Quelles sont les lois relatives à Internet et à la sécurité des données ?

Qu'est-ce que le droit d’Internet ?

Le droit d’Internet – appelé parfois droit du cyberespace – fait référence aux principes juridiques et aux réglementations qui régissent l’utilisation d’Internet. Les lois relatives à Internet ne sont pas toujours simples et claires, car :

• Internet est relativement nouveau et continue d’évoluer, ce qui signifie que le cadre légal a parfois du mal à suivre.
• Souvent, les lois relatives à Internet comprennent et appliquent des principes de différents domaines juridiques – comme les lois sur la protection de la vie privée ou le droit des contrats – qui sont antérieurs à Internet et peuvent être ouverts à l’interprétation.
• Il n’y a aucune loi qui régisse la vie privée en ligne. Au lieu de cela, un patchwork de lois fédérales et étatiques s’applique. Par ailleurs, différentes juridictions dans le monde peuvent avoir différentes interprétations sur la façon d’appliquer les lois relatives à la confidentialité sur Internet.

L’Union européenne possède une loi globale sur la confidentialité des données : le Règlement général sur la protection des données (RGPD). À contrario, les États-Unis n’ont pas de loi fédérale centrale sur ce sujet, mais plusieurs lois fédérales sur la protection de la vie privée à structure verticale et plusieurs lois sur la protection de la vie privée axées sur les consommateurs dans les différents États. Voici une présentation des principales lois sur la sécurité Internet que vous devriez connaître :

Loi américaine sur la vie privée de 1974

Même si elle est antérieure à Internet, la loi américaine sur la vie privée de 1974 (Privacy Act of 1974) a sans doute été la matrice de beaucoup de lois sur les données et la confidentialité sur Internet aux États-Unis. Cette loi a été adoptée en raison de la quantité de données personnelles détenues dans les bases de données informatiques par les agences gouvernementales américaines. La loi couvrait :

• Le droit pour les citoyens américains d’accéder aux données détenues par les agences gouvernementales et d’obtenir une copie de ces données.
• Le droit des citoyens de corriger toute erreur dans les informations.
• La nécessité pour les agences de collecter uniquement le minimum d’informations pertinentes et nécessaires pour accomplir leurs tâches.
• La restriction de l'accès aux données sur la base du « besoin de savoir ».
• La restriction du partage d’informations entre agences fédérales (et non fédérales), c’est-à-dire l’autorisation de ce partage sous certaines conditions seulement.

Cependant, l’invention d’Internet a modifié la définition de la confidentialité, par conséquent, la promulgation de nouvelles lois sur la sécurité des données, dans le cadre de communications électroniques, est devenue une nécessité.

Loi sur la commission fédérale du commerce de 1914

La loi sur la commission fédérale du commerce (Federal Trade Commission Act) de 1914 a abouti à la création de la commission fédérale américaine du commerce et a été conçue pour lutter contre la concurrence et les pratiques déloyales qui nuisent au commerce.

Aujourd’hui, même si la commission ne décide pas explicitement quelles informations doivent être incluses dans les politiques de confidentialité des sites Web, elle se sert de son autorité pour élaborer des réglementations, faire appliquer les lois sur la vie privée et protéger les consommateurs. Par exemple, la commission peut agir contre les organisations qui :

• Ne respectent pas une politique de confidentialité publiée.
• Transfèrent des informations personnelles d’une manière qui n’est pas clairement mentionnée dans une politique de confidentialité.
• Communiquent des déclarations erronées sur la sécurité et la vie privée aux consommateurs ou dans des politiques de confidentialité. 
• N’appliquent pas et ne maintiennent pas des mesures de protection raisonnables des données.
• Ne respectent pas les principes d'autorégulation qui s’appliquent dans leur secteur d’activité.

