Collecte de données à caractère personnel

Un article de Wikipédia, l'encyclopédie libre.
Une proposition de fusion est en cours entre collecte de données à caractère personnel et Données personnelles.

Les avis sur cette proposition sont rassemblés dans une section de Wikipédia:Pages à fusionner. Les modifications majeures apportées, entre temps, aux articles doivent être commentées sur la même page.


La collecte de données à caractère personnel est la pratique consistant à rassembler les données personnelles (DCP) publiques et privées, avec lesquelles on peut identifier un individu pour des applications légales et illégales[1]. Les propriétaires de données d'identification personnelles voient leur collecte comme une menace et une violation de leur vie privée. Par contre, les entités comme les sociétés d’informatique, les gouvernements, et autres organisations utilisent les DCP pour analyser les données du comportement en faisant les courses, des préférences politiques et des intérêts personnels[2].

Avec le progrès en informatique, il est plus facile d’accéder à ces données et les partager. L’usage des smartphones et réseaux sociaux ont contribué à l’usage répandu de la collecte de DCP. Les DCP sont recueillies partout et tout le temps. La diffusion de DCP rend la collecte de DCP un sujet de société sérieusement débattu[3].

Des collectes illégales de données personnelles par des sociétés de recueil de données, comme Cambridge Analytica sur Facebook de plus de 87 millions d'utilisateurs, a provoqué des préoccupations croissantes concernant la violation de la vie privée et des appels à des lois sur la protection des données qui soient plus complètes. Les violations de la sécurité à Equifax, Target, Yahoo!, Home Depot, et au Bureau de la Gestion du Personnel aux États-Unis (en) ont affecté les données personnelles et financières de millions d'Américains, avec les appels à augmenter la sécurité de la technologie d’informatique et la protection de DCP par les sociétés et agences gouvernementales[4].

Définition[modifier | modifier le code]

Il n’y a pas de définition précise de la collecte de DCP. Selon l’Institut National des Unités et Technologie (INUT) aux États-Unis, la définition des DCP est[5] :

  1. n’importe quelle information avec laquelle on peut distinguer ou trouver l’identité d’un individu, comme le nom, numéro de sécurité sociale, date et lieu de naissance, nom de jeune fille, ou données biométriques ;
  2. n’importe quelle autre information qui est liée ou liable à un individu, comme les données médicales, scolaires, financières, et l’information des travaux.

La collecte de DCP est n’importe quelle activité qui rassemble, ordonne, manipule, analyse, échange, ou partage des données répondant à ces critères.

Collectionneurs[modifier | modifier le code]

Gouvernements[modifier | modifier le code]

Les gouvernements ramassent publiquement les DCP en échange des prestations sociales et juridiques, comme améliorer les services sociaux et remplir les obligations juridiques[6],[7].

Selon le type de gouvernement de pays, démocratique, autoritaire ou totalitaire, la collecte de DCP est menée en utilisant des méthodes différentes. De toutes façons, les buts de la collecte des DCP sont similaires, comme en témoignent les exemples suivants.[8]

États-Unis[modifier | modifier le code]

Aux États-Unis, les DCP sont ramassées par les demandes pour l’aide, papiers de la propriété, déclaration d’impôts, papiers pour certains services, demandes pour permis de conduire, travail par le gouvernement, licences professionnelles, et autres remises volontaires et obligatoires d’information. Les DCP sont gardées, accédées, et partagées entre les niveaux différents du gouvernement, départements, agences, organisations non gouvernementale, et le public[9]. Par exemple, un acheteur d’une maison peut chercher si un agent immobilier est licencié. Le gouvernement collecte les DCP pour la prévention de la criminalité et la sécurité nationale. Beaucoup de programmes sont polémiques parmi le public. Par exemple, l’Agence de Sécurité Nationale (ASN) ramasse et analyse les DCP, y compris les appel téléphoniques, les emails, et les interactions sur réseaux sociaux, de beaucoup de gens pour découvrir les menaces possibles.[10]

Chine[modifier | modifier le code]

