Si les récents scandales en matière de protection de la vie privée nous ont appris quelque chose, c'est que les industries qui dépendent de la monétisation des données des utilisateurs ont peu ou pas de procédures d'application en place pour prévenir des abus de ces données. Ils ne risquent pas non plus de sanctions substantielles pour de tels abus.
L'exemple le plus récent provient d'un important rapport de Motherboard concernant la manière dont les entreprises de télécommunications revendent les données de localisation des utilisateurs. La version abrégée est que des personnes sans scrupules ayant accès à des données de localisation de télécommunications très prisées revendent cet accès à d'autres personnes non autorisées, telles que des chasseurs de primes. Pour seulement 300 $, Motherboard a pu géolocaliser le téléphone d'une cible.
C'est le même concept de base qui a été au cœur du scandale de Cambridge Analytica dans lequel Facebook a été balayé l'an dernier : les données acquises d'utilisateurs consentants sont revendues à d'autres parties sans que les utilisateurs le sachent. Sauf que dans l'exemple récent de Motherboard, les répercussions sur la vie privée sont encore pires. Les entreprises de télécommunications triangulent constamment votre position afin de savoir comment acheminer les signaux vers votre appareil. Si Facebook est l'Œil de Sauron, alors votre fournisseur de services de téléphonie cellulaire est comme... Je sais pas, une centaine d'yeux de Sauron ? (Je n'ai pas vu Le Seigneur des Anneaux depuis sa sortie en salles.) Ils ont constamment votre position et, lorsque vous n'êtes pas sur Wi-Fi, ils acheminent toutes les données vers et depuis votre appareil.
En plus des frais que vous payez chaque mois à votre fournisseur de téléphonie mobile, les compagnies de téléphone cellulaire vendent aussi l'accès à vos données personnelles, et elles ont peu de recours pour mettre fin à ces abus. Lors de la démonstration de Motherboard, T-Mobile a vendu des données à une entreprise appelée Zumigo, qui a vendu des données à une autre entreprise, Microbilt, qui offrait l'accès à une entreprise de l'industrie du recouvrement. Il y a beaucoup de place pour les maillons faibles dans une telle chaîne.
Un autre fournisseur, AT&T, a dit à Motherboard, "L'allégation ici violerait notre contrat et notre politique de confidentialité." C'est la réponse standard quand ce genre de choses arrive : que de telles pratiques violent les politiques de service labyrinthiques que les collecteurs de données sont censés appliquer. Microbilt a vu son accès aux données de Zumigo révoqué, mais cela semble être le seul niveau de la sanction.
Il n'y a pas de réglementation gouvernementale importante sur le marché des données - rien qui exige des sanctions financières ou un dédommagement. Et ce, malgré le fait que les industries qui dépendent de vastes réserves de données agrégées ne sont manifestement pas équipées pour se surveiller elles-mêmes. Parce que les données et l'information sont une ressource réutilisable à l'infini et non une ressource physique finie, elle ne peut pas vraiment être volée, dans le sens standard du terme. L'entreprise dont les données sont utilisées à mauvais escient détient toujours ces données, ce qui rend difficile la détermination du préjudice.
En plus de ne pas avoir mis en place des mesures complètes pour faire face à ce qui se passe lorsque des entreprises sont piratées, les États-Unis n'ont pas non plus beaucoup de moyens de décourager l'utilisation abusive intentionnelle des données. Il existe néanmoins d'autres exemples de la manière de contrôler les données. Il y a des pénalités pour les délits d'initiés, par exemple. Peut-être qu'il devrait y avoir une pénalité financière pour ce genre de mauvaise gestion, au lieu de simplement permettre aux entreprises privées de se donner des tapes sur les doigts les unes aux autres.
sauce :
http://nymag.com/intelligencer/2019/01/report-demonstrates-how-easy-it-is-to-buy-location-data.html