La commission joue un rôle dans la réglementation d’Internet, notamment parce qu’elle examine les déclarations trompeuses des compagnies leaders de la tech et des réseaux sociaux sur la confidentialité des données des consommateurs qu’elles collectent. La commission a par exemple étudié des plaintes contre Facebook pour son utilisation des données de clients.

Loi sur la protection de la vie privée en ligne des enfants

La loi de 1998 sur la protection de la vie privée en ligne des enfants – aussi connue sous le nom de COPPA (Children’s Online Privacy Protection Act) – est une loi fédérale américaine. Son but est de permettre aux parents de contrôler quelles informations sont collectées auprès de leurs enfants en ligne. Le COPPA s’applique aux opérateurs de sites Web commerciaux et de services en ligne (notamment les applications mobiles et les dispositifs de l'Internet des objets) adressés aux enfants de moins de 13 ans, qui collectent des informations auprès de ces enfants.

Voici certaines des exigences principales du COPPA :

• Avant de collecter des informations auprès d’enfants de moins de 13 ans, les sites Web, applications et outils en ligne destinés à ce public doivent préalablement donner un avertissement et obtenir l’autorisation des parents.
• Ils doivent comprendre une politique de confidentialité claire et exhaustive.
• Ils doivent garder les informations obtenues auprès d’enfants en sécurité.

Même si la loi est apparue aux débuts d’Internet, elle est devenue particulièrement pertinente à l’ère des réseaux sociaux et des publicités programmatiques. Une des questions essentielles que l’on peut se poser avec le COPPA, c’est dans quelle mesure un site est « adressé » à des enfants de moins de 13 ans. Aux États-Unis, la commission fédérale du commerce évalue les sites en fonction de plusieurs critères, notamment :

• Le sujet
• Le contenu
• L’utilisation de personnages animés
• L’utilisation d’activités ou d’incitations orientées vers les enfants
• L’âge des modèles
• La présence d’enfants célèbres ou de célébrités appréciées des enfants
• La publicité sur le site adressée à des enfants

Certains sites Web ou services filtrent leurs utilisateurs en fonction de leur âge. Ils ne sont donc pas soumis aux règles du COPPA. Par exemple, beaucoup de réseaux sociaux, dont le business model repose sur la collecte et la monétisation des données de leurs utilisateurs, fixent à 13 ans l’âge minimum pour s’inscrire sur leur site.

Le COPPA soulève une autre question : qu’est-ce qui constitue une « collecte d’informations personnelles » ? La collecte de noms, d’adresses et de photos tombe dans cette catégorie. Tout comme les publicités comportementales, même si cela paraît moins évident. En effet, ces publicités suivent le comportement de l’utilisateur à travers plusieurs sites et applications. Ce qui constitue donc une collecte d’informations personnelles au sens du COPPA. Si un site Web s’adresse à des enfants, son propriétaire sera responsable des publicités qui y sont diffusées par un tiers. Comme les publicités comportementales constituent une grande part de l’écosystème d’Internet, les implications pour les sites Web destinés aux enfants sont considérables.

Loi sur la protection de la vie privée des consommateurs californiens

La loi sur la protection de la vie privée des consommateurs californiens ou CCPA (California Consumer Privacy Act) a été promulguée en 2018. Son objectif était de traiter la question de la protection de la vie privée des consommateurs pour les résidents californiens en étendant la protection de la vie privée des consommateurs à Internet. Le CCPA est considéré comme la loi la plus complète sur la confidentialité des données sur Internet aux États-Unis, sans équivalent au niveau fédéral.

