Le Bureau de protection financière des consommateurs souhaite proposer de nouvelles réglementations qui obligeraient les courtiers en données à se conformer au Fair Credit Reporting Act. Dans un discours à la Maison Blanche plus tôt ce mois-ci, le directeur du CFPB, Rohit Chopra, a déclaré que l’agence étudiait des politiques visant à « assurer une plus grande responsabilité » aux entreprises qui achètent et vendent des données sur les consommateurs, conformément à un décret Le président Joe Biden l’a publié fin février.
Chopra a déclaré que l’agence envisageait des propositions qui définiraient les courtiers en données qui vendent certains types de données comme des « agences d’information sur les consommateurs », exigeant ainsi que ces entreprises se conforment aux Loi sur les rapports de crédit équitables (FCRA). La loi interdit le partage de certains types de données (par exemple, votre rapport de solvabilité) avec des entités, à moins qu’elles ne répondent à un objectif spécifique défini par la loi (par exemple, si le rapport est utilisé à des fins d’emploi ou pour accorder une ligne de crédit à quelqu’un).
Le CFBP considère l’achat et la vente de données sur les consommateurs comme une question de sécurité nationale, et pas seulement comme une question de confidentialité. Chopra a mentionné trois violations massives de données – la fuite d’Anthem en 2015, le piratage d’Equifax en 2017 et la violation de Marriott en 2018 – comme exemples d’adversaires étrangers obtenant illégalement les données personnelles des Américains. « Lorsque les informations médicales et financières des Américains et même leurs déplacements peuvent être rassemblées dans des dossiers détaillés, il n’est pas surprenant que cela soulève des risques en matière de sûreté et de sécurité », a déclaré Chopra. Mais l’accent mis sur les piratages très médiatisés occulte un phénomène plus répandu et totalement légal : la capacité des courtiers en données à vendre des informations personnelles détaillées à quiconque est prêt à payer pour cela.
Citant le décret de février, Chopra a noté que les courtiers en données peuvent vendre des données à « des pays préoccupants ou à des entités contrôlées par ces pays, et qu’elles peuvent tomber entre les mains de services de renseignement étrangers, d’armées ou d’autres sociétés contrôlées par des gouvernements étrangers ». En d’autres termes, au lieu de pirater les chaînes d’hôtels et les bureaux d’évaluation du crédit pour accéder aux données personnelles de millions d’Américains, les agences de renseignement peuvent acheter des informations tout aussi détaillées, sinon plus.
« Par exemple, les courtiers en données peuvent faciliter le ciblage des individus en permettant aux entités d’acheter des listes qui correspondent à plusieurs catégories, comme « Renseignement et lutte contre le terrorisme » avec « abus de substances », « gros buveur » ou même « en retard sur les factures » », Chopra dit. « Dans d’autres contextes, les entités peuvent acheter des disques pour quelques centimes par personne, ce qui permet de mobiliser des investissements relativement modestes dans une collecte de masse. » En d’autres termes, la Maison Blanche craint que les adversaires des États-Unis – plus explicitement la Chine – puissent utiliser les données américaines pour identifier des cibles de chantage et de surveillance.
Le gouvernement est de plus en plus préoccupé par l’accès des gouvernements étrangers aux données des Américains. En mars, la Chambre a adopté un projet de loi qui interdirait aux courtiers en données de vendre des informations personnelles identifiables sur des Américains à « toute entité contrôlée par un adversaire étranger ». En vertu de la Loi sur la protection des données des Américains contre les adversaires étrangers, les courtiers en données s’exposeraient à des sanctions de la part de la Federal Trade Commission s’ils vendaient des informations sensibles, telles que des données de localisation ou de santé, à toute personne ou entreprise basée dans certains pays. Le Sénat n’a pas encore voté sur le projet de loi.
Les agences gouvernementales américaines s’appuient également sur des courtiers en données pour surveiller les Américains. En 2022, l’Union américaine des libertés civiles a publié une série de documents montrant comment le Département de la sécurité intérieure a utilisé les données de localisation pour suivre les mouvements de millions de téléphones portables – et de leurs propriétaires – aux États-Unis.