Vous souvenez-vous des modifications proposées à la législation COPPA sur lesquelles nous avons blogué l’automne dernier ? Pour vous rappeler rapidement : de nouvelles règles pour mieux protéger les enfants contre la collecte de leurs données personnelles en ligne sont proposées par la Federal Trade Commission (FTC) des États-Unis, notamment des modifications de la définition des informations personnellement identifiables.
Qu’est-ce que la COPPA ?
Introduit en 1998, le Children’s Online Privacy Protection Act (COPPA) exige que l’autorisation parentale soit demandée avant la collecte de données pour les enfants de moins de 13 ans. À titre d’exemple de la loi en vigueur, les parents auront remarqué que lorsque leurs enfants s’inscrivent pour un site internet, ils doivent renseigner l’adresse e-mail du parent, qui doit être validée pour que l’inscription soit complète. Cette méthode de collecte des autorisations – utilisée par de nombreux sites destinés aux moins de 13 ans – s’appelle le système « e-mail plus ».
Modifications proposées à COPPA v1
Les temps ont changé et, au cours des 14 dernières années, Facebook, Twitter et le mobile sont entrés en scène. Plus tôt cette année, la FTC a publié un rapport dans lequel elle suggérait que les divulgations actuelles de confidentialité des applications mobiles étaient décevantes.
« Le marché des applications mobiles se développe à une vitesse fulgurante, et de nombreuses protections des consommateurs, y compris la confidentialité et les divulgations de confidentialité, n’ont pas suivi ce développement. Les parents ont besoin d’un accès facile aux informations de base afin qu’ils puissent prendre des décisions éclairées sur les applications qu’ils autorisent leur enfants à utiliser, « ils ont dit. Selon la FTC, les spécialistes du marketing ciblant les utilisateurs sur ces sites Web ou sur mobile pourraient potentiellement éviter le consentement parental lors de la collecte de données. « Il existe de nombreux plug-ins ou réseaux publicitaires qui placent des publicités sur de très nombreux sites Web susceptibles d’être affectés par cela », a déclaré Mary Engle, directrice associée des pratiques publicitaires de la FTC. Citant le rapport de la FTC sur les applications mobiles :
Alors que le personnel a rencontré un pool diversifié d’applications pour enfants créées par des centaines de développeurs différents, le personnel a trouvé peu d’informations, voire aucune, sur les marchés d’applications concernant la collecte de données et les pratiques de partage de ces applications. Le personnel n’a trouvé presque aucun langage pertinent concernant la collecte ou le partage de données d’application sur les pages de promotion des applications Apple, et des informations minimales (au-delà des déclarations générales de « permission » requises sur le système d’exploitation Android) sur seulement trois des pages de promotion Android. Dans la plupart des cas, le personnel n’a pas été en mesure de déterminer à partir des pages de promotion si les applications collectaient des données, sans parler du type de données collectées, de l’objectif de la collecte et de qui a collecté ou obtenu l’accès aux données.
Pour aligner la COPPA sur la technologie marketing du 21e siècle, la FTC a publié en 2011 des recommandations pour la mise à jour de la loi. En bref, les modifications comprenaient des modifications de la définition des « informations personnelles » (pour inclure les informations de géolocalisation et les cookies) et des mécanismes de consentement parental (pour inclure les numérisations électroniques des formulaires signés, la vidéoconférence, les cartes d’identité, mais pour éliminer l’actuel « e-mail méthode plus »).
Comme Rebecca Newton, Chief Community & Safety Officer de Moshi Monster, nous l’a dit l’automne dernier, « e-mail plus » n’est pas parfait. Cependant, les alternatives proposées peuvent s’avérer irréalisables : financièrement (pour les sites Web pour enfants par exemple), ou pour les parents, qui peuvent les trouver déroutantes, ou une atteinte à leur vie privée.
Modifications proposées à COPPA v2
Eh bien, cela fait un moment que la FTC a publié ses propositions pour la première fois, et depuis, elle recueille des opinions. Maintenant, il a publié un avis supplémentaire de proposition de réglementation visant à augmenter, clarifier et, dans certains cas, étendre les modifications de règles qu’il a proposées en septembre 2011. Les modifications proposées, selon Lexology.com, élargiraient la règle finale afin qu’elle :
- Comprend des identifiants persistants qui peuvent être utilisés pour la publicité comportementale et d’autres suivis sur les sites Web, tout en permettant certaines opérations « internes » telles que la publicité contextuelle et les mesures anti-fraude ;
- Couvre la collecte de données par des plug-ins, des téléchargements de logiciels ou des réseaux publicitaires intégrés aux sites Web ; et
- Atteindre des sites Web qui ne sont peut-être pas destinés aux enfants, mais qui sont susceptibles d’attirer des enfants de moins de 13 ans.
Les modifications supplémentaires proposées réduiraient également une proposition antérieure de la FTC visant à restreindre la collecte de pseudonymes qui ne permettent pas le contact avec l’enfant, mais en même temps, contiennent une recommandation qui les sites Web d’intérêt général contrôlent l’âge de tous les utilisateurs.
Selon l’expert en sécurité des enfants Larry Magrid, écrivant dans le Huffington Post, les changements peuvent avoir des conséquences imprévues :
Les nouvelles règles permettraient également aux sites et services dont le contenu est conçu pour plaire aux jeunes enfants et aux autres, y compris les parents, de pouvoir « filtrer l’âge de tous les visiteurs afin de fournir les protections de la COPPA uniquement aux utilisateurs de moins de 13 ans ». À première vue, cela semble raisonnable, mais je crains que cela puisse avoir un impact involontaire sur les sites d’actualités ou de sport destinés aux adultes et aux enfants si ces sites utilisent n’importe quel type de géolocalisation (adresse IP sur un PC ou GPS ou données WiFi sur un appareil mobile) pour déterminer dans quelle ville se trouve la personne. Si, par exemple, une personne visitait un site sportif et recevait une publicité lui suggérant d’assister à un match local, cela pourrait être interprété comme une utilisation d’informations personnelles à des fins publicitaires et potentiellement constituer une violation de la loi COPPA. .
Il continue:
Les nouvelles règles créent également la notion de coresponsabilité entre les entreprises qui fournissent des applications ou des plug-ins et celles qui exploitent la plate-forme sur laquelle le plug-in s’exécute. La FTC a déclaré qu' »un opérateur d’un site ou d’un service destiné aux enfants qui choisit d’intégrer les services d’autres personnes qui collectent des informations personnelles auprès de ses visiteurs doit lui-même être considéré comme un » opérateur « couvert par la règle ».
Comme le souligne Larry, les révisions de la COPPA auraient un impact considérable sur les petites entreprises et restreindraient également davantage le nombre de services en ligne disponibles pour les moins de 13 ans, qui pourraient en bénéficier.
Comment puis-je en savoir plus ?
Pour en savoir plus sur ces dernières révisions, l’Association for Competitive Technology et le Family Online Safety Institute (FOSI) organiseront une table ronde le 9 août pour informer les législateurs, le personnel et les parties intéressées des modifications proposées par la FTC (vous pouvez vous inscrire pour cela ici).
Avoir votre mot à dire
Les commentaires sur ces autres changements de définition proposés doivent être déposés par 10 septembre 2012. Inutile de dire que, quels que soient les changements finalement introduits dans la loi, ils auront un impact massif sur les services en ligne pour enfants dans le monde.
