Ce que l'EO du courtier de données de Biden signifie pour votre entreprise
Table des matières:
De nombreux courtiers en données sont heureux de vendre toutes sortes d’informations personnelles sur les citoyens américains. Rassemblez ces données et vous obtiendrez des renseignements terriblement détaillés sur un large éventail de personnes, des personnes physiquement vulnérables aux personnalités politiquement influentes.
Les législateurs sont de plus en plus inquiets des risques qu’un adversaire étranger achète ces données, qui pourraient aller du chantage à des dommages physiques. Le 28 février, la Maison Blanche a pris une nouvelle mesure pour atténuer la menace.
Une histoire d’inquiétude concernant les flux de données étrangers
Les Décret sur la prévention de l'accès aux données personnelles sensibles en masse des Américains et aux données liées au gouvernement des États-Unis par les pays préoccupants est la dernière d'une série de mesures prises par la Maison Blanche pour sécuriser les données personnelles des Américains.
Le 15 mai 2019, l’administration Trump a publié Sécuriser la chaîne d’approvisionnement des technologies et des services de l’information et des communications. Cet EO a déclaré une urgence nationale concernant l’utilisation de technologies étrangères d’informatique et de communication.
La Maison Blanche Biden a reconnu cette urgence le 9 juin 2021 dans un autre EO, Protéger les données sensibles des Américains contre les adversaires étrangers. Cela nécessitait une analyse des risques liés au partage des données des citoyens américains à l'étranger, ainsi que des recommandations d'action exécutive.
Le dernier EO est une réponse à cette analyse. Il exprime les craintes de l'administration que des acteurs malveillants à l'étranger puissent utiliser l'IA et d'autres technologies pour extraire de nouvelles informations à partir des données sur les citoyens américains. Il s’inquiète des données sur les citoyens, mais s’intéresse aux militaires et aux autres personnes travaillant pour le gouvernement, ainsi qu’aux groupes vulnérables, notamment les dissidents.
Le document appelle les départements gouvernementaux à protéger ces groupes via plusieurs mesures, notamment en donnant la priorité à l'examen des licences pour les câbles sous-marins de transmission de données (une question soulevée pour la première fois dans un autre EO de l'ère Trump). à partir du 4 avril 2020. La Maison Blanche espère que cette priorisation contribuera à empêcher les pays préoccupants de manipuler les titulaires de licence pour qu’ils retirent les données des réseaux.
Les chercheurs en soins de santé sont une autre cible de l’EO. Il a ordonné à divers départements du pouvoir exécutif d'édicter des règles sur la gestion des informations de santé en masse, y compris des types de données biologiques telles que la génomique.
Avertir les courtiers en données
L’EO se concentre également sur les courtiers en données.
"Les entités du secteur du courtage de données permettent aux pays concernés et aux personnes couvertes d'accéder à des données personnelles sensibles en masse et aux données liées au gouvernement des États-Unis", indique-t-il. « Ces entités présentent un risque particulier de contribuer à l'urgence nationale décrite dans cette ordonnance, car elles se livrent régulièrement à la collecte, au rassemblement, à l'évaluation et à la diffusion de données personnelles sensibles en masse et d'un sous-ensemble de données liées au gouvernement des États-Unis concernant les États-Unis. consommateurs. »
Il s'attaque à ce secteur en interdisant aux Américains de conclure des transactions impliquant des données personnelles sensibles en masse avec des ressortissants étrangers représentant des pays préoccupants. Ces données comprennent certains identifiants personnels et biométriques, ainsi que des données de géolocalisation et de capteurs associées, des données biologiques et personnelles sur la santé et des données financières personnelles. Il existe des exemptions à cette règle, notamment la fourniture d'informations pour les services financiers ou pour le respect de la réglementation.
Cependant, les entreprises classiques dont l’activité principale n’est pas la vente de données ne devraient pas s’alarmer. L'EO indique que l'ordonnance n'est pas conçue pour interdire les transactions commerciales « y compris l'échange de données financières et autres dans le cadre de la vente de biens et services commerciaux » avec ces pays. Il ne tente pas non plus de perturber les relations commerciales plus larges. Il s'agit avant tout d'accéder à des données sensibles en masse, explique le document.