Comme le RGPD de l’UE, il donne aux consommateurs le droit d’accéder à leurs données, ainsi que le droit de les supprimer et de s’opposer à leur traitement à tout moment. Mais contrairement au RGPD, le CCPA n’accorde pas au consommateur le droit de corriger leurs données personnelles si elles sont incorrectes. Le RGPD requiert aussi le consentement explicite du consommateur au moment de transmettre ses données, alors que le CCPA indique seulement qu’une note sur la confidentialité doit être disponible sur les sites Web, pour informer les consommateurs qu’ils ont le droit de refuser la collecte de certaines données. Le CCPA précise également que :

• Les consommateurs ont le droit de demander un accès à leurs données.
• Les entreprises ne peuvent pas vendre les informations personnelles des consommateurs sans fournir une notification Web et leur donner la possibilité de s’y opposer.
• Les consommateurs ont un droit d’action limité pour entamer des poursuites judiciaires, au cas où ils seraient victimes d’une violation des données.
• Le procureur général d’État est mieux habilité pour poursuivre les entreprises pour le compte des résidents.

La définition des informations personnelles par le CCPA est extensive : « informations qui identifient, concernent, décrivent, peuvent être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier ». Il s’agit d’une interprétation large, semblable à celle du RGPD.

Règlement général sur la protection des données

Le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018. Il s’agit d'un cadre juridique qui fixe des lignes directrices pour la collecte et le traitement des données personnelles des individus vivant en Union européenne. LE RGPD s’applique, peu importe où est-ce que le site Web est situé. Ce qui signifie qu’il doit être respecté par tous les sites qui attirent des visiteurs européens. Le RGPD est considéré comme l’une des lois les plus strictes en matière de sécurité des données dans le monde.

Le RGPD stipule que les sites Web doivent indiquer à leurs utilisateurs quelles sont les données qu’ils collectent et les utilisateurs doivent donner leur consentement explicite à cette collecte. C’est pourquoi une pop-up s’affiche sur de nombreux sites Web pour demander aux visiteurs d’autoriser l’utilisation de cookies, c’est-à-dire de petits fichiers contenant des informations personnelles comme les paramètres et préférences sur un site.

Voici quelques grandes lignes du RGPD :

• Les consommateurs ont le droit de savoir comment leurs données sont collectées et utilisées.
• Les consommateurs peuvent demander aux sites Web quelles informations ont été collectées sur eux, sans avoir à payer de frais.
• Si leurs données contiennent des erreurs, les consommateurs peuvent demander à ce qu’elles soient corrigées.
• Les consommateurs peuvent demander la suppression de leurs données détenues par un site.
• Les consommateurs ont le droit de refuser le traitement de leurs données, notamment à des fins marketing.
• Les sites doivent prévenir leurs utilisateurs en cas de mise en péril ou de violation de leurs données.

La Commission européenne explique ce qu’est en détail le RGPD sur son site officiel. Il y a eu quelques condamnations pour non-respect du RGPD qui ont marqué les esprits. Notamment celle de Google, condamné à verser 57 millions de dollars, en raison d’une dissimulation d’informations importantes aux utilisateurs de nouveaux téléphones Android, qui ne savaient pas quelles politiques de collecte de données ils acceptaient au moment de la configuration de leur appareil. British Airways a également été condamné à une amende de 28 millions de dollars lorsque les données de réservation de 500 000 clients ont été dérobées.

Loi sur la portabilité et la responsabilité en assurance santé

La loi de 1996 sur la portabilité et la responsabilité en assurance santé – HIPAA (Health Insurance Portability and Accountability Act) – est une loi fédérale américaine qui porte sur la réglementation de l’assurance maladie, avec un volet sur la sécurité et la confidentialité des données. Elle vise à empêcher les prestataires de soin, les entreprises dans le domaine de la santé, ainsi que les personnes travaillant avec eux de divulguer les informations de santé des clients/patients sans leur autorisation.

Quand on parle du HIPAA, on fait généralement référence à la règle de confidentialité (Privacy Rule) ajoutée en 2003. Cette règle a en partie été introduite parce que le Congrès des États-Unis avait reconnu qu’Internet augmentait le risque de violation des données de santé. La règle de confidentialité du HIPAA donne aux personnes le droit de contrôler la divulgation de leurs informations de santé, pour qu’elles puissent dire à leur médecin quelles informations il peut partager.

