Le Royaume-Uni attend désormais le respect du code de conception de la confidentialité des enfants – TechCrunch


Au Royaume-Uni, un délai de grâce de 12 mois pour se conformer aux un code de conception visant à protéger les enfants en ligne expire aujourd’hui – ce qui signifie que les fabricants d’applications proposant des services numériques sur le marché qui sont « susceptibles » d’être accessibles aux enfants (définis dans ce contexte comme des utilisateurs de moins de 18 ans) doivent se conformer à un ensemble de normes destinées à protéger les enfants contre le suivi et le profilage.

Les code de conception adapté à l’âge entrée en vigueur le 2 septembre l’année dernière Cependant, l’organisme de surveillance britannique de la protection des données, l’ICO, a autorisé le délai de grâce maximal pour atteindre la conformité afin de donner aux organisations le temps d’adapter leurs services.

Mais à partir d’aujourd’hui, il s’attend à ce que les normes du code soient respectées.

Les services auxquels le code s’applique peuvent inclure des jouets et des jeux connectés et des technologies électroniques, mais également des services de vente au détail en ligne et des services en ligne à but lucratif tels que les réseaux sociaux et les plateformes de partage de vidéos qui attirent fortement les mineurs.

Parmi les stipulations du code figurent qu’un niveau de « haute confidentialité » doit être appliqué aux paramètres par défaut si l’utilisateur est (ou est soupçonné d’être) un enfant – y compris des dispositions spécifiques selon lesquelles la géolocalisation et le profilage doivent être désactivés par défaut (sauf s’il y a un justification impérieuse de tels défauts hostiles à la vie privée).

Le code demande également aux créateurs d’applications de fournir un contrôle parental tout en fournissant à l’enfant des informations adaptées à son âge sur ces outils – mettant en garde contre les outils de suivi parental qui pourraient être utilisés pour surveiller silencieusement/invisiblement un enfant sans qu’il soit informé du suivi actif.

Une autre norme vise la conception de motifs sombres – avec un avertissement aux fabricants d’applications contre l’utilisation de « techniques de coup de pouce » pour pousser les enfants à fournir « des données personnelles inutiles ou à affaiblir ou à désactiver leur protection de la vie privée ».

Les code complet contient 15 normes mais n’est pas lui-même intégré à la législation – il s’agit plutôt d’un ensemble de recommandations de conception que l’ICO souhaite que les créateurs d’applications suivent.

Le bâton réglementaire pour les y obliger est que le chien de garde lie explicitement le respect des normes de confidentialité de ses enfants à l’adoption d’exigences plus larges en matière de protection des données qui sont intégrées dans la loi britannique.

Le risque pour les applications qui ignorent les normes est donc qu’elles attirent l’attention du chien de garde – que ce soit par le biais d’une plainte ou d’une enquête proactive – avec le potentiel d’un audit ICO plus large explorant l’ensemble de leur approche de la confidentialité et de la protection des données.

“Nous surveillerons la conformité à ce code par le biais d’une série d’audits proactifs, examinerons les plaintes et prendrons les mesures appropriées pour appliquer les normes de protection des données sous-jacentes, sous réserve de la loi applicable et conformément à notre politique d’action réglementaire”, écrit l’ICO dans conseils sur son site. « Pour assurer une réglementation proportionnée et efficace, nous ciblerons nos pouvoirs les plus importants, en nous concentrant sur les organisations et les individus soupçonnés de fautes répétées ou intentionnelles ou de manquement grave à la loi. »

Il poursuit en avertissant qu’il considérerait le non-respect du code de confidentialité des enfants comme une marque noire potentielle contre les lois britanniques (applicables) sur la protection des données, ajoutant : « Si vous ne suivez pas ce code, vous aurez peut-être du mal à démontrer que votre traitement est loyal et conforme au RGPD [General Data Protection Regulation] ou PECR [Privacy and Electronics Communications Regulation]. “

Merci article de blog la semaine dernière, Stephen Bonner, directeur exécutif de l’ICO pour l’avenir de la réglementation et de l’innovation, a également mis en garde les fabricants d’applications : le code. Nous identifierons les domaines dans lesquels nous pourrions avoir besoin de fournir un soutien ou, si les circonstances l’exigent, nous avons le pouvoir d’enquêter ou d’auditer les organisations. »

“Nous avons identifié qu’actuellement, certains des plus grands risques proviennent des plateformes de médias sociaux, des sites de streaming vidéo et musical et des plateformes de jeux vidéo”, a-t-il poursuivi. « Dans ces secteurs, les données personnelles des enfants sont utilisées et partagées, pour les bombarder de contenus et de fonctionnalités de service personnalisées. Cela peut inclure des publicités inappropriées ; messages non sollicités et demandes d’amis ; et des coups de pouce érodant la vie privée exhortant les enfants à rester en ligne. Nous sommes préoccupés par un certain nombre de dommages qui pourraient être créés à la suite de cette utilisation des données, qui sont physiques, émotionnels, psychologiques et financiers. »

« Les droits des enfants doivent être respectés et nous attendons des organisations qu’elles prouvent que l’intérêt supérieur des enfants est une préoccupation majeure. Le code clarifie la manière dont les organisations peuvent utiliser les données des enfants conformément à la loi, et nous souhaitons que les organisations s’engagent à protéger les enfants en développant des conceptions et des services conformes au code », a ajouté Bonner.

