La FTC a proposé de renforcer les règles protégeant les enfants de l’économie de la surveillance. Les règles mises à jour obligeraient les entreprises à obtenir l’accord des parents avant de partager des données avec des annonceurs et interdiraient, entre autres, de conserver des données pour des « opérations internes » nébuleuses.
« Les changements proposés à la COPPA sont indispensables, en particulier à une époque où les outils en ligne sont essentiels pour naviguer dans la vie quotidienne et où les entreprises déploient des outils numériques de plus en plus sophistiqués pour surveiller les enfants », a déclaré la présidente de la FTC, Lina Khan, dans un article de blog. « Les enfants doivent pouvoir jouer et apprendre en ligne sans être traqués sans cesse par des entreprises cherchant à accumuler et à monétiser leurs données personnelles. »
La loi sur la protection de la vie privée en ligne des enfants, ou COPPA, existe depuis 2000 et, même si elle est toujours efficace pour empêcher la collecte de données et les abus les plus flagrants concernant les enfants, elle a également été mise à jour pour la dernière fois en 2013 et pourrait bénéficier d’une nouvelle couche. de peinture. Il y a quelque temps, la FTC a sollicité des commentaires sur la manière dont elle devrait modifier les règles, et la réponse (comme c’est souvent le cas en matière de confidentialité sur Internet) a été volumineuse.
« Après que la FTC a annoncé qu’elle envisageait de réviser la règle COPPA, nous avons reçu plus de 175 000 commentaires », a noté l’agence dans un communiqué de presse. « La règle proposée reflète ce que nous avons entendu de la part des parents, des éducateurs, des membres de l’industrie, des chercheurs et autres, ainsi que de nos 23 années d’expérience dans l’application de la COPPA. »
L’agence publiera bientôt un avis de proposition de réglementation, ou NPRM, qui est une ébauche des nouvelles règles COPPA qui pourra être commentée et critiquée par le public pendant les 60 jours suivants. Le moment exact dépend du moment où le document apparaîtra dans le Federal Register, ce qui échappe au contrôle de la FTC mais le sera probablement dans les prochaines semaines. En attendant, vous pouvez consulter un brouillon ici.
Voici ce qu’exigerait la règle mise à jour :
- Opt-in parental avant de partager des informations sur l’enfant avec des tiers, à moins que ce partage ne fasse « partie intégrante » du service. Attendez-vous à ce que beaucoup de choses deviennent soudainement « intégrantes » l’année prochaine !
- Réduire la lacune du « soutien aux opérations internes ». Amazon, par exemple, a abusé de cette exception, conservant indéfiniment les informations des enfants pour améliorer ses modèles de reconnaissance vocale. Moins de ça, espérons-le.
- Meilleure justification des « nudges », comme les notifications push pour inciter les enfants à ouvrir une application ou à rester en ligne.
- Ne pas obliger les enfants à fournir des données personnelles afin d’utiliser une application ou une fonctionnalité, comme « indiquez votre anniversaire pour obtenir 100 cristaux gratuits ».
- Aucune conservation des données au-delà de leur utilisation initiale déclarée. Comme dans l’exemple d’Amazon, ils pourraient utiliser la commande vocale d’un enfant pour lancer une application (usage principal) mais « bien sûr » pas autre chose par la suite.
- Les écoles et les districts scolaires peuvent autoriser les fournisseurs de technologies éducatives à collecter et utiliser les informations personnelles des élèves, mais uniquement à des fins éducatives.
- Les « informations personnelles » incluent désormais la biométrie.
Et quelques autres choses, plus beaucoup plus de détails (qui intéresseront principalement les personnes directement concernées) dans le NPRM lui-même. Si vous êtes curieux de savoir pourquoi certaines de ces choses sont nécessaires, ou même pourquoi la COPPA est nécessaire, le commissaire Alvaro Bedoya a publié un explicatif utile sur le sujet.
Le sénateur Brian Schatz (D-HI) a approuvé la mise à jour, la qualifiant de « mesure encourageante vers la mise en œuvre de garanties visant à protéger les plus jeunes utilisateurs des médias sociaux contre une surveillance et une manipulation constantes ».
Mais, a-t-il poursuivi, « l’élaboration de règles ne remplace pas la loi : le Congrès doit agir. Nous devons adopter de toute urgence une législation qui protégera les enfants en ligne en fixant des exigences d’âge minimum pour l’utilisation des médias sociaux et en interdisant le ciblage algorithmique des enfants et des adolescents.
Compte tenu de l’état actuel du Congrès et de la perspective d’une année 2024 perdue à cause (au moins) d’élections controversées, je soupçonne que l’urgence du sénateur ne se manifestera pas de si tôt dans une loi. Les règles de la FTC devront rester en vigueur pendant un certain temps encore.