La Grande-Bretagne veut criminaliser la réidentification de données d'utilisateur anonymes
Mais les experts s'inquiètent de sa mise en œuvre
Les législateurs britanniques ont déposé au courant de la semaine une déclaration d’intention contenant des propositions visant l’amélioration de la Loi sur la protection des données. Ces propositions mettent l’accent sur la criminalisation de la reconfiguration des données anonymes, l’imposition d’amendes plus élevées pour les incidents cybernétiques et sur une meilleure protection en ligne des internautes britanniques.
Cette procédure fait partie des efforts entrepris par le Royaume-Uni pour se conformer au Règlement général sur la protection des données (RGPD) de l’UE qui devrait entrer en vigueur en mai 2018. Cette date butoir est censée accorder suffisamment de temps aux différents gouvernements membres de l’UE pour qu’ils puissent modifier leurs lois nationales afin d’y inclure les dispositions préconisées par le RGPD.
Jusqu’à présent, le montant maximal des amendes que les autorités britanniques pouvaient imposer pour des incidents cybernétiques était limité à 650 000 USD et la plus grosse amende que le gouvernement du Royaume-Uni ait pu infliger n’était que de 520 000 USD. La nouvelle limite de cette amende qui figure parmi les modifications à examiner est de 22 millions de dollars ou 4 % du chiffre d’affaires global de l’entreprise reconnue coupable.
Le projet de loi introduit également une proposition qui porte sur la création d’une nouvelle infraction pénale s’appliquant à toutes les personnes qui, par inadvertance ou de façon intentionnelle, réidentifient des individus à partir de données anonymes ou pseudoanonymes. « Les délinquants qui manipulent ou traitent ces données se rendent coupables d’une infraction » et « la pénalité maximale devrait être une amende illimitée ».
Le Dr Lukasz Olejnik, chercheur indépendant en cybersécurité et protection de la vie privée, affilié au Centre de technologie de l’information de Princeton, salue les efforts du Royaume-Uni. D’après lui, « la mise en œuvre du RGPD au Royaume-Uni va au-delà de la simple mise en œuvre du RGPD comme une loi ». Même s’il se réjouit de l’initiative entreprise par le Royaume-Uni pour étendre les protections de la vie privée des données utilisateur, il tient aussi à rappeler le caractère dangereux de la voie dans laquelle s’est engagé le Royaume-Uni. « Il existe plusieurs problèmes avec [l’] interdiction de la réidentification », dit-il.
Olejnik pense que le plus gros problème avec ce projet de loi contre la réidentification, c’est qu’il n’existe aucun moyen efficace de l’appliquer dans la pratique. En plus de cela, il serait susceptible d'être exploité pour étouffer les recherches sur la sécurité et la vie privée qui réidentifient souvent les données anonymes dans leur travail quotidien. En d’autres termes, il est bon que le gouvernement britannique ait identifié un problème. Mais, l'introduction dans la législation d'un tel projet pourrait, en fin de compte, être utilisée par des entreprises pour menacer les chercheurs avec des poursuites au cas où ils voudraient publier des travaux de recherche peu flatteurs reposant sur la réidentification des utilisateurs et la révélation de leurs détails à partir de données anonymes.
Source : La déclaration d'intention, Bleeping Computer
Et vous ?
Qu'en pensez-vous ?
Partager