Le gouvernement a fait les données massives une grande partie de sa stratégie. Le but est un gouvernement plus efficace et franc en utilisant l’informatique. Le gouvernement a appliqué un des plus avancé réseaux de surveillance du monde, appelé “Skynet(天网监控系统)”. Le système adopte l’intelligence artificielle, y compris la reconnaissance faciale. 20 millions caméras étaient installés pour surveiller presque chaque lieu public dans le pays.[11] La protection des DCP concerne sur les collectes des DCP par le secteur privé. Il n’y avait aucune discussion ou projet sur limiter l’implication du gouvernement en ramassant et analysant les DCP.[12]

Finlande[modifier | modifier le code]

Même dans les démocraties de l’ouest, les contraintes sur la collecte de DCP sont diverses. Les pays en Union européenne adoptent les règles plus strictes que les États-Unis.[13] De même, les données personnelles sont protégées par les règles et lois exhaustives. La Loi des Données Personnelles en 1999 était la règle principale de l’intimité aux côtés de la Directive de la Protection des Données de l'Union européenne en 1995. Autres règles en Finlande comprennent la Loi sur la Protection d’Intimité dans les Communications Électroniques, la Loi sur la Protection d’Intimité dans le Travail, et la Loi sur la Transparence des Activités Gouvernementales. La Loi des Données Personnelles était remplacée par la Règle Générale de la Protection des Données (RGPD) qui a fait effet en mai 2018. L’application des règles sur l’intimité étaient devenues plus strictes récemment après une décision de la Cour Européenne des Droits de l’Homme qui déclare qu’un hôpital finlandais n’arrivent pas à protéger les données personnelles.[14]

Sociétés[modifier | modifier le code]

Avec la croissance et le développement rapide de la technologie mobile et d’Internet, les sociétés privés peuvent ramasser les données personnelles plus rapidement et efficacement que jamais. Les sociétés ramassent des DCP en gardant les informations sur le profil quand les utilisateurs s’inscrivent sur un nouveau compte, suivant leurs emplacements et leurs stockages locaux, et utilisant les cookies et autres identifiants anonymes[15].

Les courtiers en information (en), aussi connus comme courtiers en données, sont les marchands principaux qui ramassent, transforment, combinent, et vendent les données personnelles[16]. Ils ramassent les DCP de ces ressources: 1) Dossiers gouvernementaux, par ex. données de registration, archive de criminalité. 2) Sources publiques, y compris les réseaux sociaux, blogs, et sites web. Par exemple, les utilisateurs de Facebook postent souvent leurs information privée et sites Web préférés. Car les utilisateurs doivent s’inscrire avec leur identités vraies, le courtier en données peut garder et analyser la personnalité et les préférences de l’individu[17]. 3) Sociétés et services autorisés volontairement ou à l’insu des utilisateurs à accéder leur profils. De même, les sites web demande souvent des DCP pendant l’inscription d’un compte. Le site web informera l’utilisateur des bénéfices de garder les données, comme le stockage des mots de passe et les publicités plus personnalisées. Cependant, ces sociétés vendraient des DCP aux courtiers en données, souvent sans l’accord des utilisateurs[18]. Un exemple est le piratage informatique de Facebook et Cambridge Analytica. Cambridge Analytica a retrouvé des traits de personnalité des activités des électeurs possibles sur Facebook, comme leur “likes” et emplacements, et a utilisé ces données personnelles pour prédire leurs voix. Cambridge Analytica a acquéri des DCP de plus de 87 millions utilisateurs. Juste environ 270,000 était en accord avec l’usage théorique de leurs données, alors que toutes les autres DCP étaient récoltées illégalement par Cambridge Analytica[19],[20].

Hackers[modifier | modifier le code]

Les hackers sont des individus ou des organisations qui ramassent illégalement des DCP. Ils ont primairement des intérêts financiers, mais parfois politiques, comme le hacking de Sony par les hackers nord-coréens. Les hackers de la Corée du Nord ont attaqué Sony Pictures Entertainment en rétorsion pour la sortie prévue de L'Interview qui tue !, un film sur l’assassinat fictif du chef nord-coréen Kim Jong-Un. L’incident a donné lieu à la sortie des numéros de sécurité sociale et dossiers financiers et médicaux des employés de Sony[21]. Les hackers utilisent les virus, portes dérobéeslogiciel espion, ingénierie sociale, ou autres méthodes pour voler et ramasser les DCP des individus, sociétés, gouvernements, et autres organisations. Par exemple, des DCP de millions d'Américains ont été volées pendant le hacking d’Equifax, une des plus grandes sociétés de crédit du monde[22].

