Pratique loyale de l'information de la FTC - FTC fair information practice

Les principes de pratique équitable de l'information (FIPP) de la Federal Trade Commission des États-Unis sont des lignes directrices qui représentent des concepts largement acceptés concernant la pratique équitable de l'information sur un marché électronique.

introduction

Les principes de pratique équitable de l'information de la FTC sont le résultat de l'enquête de la Commission sur la manière dont les entités en ligne collectent et utilisent les informations personnelles et des mesures de protection pour garantir que la pratique est équitable et fournit une protection adéquate de la confidentialité des informations . La FTC étudie les problèmes de confidentialité en ligne depuis 1995 et, dans son rapport de 1998, la Commission a décrit les principes largement acceptés de la pratique équitable de l'information en matière de notification, de choix, d'accès et de sécurité . La Commission a également identifié l' application de la loi , l'utilisation d'un mécanisme fiable pour prévoir des sanctions en cas de non-conformité, comme un élément essentiel de tout programme gouvernemental ou d'autorégulation visant à protéger la vie privée en ligne.

Histoire et évolution

La pratique équitable de l'information a été initialement proposée et nommée par le Comité consultatif du secrétaire américain sur les systèmes automatisés de données personnelles dans un rapport de 1973, Records, Computers and the Rights of Citizens , publié en réponse à l'utilisation croissante de systèmes de données automatisés contenant des informations sur des individus. La contribution centrale du Comité consultatif a été l’élaboration d’un code de pratiques d’information équitables pour les systèmes automatisés de données à caractère personnel. La Commission d’étude sur la protection de la vie privée peut également avoir contribué à l’élaboration des principes du FIP dans son rapport de 1977, La vie privée dans une société de l’information .

Alors que les lois sur la protection de la vie privée se sont répandues dans d'autres pays d'Europe, les institutions internationales ont adopté la protection de la vie privée en se concentrant sur les implications internationales de la réglementation de la protection de la vie privée. En 1980, le Conseil de l'Europe a adopté une Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel . Parallèlement, l' Organisation de coopération et de développement économiques (OCDE) a proposé des lignes directrices similaires sur la protection de la vie privée dans les Principes directeurs de l'OCDE sur la protection de la vie privée et les flux transfrontières de données à caractère personnel. Les Principes directeurs de l'OCDE, la Convention du Conseil de l'Europe et la Directive de l' Union européenne sur la protection des données s'appuyaient sur les FIP comme principes fondamentaux. Les trois organisations ont révisé et étendu la déclaration originale des États-Unis sur les FIP, les Lignes directrices de l'OCDE sur la protection de la vie privée étant la version la plus souvent citée les années suivantes.

Des principes

Les principes fondamentaux de la vie privée abordés par ces principes sont les suivants:

1. Avis / sensibilisation Les consommateurs devraient être informés des pratiques d'information d'une entité avant que des renseignements personnels ne soient recueillis auprès d'eux. Cela exige que les entreprises notifient explicitement tout ou partie des éléments suivants:

• l'identification de l'entité qui collecte les données;
• l'identification des utilisations auxquelles les données seront destinées;
• l'identification de tout destinataire potentiel des données;
• la nature des données collectées et les moyens par lesquels elles sont collectées;
• si la fourniture des données demandées est volontaire ou obligatoire;
• les mesures prises par le collecteur de données pour assurer la confidentialité, l'intégrité et la qualité des données.

2. Choix / Consentement Le choix et le consentement dans le sens de la collecte d'informations en ligne signifie donner aux consommateurs des options pour contrôler la façon dont leurs données sont utilisées. Plus précisément, le choix concerne les utilisations secondaires de l'information au-delà des besoins immédiats du collecteur d'informations pour mener à bien la transaction du consommateur. Les deux types typiques de modèles de choix sont «opt-in» ou «opt-out». La méthode «opt-in» exige que les consommateurs autorisent de manière affirmative que leurs informations soient utilisées à d'autres fins. Sans que le consommateur ne prenne ces mesures affirmatives dans un système «opt-in», le cueilleur d'informations suppose qu'il ne peut pas utiliser les informations à d'autres fins. La méthode «opt-out» oblige les consommateurs à refuser de manière affirmative l'autorisation pour d'autres utilisations. Sans que le consommateur ne prenne ces mesures affirmatives dans un système de «désinscription», le cueilleur d'informations suppose qu'il peut utiliser les informations du consommateur à d'autres fins. Chacun de ces systèmes peut être conçu pour permettre à un consommateur individuel d'adapter l'utilisation des informations par le cueilleur d'informations à ses préférences en cochant des cases pour accorder ou refuser l'autorisation à des fins spécifiques plutôt que d'utiliser une simple méthode «tout ou rien».

3. Accès / Participation L'accès tel que défini dans les principes de pratique équitable de l'information inclut non seulement la capacité du consommateur à visualiser les données collectées, mais également à vérifier et contester leur exactitude. Cet accès doit être bon marché et opportun pour être utile au consommateur.

4. Intégrité / sécurité Les collecteurs d'informations doivent s'assurer que les données qu'ils collectent sont exactes et sécurisées. Ils peuvent améliorer l'intégrité des données en les croisant uniquement avec des bases de données réputées et en permettant au consommateur de les vérifier. Les collecteurs d'informations peuvent protéger leurs données en les protégeant contre les menaces de sécurité internes et externes. Ils peuvent limiter l'accès au sein de leur entreprise aux seuls employés nécessaires pour se protéger contre les menaces internes, et ils peuvent utiliser le cryptage et d'autres systèmes de sécurité informatiques pour arrêter les menaces extérieures.