Toutefois, le HIPAA protège uniquement les informations de santé détenues par des professionnels de santé spécifiques. Par exemple, les données de santé sur votre moniteur d’activité physique ne sont généralement pas couvertes par le HIPAA. De même que les données génétiques que vous communiquez sur des sites comme Ancestry.com. D'autres lois ou accords, comme les déclarations de confidentialité requises sur de nombreuses applications, peuvent protéger ces informations, mais pas le HIPAA.

Loi Gramm-Leach-Bliley

La loi Gramm-Leach-Bliley (GLBA : Gramm-Leach-Bliley Act), connue aussi comme la loi de 1999 sur la modernisation des services financiers (Financial Services Modernization Act), est une loi bancaire et financière, qui comprend des dispositions sur la confidentialité et la protection des données. Cette protection des informations confidentielles repose sur de précédentes lois sur la confidentialité des données financières, comme le Fair Credit Reporting Act (FCRA).

En somme, le GLBA protège les informations personnelles non publiques, définies comme « toute information collectée sur un individu en lien avec la fourniture d’un produit ou service financier, sauf si cette information est publiquement disponible ». Les informations « publiquement disponibles » peuvent désigner les registres de propriété ou certaines informations relatives à une hypothèque dans le domaine public.

La règle de protection (Safeguards Rule) du GLBA demande aux responsables de la collecte des données de protéger les informations personnelles et de créer des systèmes de protection des données d’envergure appropriée. En d’autres termes, les grandes banques nationales ont besoin de protections plus sophistiquées que celles d’une simple banque coopérative de quartier, par exemple.

La règle exige un test régulier des vulnérabilités du système de protection. Elle exige également que les institutions mettent en place des mesures de sécurité dans leurs opérations quotidiennes : vérification des antécédents des employés ou établissement de plans d’action en cas de tentative de violation des données.

Le GLBA interdit le pretexting. Ce terme désigne un accès inapproprié à des informations non publiques. Il est souvent associé à des hacks d’ingénierie sociale, comme par exemple une personne qui se ferait passer pour un manager ou un agent des forces de l’ordre afin d’obtenir des informations. Les tentatives de phishing, qui consistent parfois à créer un faux site Web pour tromper les gens et les inciter à divulguer des informations confidentielles sont un autre exemple de pretexting. Le GLBA exige des institutions financières qu’elles mettent en place des mesures afin de prévenir ce genre d’imposture dans le cadre de leurs plans de sécurité.

Lois relatives à la confidentialité sur Internet : Conclusion

La législation sur la protection et la confidentialité des données en ligne est différente d’un pays à l’autre. Le Brésil a la Lei Geral de Proteção de Dados (LGPD) tandis que le Canada a le Consumer Privacy Protection Act (CPPA), deux lois très similaires, dans leur portée, au RGPD de l’UE ou au CPPA de Californie.

Aux États-Unis, il n’existe pas de loi fédérale exhaustive qui régisse la confidentialité des données. La réglementation d'Internet est un patchwork complexe de lois spécifiques à un secteur ou à un média, avec des lois et règlements concernant les télécommunications, les informations sur la santé, les informations sur les crédits, les institutions financières et le marketing. 

L’une des meilleures façons de protéger la vie privée et les données en ligne est d’utiliser une solution antivirus complète. Une solution comme Kaspersky Total Security permet de bloquer les menaces courantes et complexes telles que les virus, les malwares, les ransomwares, les applications d’espionnage et toutes les dernières techniques de piratage.

Articles connexes :

• Qu'est-ce que la confidentialité des données ? Comment vous protéger
• Qu’est-ce que la sécurité Internet ? Comment vous protéger en ligne
• Comment protéger votre vie privée en ligne à l'heure où les usages professionnels et personnels convergent
• Comment cacher votre adresse IP