Lois Reliés[modifier | modifier le code]

La collecte de DCP, à laquelle les défenseurs de la vie privée sont souvent opposés, est souvent associée avec la violation de la vie privée. Les pays démocratiques comme les États-Unis et ceux de l’Union européenne ont les lois les plus développées contre la collecte de DCP. Les lois de l'UE sont plus complètes et uniformes. Aux USA, la protection fédérale des données est abordée par secteur[23]. Les pays autoritaires et les pays totalitaires manquent souvent de protection contre la collecte de DCP pour ses citoyens. Par exemple, les citoyens chinois ont une protection contre les sociétés privées mais pas contre le gouvernement[24].

Union Européenne[modifier | modifier le code]

La RGPD a fait effet en 25 mai 2018 et offre une protection de la vie privée complète et constante dans tous secteurs. La règle s’applique à toutes les sociétés et agences gouvernementales dans les pays de l’Union européenne, et toutes les sociétés et organisations étrangères qui offrent leurs services en Europe. La violation de la RGPD peut donner lieu à des amendes allant jusqu’à 4% des revenus annuels mondiaux de la société. Les sociétés et agences gouvernementales sont requises d’obtenir un accord pour la transformation des données, rendre anonymes les données recueillies, fournir des notifications rapides sur les violations des données, bien transférer les données à travers les frontières, et nommer un agent de protection des données.[25]

États-Unis[modifier | modifier le code]

Section 5 de la Loi de la Commission Fédérale de Commerce exige des sociétés qu’elles protègent les DCP ramassées[26]. Une société aux États-Unis ne doit pas avoir une politique de confidentialité, mais elle doit la respecter si elle une politique de confidentialité. La société ne peut pas changer sa politique sans offrir aux utilisateurs une opportunité de se désengager`. La CFC a imposé une amende de $100 million sur LifeLock pour leur manque de protection des DCP, comme des numéros de sécurité sociale, références de carte de crédit, et numéros de comptes bancaires, et la violation d’un décision de justice de 2010[27].

La CFC utilise aussi la Principe des Publicités Comportementales en fournissant des règles pour les opérateurs des sites web sur les méthodes de collecte des données, suivi des activités, et mécanisme de désinscription. Elle demande que l’opérateur obtienne accord formel avant de ramasser et utiliser l’IPP sensible comme les numéros de sécurité sociale, les données financières et médicales, et les données des mineurs. La Principe des Publicités Comportementales demande aussi la sécurité raisonnable pour protéger les données personnelles et une durée limitée de conservation des données, mais aussi longtemps que nécessaire pour remplir un besoin légitime de commerce ou police. La principe est autorégulatrice est destiné à encourager plus de discussion et développement par toutes les parties intéressées.[28]

Soucis[modifier | modifier le code]

La collecte des DCP est généralement vue par le public comme une violation de la vie privée. Un souci considérable est que la collecte de DCP permette la classification des individus, qui mène à la discrimination et la perte de la liberté des individus et groupes.[29]. Les autres risques perçus comprennent: “(1) le risque financier qui est le risque associé avec la perte financière potentielle, (2) le risque social qui est le risque associé avec les menaces à l’amour-propre, réputation, et/ou les perceptions des autres d’un individu, (3) le risque physique qui est le risque associé avec la blessure corporelle, et (4) le risque psychologique qui est le risque associé avec des émotions négatives potentielles comme l’angoisse, le désarroi, et/ou les conflits d’image de soi.”[30]