5. Application / recours Afin de garantir que les entreprises respectent les principes de la pratique équitable de l'information, des mesures d'application doivent être prises. La FTC a identifié trois types de mesures d'application: l'autorégulation par les collecteurs d'informations ou un organisme de réglementation désigné; les recours privés qui donnent des causes civiles d'action aux personnes dont les informations ont été utilisées à mauvais escient pour poursuivre les contrevenants; et l'application de la loi par le gouvernement qui peut inclure des sanctions civiles et pénales imposées par le gouvernement.

Appliquer les principes

Actuellement, la version FTC des principes équitables d'information ne sont que des recommandations pour maintenir des pratiques de collecte de données respectueuses de la vie privée et axées sur le consommateur, et ne sont pas applicables par la loi. L'application et le respect de ces principes se font principalement par l'autorégulation. La FTC a, cependant, entrepris des efforts pour évaluer les pratiques d'autorégulation de l'industrie, fournit des conseils à l'industrie dans le développement de pratiques d'information et utilise son autorité en vertu de la FTC Act pour faire respecter les promesses faites par les entreprises dans leurs politiques de confidentialité.

Étant donné que les initiatives d'autorégulation ne permettent pas une mise en œuvre idéale des principes (le rapport FTC de 2000 notait, par exemple, que les initiatives d'autorégulation manquaient de politiques et de pratiques de surveillance et d'application significatives), la Commission recommande au Congrès des États-Unis d' adopter une législation qui conjointement avec des programmes d'autorégulation continus, assurera une protection adéquate de la vie privée des consommateurs en ligne. "La législation recommandée par la Commission établirait un niveau de base de protection de la vie privée pour les sites Web commerciaux destinés aux consommateurs" et "établirait des normes de pratique de base pour la collecte d'informations en ligne ... sites Web commerciaux destinés aux consommateurs qui collectent des données personnelles l'identification des informations provenant ou concernant les consommateurs en ligne ... serait nécessaire pour se conformer aux quatre pratiques d'information équitables largement acceptées. "

Les principes, cependant, forment la base de nombreuses lois individuelles aux niveaux fédéral et étatique - appelées «approche sectorielle». Les exemples sont la Fair Credit Reporting Act , la Right to Financial Privacy Act , la Electronic Communications Privacy Act , la Video Privacy Protection Act (VPPA) et la Cable Television Protection and Competition Act . En outre, les principes continuent de servir de modèle pour la protection de la vie privée dans les nouveaux domaines en développement, comme dans la conception de programmes Smart Grid.

Autres propositions concernant une `` information équitable ''

L' Organisation de coopération et de développement économiques (OCDE) et l'Union européenne , entre autres, ont adopté des approches plus globales de pratiques équitables en matière d'information. Les principes de l'OCDE fournissent des protections supplémentaires via le principe de participation individuelle où des exigences spécifiques sont imposées pour l'accès et la modification des informations personnellement collectées par l'individu et le principe de responsabilité (un responsable du traitement devrait être responsable du respect des mesures qui donnent effet aux principes énoncés ci-dessus. ).

La directive de l' Union européenne sur la protection des données est un autre modèle de protection complète de la vie privée.

Critique des principes FTC

Certains chercheurs reprochent aux FIPP d'avoir une portée moins complète que les régimes de protection de la vie privée dans d'autres pays, en particulier dans l'Union européenne et dans d'autres pays de l'OCDE. En outre, la formulation des principes par la FTC a été critiquée par rapport à ceux publiés par d'autres agences. La version 2000 des FIP de la FTC est plus courte et moins complète que les principes de protection de la vie privée publiés par le Bureau de la protection de la vie privée du Département de la sécurité intérieure en 2008, qui comprennent huit principes étroitement alignés sur les principes de l'OCDE.

Certains membres de la communauté de la protection de la vie privée critiquent les FIPP pour être trop faibles, autoriser trop d'exemptions, ne pas exiger une agence de protection de la vie privée, ne pas tenir compte des faiblesses de l'autorégulation et ne pas suivre le rythme des technologies de l'information. De nombreux experts en protection de la vie privée ont appelé à une législation omnibus sur la protection de la vie privée aux États-Unis au lieu du mélange actuel d'autorégulation et de codification sélective dans certains secteurs.

Les critiques d'un point de vue commercial préfèrent souvent limiter les FIP à des éléments réduits d'avis, de consentement et de responsabilité. Ils se plaignent que d'autres éléments sont impraticables, coûteux ou incompatibles avec les principes d'ouverture ou de liberté d'expression.

Certains commentateurs soutiennent que les consommateurs n'ont pas leur mot à dire dans le processus de consentement. Par exemple, les clients fournissent leurs informations de santé telles que leur numéro d'assurance sociale ou de carte de santé tout en prenant rendez-vous en ligne pour un examen dentaire. Les clients sont souvent invités à signer un accord stipulant qu'un «tiers peut avoir accès aux informations que vous fournissez sous certaines conditions». Les certaines conditions sont rarement spécifiées dans aucune partie de l'accord. Plus tard, le tiers peut partager les informations avec ses institutions subsidiaires. Ainsi, l'accès aux informations personnelles des clients échappe à leur contrôle.

Voir également

• Commission fédérale du commerce
• Politique de protection des informations
• Sécurité des informations
• Directive sur la protection des données

Les références

Liens externes

• Rapport de confidentialité FTC 2000
• FTC Privacy Online: Un rapport au Congrès
• Pratiques équitables en matière d'information de l'OCDE
• Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données à caractère personnel
• Le Privacy Act de 1974 , 5 USC   § 552a .