Les pouvoirs d’exécution de l’ICO – du moins sur le papier – sont assez étendus, le RGPD, par exemple, lui donnant la possibilité d’infliger aux contrevenants jusqu’à 17,5 millions de livres sterling ou 4 % de leur chiffre d’affaires mondial annuel, selon le plus élevé des deux.

Le chien de garde peut également émettre des ordonnances interdisant le traitement des données ou exigeant d’une autre manière des modifications des services qu’il juge non conformes. Ainsi, les applications qui ont choisi de bafouer le code de conception des enfants risquent de s’exposer à des obstacles réglementaires ou pire.

Au cours des derniers mois, il y a eu des signes que certaines grandes plates-formes ont tenu compte du délai de conformité de l’ICO – avec Instagram, Youtube et TIC Tac annonçant tous des changements dans la façon dont ils traitent les données et les paramètres de compte des mineurs avant la date du 2 septembre.

En juillet, Instagram a dit les adolescents seraient transférés par défaut sur des comptes privés – le faire pour les moins de 18 ans dans certains pays dont la plate-forme nous a confirmé qu’ils incluent le Royaume-Uni – parmi un certain nombre d’autres ajustements axés sur la sécurité des enfants. Puis, en août, Google a annoncé des changements similaires pour les comptes sur sa plate-forme de chargement vidéo, YouTube.

Quelques jours plus tard, TikTok a également déclaré qu’il ajouterait davantage de protections de la vie privée pour les adolescents. Bien qu’il ait également fait changements antérieurs limiter les valeurs par défaut de confidentialité pour les moins de 18 ans.

Apple s’est également récemment mis dans l’eau chaude avec la communauté des droits numériques à la suite de la annonce de fonctionnalités axées sur la sécurité des enfants – y compris un outil de détection de matériel pédopornographique (CSAM) qui analyse les téléchargements de photos vers iCloud ; et une fonction de sécurité parentale d’activation qui permet aux utilisateurs du compte iCloud Family d’activer alertes liées à la visualisation d’images explicites par des mineurs en utilisant son application Messages.

Le thème unificateur qui sous-tend tous ces ajustements de produits de plate-forme grand public est clairement la « protection de l’enfance ».

Et bien qu’il y ait une attention croissante aux États-Unis pour la sécurité des enfants en ligne et les manières néfastes dont certaines applications exploitent les données des enfants – ainsi que un certain nombre de sondes ouvertes en Europe (tel que cela Enquête de la Commission sur TikTok, agissant sur plaintes) — le Royaume-Uni peut avoir un impact démesuré ici étant donné sa poussée concertée vers des normes de conception pionnières axées sur l’âge.

Le code se combine également avec la législation britannique entrante qui est définie pour appliquer un « devoir de diligence » sur les plates-formes pour adopter une position de sécurité d’abord envers les utilisateurs, en mettant également l’accent sur les enfants (et là, il est également largement ciblé sur couvrir tous les enfants ; plutôt que de s’appliquer uniquement aux enfants de moins de 13 ans comme aux États-Unis » TASSE, par exemple).

Dans le billet de blog avant l’expiration du délai de conformité, Bonner de l’ICO a cherché à s’attribuer le mérite de ce qu’il a décrit comme des « changements importants » apportés ces derniers mois par des plateformes comme Facebook, Google, Instagram et TikTok, écrivant : « En tant que premier de -son genre, c’est aussi avoir une influence à l’échelle mondiale. Les membres du Sénat et du Congrès américains ont appelé les grandes sociétés américaines de technologie et de jeux à adopter volontairement les normes du code de l’ICO pour les enfants en Amérique.

“La Commission de protection des données en Irlande se prépare à introduire les principes fondamentaux de l’enfance pour protéger les enfants en ligne, qui sont étroitement liés au code et suivent des principes fondamentaux similaires”, a-t-il également noté.

Et il existe d’autres exemples dans l’UE : l’organisme de surveillance des données de la France, la CNIL, semble s’être inspiré de l’approche de l’ICO — en émettant sa propre ensemble de recommandations axées sur la protection des enfants en juin (qui encouragent également, par exemple, les créateurs d’applications à ajouter des contrôles parentaux avec la mise en garde claire que ces outils doivent « respecter la vie privée et l’intérêt supérieur de l’enfant »).

L’accent mis par le Royaume-Uni sur la sécurité des enfants en ligne ne fait pas seulement des vagues à l’étranger, mais stimule la croissance d’une industrie nationale des services de conformité.