Un sondage de Gallup en 2018 a indiqué que plus de gens sont soucieux de la violation de la vie privée et la collecte des données après la révélation que les données personnelles des utilisateurs de Facebook étaient ramassées et partagées avec Cambridge Analytica sans leur accord. Le sondage a montré que 43% des utilisateurs de Facebook étaient “très soucieux” par rapport à 30% en 2011, avec des réponses similaires par des utilisateurs de Google[31]. Il y a des soucis croissants que les données personnelles sont ramassées, même si les utilisateurs ne sont pas connectés ou en train d’utiliser les services, pour les services des publicités ciblées.[32] Aux États Unis, à cause des soucis sur la collecte et l'usage non autorisé des données, beaucoup d' utilisateurs de Facebook ont arrêté de l’utiliser ou se sont déplacés à une autre plateforme des médias sociaux, avec des demandes croissantes pour les règlements forts sur la protection de la vie privée par le gouvernement, y compris la possibilité de se désengager complètement de la collecte des données.[33]


Notes et références[modifier | modifier le code]

  1. (en) Mark T. Andrus, Journal of internet law., Aspen, (ISSN 1094-2904, OCLC 818944879, lire en ligne), p. 1-27
  2. «Transacting in data: tax, privacy, and the new economy: Start Your Search!», sur Eds.b.ebscohost.com.
  3. (en) Xiao Bai Li et Luvai F. Motiwalla, « Unveiling consumers' privacy paradox behaviour in an economic exchange », International Journal of Business Information Systems, vol. 23, no 3,‎ , p. 307 (ISSN 1746-0972 et 1746-0980, PMID 27708687, PMCID PMC5046831, DOI 10.1504/ijbis.2016.10000351, lire en ligne, consulté le 21 novembre 2020)
  4. « Cybersecurity Incidents », sur U.S. Office of Personnel Management (consulté le 21 novembre 2020)
  5. (en) George R. Milne, George Pettinico, Fatima M. Hajjat et Ereni Markos, « Information Sensitivity Typology: Mapping the Degree and Type of Risk Consumers Perceive in Personal Data Sharing », Journal of Consumer Affairs, vol. 51, no 1,‎ , p. 133–161 (ISSN 1745-6606, DOI 10.1111/joca.12111, lire en ligne, consulté le 21 novembre 2020)
  6. (en) Lawrence Cappello, « Big Iron and the Small Government: On the History of Data Collection and Privacy in the United States », Journal of Policy History, vol. 29, no 1,‎ , p. 177–196 (ISSN 0898-0306 et 1528-4190, DOI 10.1017/S0898030616000397, lire en ligne, consulté le 21 novembre 2020)
  7. Young Min Baek, Young Bae, Irkwon Jeong et Eunmee Kim, « Changing the default setting for information privacy protection: What and whose personal information can be better protected? », The Social Science Journal, vol. 51, no 4,‎ , p. 523–533 (ISSN 0362-3319, DOI 10.1016/j.soscij.2014.07.002, lire en ligne, consulté le 21 novembre 2020)
  8. (en) Xiao Bai Li et Luvai F. Motiwalla, « Unveiling consumers' privacy paradox behaviour in an economic exchange », International Journal of Business Information Systems, vol. 23, no 3,‎ , p. 307 (ISSN 1746-0972 et 1746-0980, PMID 27708687, PMCID PMC5046831, DOI 10.1504/ijbis.2016.10000351, lire en ligne, consulté le 21 novembre 2020)
  9. (en) Lawrence Cappello, « Big Iron and the Small Government: On the History of Data Collection and Privacy in the United States », Journal of Policy History, vol. 29, no 1,‎ , p. 177–196 (ISSN 0898-0306 et 1528-4190, DOI 10.1017/S0898030616000397, lire en ligne, consulté le 21 novembre 2020)
  10. (en) Isaac Taylor, « Data collection, counterterrorism and the right to privacy: », Politics, Philosophy & Economics,‎ (DOI 10.1177/1470594X17715249, lire en ligne, consulté le 21 novembre 2020)
  11. (en) Rebecca Taylor, « China installs 20million cameras in 'world's most advanced surveillance system' », sur mirror, (consulté le 21 novembre 2020)
  12. (en) Jinghan Zeng, « China's date with big data: will it strengthen or threaten authoritarian rule? », International Affairs, vol. 92, no 6,‎ , p. 1443–1462 (ISSN 0020-5850, DOI 10.1111/1468-2346.12750, lire en ligne, consulté le 21 novembre 2020)