La Maison Blanche s'appuiera en partie sur le Bureau de protection financière des consommateurs (CFPB) pour aider à amener les courtiers en données dans le champ d'application de la loi. Il n'existe pas de réglementation fédérale spécifique pour les courtiers en données, mais les agences d'information sur la consommation (ARC) sont réglementées par le Fair Credit Reporting Act (FCRA) de 1970.
Dans son réglementation proposée, le CFPB s'est inquiété du fait que plus d'un demi-siècle après son introduction, la définition d'une ARC dans la loi est désormais trop étroite et que certains courtiers en données traitaient des informations personnelles sensibles sans avoir à se conformer à son mandat en matière de confidentialité. Les mesures proposées incluent l'élargissement du champ d'application pour définir ces courtiers comme des agences d'évaluation, les intégrant ainsi.
La question, selon Claude Mandy, est de savoir si les courtiers en données pourront restreindre les ventes aux ressortissants étrangers. Mandy est évangéliste en chef de la sécurité des données chez Symmetry Systems, qui aide les entreprises à comprendre où se trouvent leurs données sensibles, comment elles ont été utilisées et par qui. Répondre à ces questions est plus difficile qu’il n’y paraît, prévient-il.
« Chaque fois que nous entrons dans une organisation, nous constatons les défis qu'elle rencontre pour contrôler le flux de données et comprendre de quelles données elle dispose », a-t-il déclaré à ISMS.online.
Mandy prévient également que les données sont régulièrement vendues à des tiers qui les revendent ensuite à eux-mêmes, créant ainsi une chaîne d'approvisionnement pour le moins trouble.
« Ils ne savent pas à qui il est envoyé. Ils ne savent pas qui y a accès. Et ce flux de données issus des premiers principes n'est pas abordé », dit-il. « Avec les sociétés écrans et la participation étrangère, jusqu’où pouvez-vous aller avant qu’il ne devienne intenable de trouver cette position finale ? Et c'est ce que nous leur demandons de faire avec ce décret.
Il est temps de repenser les pratiques en matière de données
Cobun Zweifel-Keegan, directeur général de l'Association internationale des professionnels de la vie privée (IAPP) à Washington DC, affirme que lorsque les agences gouvernementales finiront par créer des règles spécifiques, les courtiers en données pourraient devoir repenser leur gestion des données. Ce n’est peut-être pas une mauvaise chose, ajoute-t-il.
« Comprendre le contexte et les dommages potentiels de certains ensembles de données est un défi connu qu'une entreprise devrait déjà prendre en compte », explique-t-il à ISMS.online.
Une loi pour les lier tous ?
Entre-temps, le gouvernement fédéral continue de faire pression en faveur d’une loi fédérale plus large sur la protection de la vie privée. La dernière proposition en date est le projet de loi américaine sur les droits à la vie privée, qui permettrait aux Américains de contrôler les données que les entreprises peuvent collecter et conserver à leur sujet, et d'empêcher que leurs données soient transférées à des tiers.
En attendant que ce projet de discussion se transforme en véritable projet de loi, d’autres efforts sont déployés sur la Colline pour freiner les courtiers en données. Les législateurs ont présenté le HR 7521, le Protecting Americans from Foreign Adversary Controlled Applications Act (publié sous le nom d'interdiction de TikTok) et HR 7520, la loi de 2024 sur la protection des données des Américains contre les adversaires étrangers. Comme l'EO de février, cette dernière vise à étouffer la vente d'informations par les courtiers en données à des entités étrangères.
Alors que la Maison Blanche et la Chambre des Représentants sont désireuses de renforcer la pression sur les courtiers en données, les entreprises qui se concentrent sur la vente de données personnelles feraient bien d'examiner leurs pratiques.
"Les courtiers en données sont certainement conscients du fait que les décideurs politiques s'inquiètent des pratiques impliquant des adversaires étrangers et même de la vente de données sans entrave et dans d'autres contextes", déclare Zweifel-Keegan. « Ce n’est certainement pas le moment de vous reposer sur vos lauriers, car il ne s’agit là que d’un des nombreux objectifs politiques mouvants qui se rapprochent des pratiques des courtiers de données. »
