le patron a demandé à un chauffeur Uber d’envoyer un e-mail parce qu’il avait quelque chose à traiter, et le résultat a été que toute la base de données clients, contenant comptes bancaires, numéros de sécurité sociale, noms, adresses et données financières, a été envoyée à un client.
Cela a été caché pendant 11 jours, puis quand je l’ai appris, j’ai dit : « c’est grave, et au-delà de PCI, la loi impose de prévenir les clients concernés sous 45 jours ». Le patron a répondu qu’il ne le ferait pas, alors j’ai démissionné et je me suis retrouvé de nouveau sans emploi.
Pour avoir voulu faire ce qui était juste, je cherche maintenant un travail en urgence, tandis que ceux qui ont causé le problème font comme si de rien n’était après avoir potentiellement compromis toute leur base clients, et il semble qu’ils ne seront pas sanctionnés à moins que je ne les signale à PCI. Même si je le fais, je n’en tirerai aucune compensation.
Où que j’aille, je ne comprends pas pourquoi les dirigeants finissent toujours par faire des choses louches. Je veux juste travailler sur Linux et des datacenters sous la responsabilité de quelqu’un d’honnête.
Mon gros projet parallèle n’est pas encore prêt, même pour un lancement anticipé, et au départ je ne voulais pas accepter de VC ni d’investisseurs, mais maintenant j’en viens à envisager un compromis.
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
À mon avis, ce sera difficile tant qu’il n’existera pas une autorité de régulation indépendante capable de réglementer l’ensemble de l’industrie tech. Comme la FDA décide quels médicaments et ingrédients sont autorisés, il pourrait exister une agence chargée d’évaluer les risques que les fonctionnalités des entreprises tech font peser sur la santé mentale des gens.
Mais pour qu’une telle agence voie le jour, il faudra probablement une tragédie, comme ce qui a motivé la création initiale de la FDA.
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Le fait qu’ils commencent seulement maintenant à prendre ça au sérieux et à envisager de riposter arrive avec 15 ans de retard, mais c’est toujours mieux que rien.
La prochaine étape devrait être de reprendre sérieusement le contrôle des agences d’évaluation du crédit.
Je n’ai jamais consenti à ce qu’ils détiennent mes données ; ils les ont toutes laissées fuiter, et maintenant ils m’envoient en plus des e-mails publicitaires non sollicités. C’est n’importe quoi.
Le fait qu’il faille entrer en relation avec ces entreprises pour geler son crédit, et que sinon on soit à leur merci lorsqu’elles transmettent nos informations à qui elles veulent sans notre autorisation, est vraiment absurde.
Je trouve étrange que des entreprises comme Meta et Google valent des centaines de milliards de dollars parce qu’elles ont trouvé comment remplir légalement des bases de données avec des informations sur vous.
À une autre époque de l’histoire, quelqu’un aurait appelé ça de la surveillance ; elles ont trouvé une manière de le faire légalement, et cela vaut des centaines de milliards de dollars.
Techniquement, enregistrer des données à distance est trivial dès lors qu’il y a consentement. On a l’impression d’avoir érigé ce mur imaginaire qu’est la loi, dépensé des milliards de dollars à construire des chemins pour le contourner, puis assimilé cela à de la prospérité économique. Le rapport entre les services de streaming et le partage de fichiers est similaire.
Je ne comprends pas pourquoi les gens s’obstinent à qualifier les réseaux sociaux de simples bases de données.
Lina Khan pousse fort en ce moment. Elle semble réellement se soucier des droits humains en ligne.
Facebook et YouTube sont des défenseurs qui ont la volonté et la capacité de protéger les données sensibles des clients. Si l’on regarde le documentaire sur AshleyMadison, il y avait un mépris arrogant de la vie privée des clients, et pourtant il n’y a presque pas eu de responsabilité.
Les consommateurs sont le plus vulnérables face à ces petits acteurs irresponsables.
Si Trump devient président, il la limogera ; et même si Harris gagne, si les républicains prennent le contrôle du Sénat, je crains que Harris ne sacrifie Khan comme monnaie d’échange pour obtenir des confirmations.
« Data is a Toxic Asset », Schneier on Security, 2016 : https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Ce passage est particulièrement problématique :
« De nombreuses entreprises ont procédé à un partage massif de données, ce qui soulève de sérieuses inquiétudes quant à l’adéquation des contrôles et de la supervision du traitement des données par ces entreprises. »
Le rapport complet[0] vaut la peine d’être lu. Mieux vaut ne pas se contenter du résumé.
« Mais ces constats ne doivent pas être considérés isolément. Ils découlent, dans les neuf entreprises, de modèles économiques presque identiques : la collecte de données à des fins de publicité ciblée, de conception algorithmique et de vente à des tiers. En l’absence de garde-fous significatifs, les entreprises sont incitées à développer des méthodes de collecte de plus en plus intrusives. »
[0] : https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
La surveillance se propage comme un cancer. Elle continue de grossir en se nourrissant de chaque point de donnée au motif qu’« on en a simplement besoin », et finit par vous tuer.
Il faudrait aussi ajouter à la liste les constructeurs automobiles qui surveillent les gens avec les caméras et micros dans l’habitacle.
Plus de détails : https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...