  13. (en) Colin J. Bennett, « Voter databases, micro-targeting, and data protection law: can political parties campaign in Europe as they do in North America? », International Data Privacy Law, vol. 6, no 4,‎ , p. 261–275 (ISSN 2044-3994, DOI 10.1093/idpl/ipw021, lire en ligne, consulté le 21 novembre 2020)
  14. (en) Tomi Mikkonen, « Perceptions of controllers on EU data protection reform: A Finnish perspective », Computer Law & Security Review, vol. 30, no 2,‎ , p. 190–195 (ISSN 0267-3649, DOI 10.1016/j.clsr.2014.01.011, lire en ligne, consulté le 21 novembre 2020)
  15. «Transacting in data: tax, privacy, and the new economy: Start Your Search!», sur Eds.b.ebscohost.com.
  16. «Pursuing consumer empowerment in the age of big data: A comprehensive regul...: Start Your Search!», sur Eds.b.ebscohost.com.
  17. (en) Privacy considerations of online behavioural tracking, European Union Agency for Network and Information Security, (lire en ligne).
  18. (en) Eugene E. Hutchinson, KEEPING YOUR PERSONAL INFORMATION PERSONAL: TROUBLE FOR THE MODERN CONSUMER, Hofstra Law Review, (lire en ligne)
  19. (en-GB) Olivia Solon, « Facebook says Cambridge Analytica may have gained 37m more users' data », The Guardian,‎ (ISSN 0261-3077, lire en ligne, consulté le 21 novembre 2020)
  20. (en) Roberto J. González, « Hacking the citizenry?: Personality profiling, ‘big data’ and the election of Donald Trump », Anthropology Today, vol. 33, no 3,‎ , p. 9–12 (ISSN 1467-8322, DOI 10.1111/1467-8322.12348, lire en ligne, consulté le 21 novembre 2020)
  21. «North Korea and the Sony Hack: Exporting Instability Through Cyberspace.: Start Your Search!», sur Eds.b.ebscohost.com.
  22. «Cybersecurity, insurance execs see opportunity in Equifax data breach: Start Your Search!», sur Eds.b.ebscohost.com.
  23. (en) « A Comparison Between US and EU Data Protection Legislation for Law Enforcement Purposes - Think Tank », sur www.europarl.europa.eu (consulté le 21 novembre 2020)
  24. (en) Jinghan Zeng, « China's date with big data: will it strengthen or threaten authoritarian rule? », International Affairs, vol. 92, no 6,‎ , p. 1443–1462 (ISSN 0020-5850, DOI 10.1111/1468-2346.12750, lire en ligne, consulté le 21 novembre 2020)
  25. (en) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), (lire en ligne)
  26. (en) « Privacy & Data Security Update (2016) », sur Federal Trade Commission, (consulté le 21 novembre 2020)
  27. (en) « LifeLock to Pay $100 Million to Consumers to Settle FTC Charges it Violated 2010 Order », sur Federal Trade Commission, (consulté le 21 novembre 2020)
  28. (en) « Online Behavioral Advertising: Moving the Discussion Forward to Possible Self-Regulatory Principles: Statement of the Bureau of Consumer Protection Proposing Governing Principles For Online Behavioral Advertising and Requesting Comment », sur Federal Trade Commission, (consulté le 21 novembre 2020)
  29. «Not without my consent: preserving individual liberty, in light of the comp...: Start Your Search!». sur Eds.b.ebscohost.com.
  30. (en) George R. Milne, George Pettinico, Fatima M. Hajjat et Ereni Markos, « Information Sensitivity Typology: Mapping the Degree and Type of Risk Consumers Perceive in Personal Data Sharing », Journal of Consumer Affairs, vol. 51, no 1,‎ , p. 133–161 (ISSN 1745-6606, DOI 10.1111/joca.12111, lire en ligne, consulté le 21 novembre 2020)
  31. (en) Gallup Inc, « Facebook Users' Privacy Concerns Up Since 2011 », sur Gallup.com, (consulté le 21 novembre 2020)
  32. (en) Carl Velasco, « Here’s How Facebook Collects Your Data Even When You Never Use It », sur Tech Times, (consulté le 21 novembre 2020)
  33. (en) « The Spotlight's on Facebook, but Google Is Also in the Privacy Hot Seat », sur NDTV Gadgets 360 (consulté le 21 novembre 2020)