Le mois dernier, par exemple, l’ICO a annoncé le premier embrayage de Critères du système de certification RGPD – comprenant deux schémas axés sur le code de conception adapté à l’âge. Attendez-vous à beaucoup plus.

Le billet de blog de Bonner note également que le chien de garde définira officiellement sa position sur l’assurance de l’âge cet automne – il fournira donc une orientation supplémentaire aux organisations qui sont dans le champ d’application du code sur la façon de s’attaquer à cette pièce délicate, bien qu’il ne soit toujours pas clair comment une exigence difficile que l’ICO soutiendra, Bonner suggérant qu’il pourrait en fait «vérifier l’âge ou l’estimation de l’âge». Regardez cet espace. Quelles que soient les recommandations, les services d’assurance de l’âge sont sur le point de surgir avec des argumentaires de vente axés sur la conformité.

La sécurité des enfants en ligne a été au centre des préoccupations des décideurs politiques britanniques ces dernières années, bien que la sécurité en ligne plus large (et de longue date) (neé Harms) La facture reste à le projet de loi organiser.

Une tentative antérieure des législateurs britanniques d’introduire des contrôles d’âge obligatoires pour empêcher les enfants d’accéder aux sites Web de contenu pour adultes – datant de la loi sur l’économie numérique de 2017 – a été abandonné en 2019 après de nombreuses critiques selon lesquelles ce serait à la fois impraticable et un risque énorme pour la vie privée des utilisateurs adultes de porno.

Mais le gouvernement n’a pas abandonné sa détermination à trouver un moyen de réglementer les services en ligne au nom de la sécurité des enfants. Et en ligne unles contrôles de vérification ge semblent destinés à être – sinon une exigence globale et renforcée pour tous les services numériques – de plus en plus introduits par la porte dérobée, via une sorte de « fonctionnalité recommandée » (comme le ORG a prévenu).

La recommandation actuelle dans le code de conception adapté à l’âge est que les créateurs d’applications “taadopter une approche fondée sur les risques pour reconnaître l’âge des utilisateurs individuels et vous assurer d’appliquer efficacement les normes de ce code aux enfants utilisateurs », en suggérant qu’ils : « soit établir l’âge avec un niveau de certitude approprié aux risques pour les libertés des enfants qui découlent de votre traitement de données, ou appliquez plutôt les normes de ce code à tous vos utilisateurs.

Dans le même temps, la poussée plus large du gouvernement sur la sécurité en ligne risque d’entrer en conflit avec certains des objectifs louables du code de conception de la vie privée des enfants non juridiquement contraignant de l’ICO.

Par exemple, alors que le code inclut la suggestion (bienvenue) que les services numériques recueillent le moins d’informations possible sur les enfants, dans une annonce plus tôt cet été Les législateurs britanniques ont publié des directives pour les plateformes de médias sociaux et les services de messagerie – avant la législation prévue sur la sécurité en ligne – qui les recommande empêcher enfants de pouvoir utiliser le chiffrement de bout en bout.

C’est exact; les conseils du gouvernement aux plateformes d’exploration de données – qui, selon lui, les aideront à se préparer aux exigences de la nouvelle législation – sont ne pas pour utiliser la sécurité et la confidentialité « de référence » (cryptage e2e) pour les enfants.

Ainsi, le message officiel du gouvernement britannique aux créateurs d’applications semble être que, dans peu de temps, la loi exigera l’accès aux services commerciaux. Suite des informations sur les enfants, pas moins – au nom de leur “sécurité”. Ce qui est assez contradictoire par rapport à la pression de minimisation des données sur le code de conception.

Le risque est que les projecteurs de plus en plus sur la vie privée des enfants finissent par être flous et compliqués par des politiques mal pensées qui poussent les plateformes à surveiller les enfants pour démontrer leur « protection » contre un assortiment de méfaits en ligne – qu’il s’agisse de contenu pour adultes ou de messages pro-suicide, ou la cyberintimidation et CSAM.

La loi semble sur le point d’encourager les plateformes à « montrer leur fonctionnement » pour prouver la conformité – ce qui risque d’entraîner un suivi toujours plus étroit de l’activité des enfants, la conservation des données – et peut-être le profilage des risques et les contrôles de vérification de l’âge (qui pourraient même finir par être appliqués à tous utilisateurs ; pensez au marteau pour casser une noix). Bref, une dystopie de la vie privée.

De tels messages mitigés et une élaboration de politiques décousue semblent devoir empiler des exigences de plus en plus confuses – et même contradictoires – sur les services numériques opérant au Royaume-Uni, rendant les entreprises technologiques légalement responsables de la clarté divinatoire au milieu du désordre politique – avec le risque simultané de d’énormes amendes s’ils se trompent d’équilibre.

Se conformer aux normes de conception de l’ICO peut donc en fait être la partie la plus facile.





Source link