Une ancienne loi sur la cybersécurité fait l’objet d’une mise à jour (en quelque sorte) – Marketplace
Le grattage des données des sites Web publics est légal. C’est le résultat d’une décision de la Cour d’appel du neuvième circuit plus tôt cette semaine.
LinkedIn a perdu sa bataille juridique contre la société d’analyse de données hiQ, après avoir soutenu qu’il était illégal pour hiQ de « gratter » les données de profil des utilisateurs pour analyser les taux de rotation des employés en vertu de la loi fédérale sur la fraude et les abus informatiques (CFAA).
Tiffany Li, avocate en technologie et professeur de droit à l’Université du New Hampshire, rejoint l’animatrice de « Marketplace Tech » Meghan McCarty Carino pour discuter de la forme du CFAA, qui date de 1986, et de la manière dont la loi pourrait être mise à jour.
Tiffany Li: Donc, le CFAA est quelque chose qui va au cœur de beaucoup d’allégations de cybersécurité, beaucoup d’allégations de vol de données, de piratage de sites Web, etc. Ce qui est important pour nous ici, c’est que le CFAA a une limitation spécifique qui dit que vous ne pouvez pas accéder intentionnellement à un ordinateur sans autorisation, ou dépasser l’accès autorisé et ensuite obtenir des informations à partir de cet ordinateur. Le CFAA est né avant ce que nous considérons, peut-être, l’Internet moderne. Nous n’avions donc peut-être pas autant de cas de ces grands sites Web remplis de millions de données de personnes et de ces grandes entreprises commerciales de grattage qui s’appuient sur ces données. Beaucoup d’avocats n’aiment pas cette loi, car elle n’est pas forcément super mise à jour. Mais c’est ce que nous avons.
Meghan McCarty Carino: Dans votre esprit, à quoi devrait ressembler une mise à jour du CFAA ?
Li: Je pense qu’il y a deux façons de mettre à jour le CFAA. La première se situe dans le texte de la loi. Nous pourrions essayer de clarifier des termes spécifiques comme « accès ». Nous pouvons également clarifier des termes comme «ordinateur», qui est en fait une définition intéressante de la loi, car les ordinateurs ont vraiment changé au cours des dernières décennies. Nous devons maintenant examiner des systèmes comme, par exemple, si l’accès à la mémoire d’un petit appareil mobile compte ou non comme un ordinateur, ou si le stockage d’un site Web compte ou non comme un ordinateur. À l’avenir, nous devrons peut-être penser à quelque chose de très futuriste, des choses comme déterminer si vous avez des données intégrées dans l’ADN, par exemple. Ou si vous avez différentes applications cloud, comment définiriez-vous et délimiteriez-vous les systèmes informatiques lorsque quelque chose est très distribué ? C’est donc un peu futuriste et extravagant, mais je pense qu’à terme, nous devrons clarifier ce que signifie « ordinateur ».
McCarty Carino: Alors qui pourrait acclamer cette décision ? Et pourquoi? Je veux dire, je sais que les journalistes, par exemple, utilisent souvent des données extraites pour des enquêtes et des choses comme ça. Qui d’autre pourrait être touché?
Li: Ainsi, les gens pourraient être satisfaits de la décision s’ils sont liés à … disons, les défenseurs de la liberté d’information, donc les personnes qui se soucient de pouvoir accéder librement à l’information, de pouvoir utiliser librement les données : artistes, journalistes, écrivains, personnes qui sont impliqués dans des bibliothèques ou des archives. Certaines personnes pourraient également être contrariées par la décision, car il pourrait y avoir des problèmes de confidentialité en jeu. Peut-être que cette décision ne protège pas la vie privée des utilisateurs de LinkedIn.
McCarty Carino: Pour la personne moyenne qui interagit avec Internet, vous savez, qui a un profil sur LinkedIn, Facebook, les médias sociaux, etc., que signifie cette décision ? Cela change-t-il du tout la façon dont nous comprenons comment nous interagissons avec ces services ?
Li: Vos informations ne sont peut-être pas aussi privées que vous le pensez. Le profil de n’importe qui sur les réseaux sociaux peut être utilisé par à peu près n’importe quelle entreprise. Et ça pourrait être quelqu’un qui a une relativement bonne foi, vous savez, comme HiQ l’est sans doute. Ou cela pourrait être une entreprise comme Clearview AI. Ils ont récupéré des millions, voire des milliards, à l’heure actuelle, de photos de visages à utiliser dans la technologie de reconnaissance faciale et nous ne savons pas exactement à qui ils vendent cette technologie. Mais à part cela, en général, il n’y a pas d’impact immédiat direct. Mais nous devrions tenir compte de ces problèmes de confidentialité.
Liens connexes: Plus d’informations de Meghan McCarty Carino
TechCrunch souligne que la décision dans l’affaire LinkedIn est une victoire notable pour les archivistes et les chercheurs. Il est également utile pour les projets de longue durée d’archiver les sites Web qui ont été mis hors ligne, ainsi que les efforts visant à utiliser les données Web accessibles au public pour la recherche universitaire.
Comme l’a noté Tiffany Li, les données récupérées peuvent avoir des applications plus controversées, telles que leur utilisation par la société de logiciels de reconnaissance faciale Clearview AI que le New York Times a creusée en 2020.
Clearview utilise des milliards de photos récupérées sur Facebook, YouTube et des dizaines d’autres sites pour former son IA de reconnaissance faciale. Selon les informations du Times, il était utilisé par plus de 600 organismes chargés de l’application de la loi et plusieurs entreprises privées à des fins de sécurité.
Quant à la loi sur la fraude et les abus informatiques, qui, selon le professeur Li, pourrait probablement nécessiter une mise à jour, elle apparaît dans le discours actuel sur Netflix et son problème de partage de mots de passe.
La pratique pourrait apparemment être considérée comme un crime fédéral en vertu de la CFAA. Une décision de 2016 largement interprétée comme une menace pour les freeloaders en streaming a conclu que le partage des informations de connexion des employés enfreignait la loi.
De nombreuses analyses juridiques, comme cet article du professeur de cybersécurité Josephine Wolff dans Slate, ont jeté de l’eau froide sur cet alarmisme. Wolff a cependant souligné qu’en ce qui concerne le CFAA obsolète, les questions juridiques n’ont presque jamais de réponses claires.
Alors, moocheurs de comptes de streaming… vous êtes prévenus.