fbpx

Commentaire du Consumer Choice Center sur la réglementation KYC proposée par le gouvernement américain pour les serveurs cloud

Plus tôt cette année, le ministère américain du Commerce a proposé une règle réglementaire radicale cela obligerait les fournisseurs de services cloud à collecter et à conserver des informations personnelles sur leurs utilisateurs, en particulier ceux basés en dehors des États-Unis.

Cette réglementation, motivée par les décrets du président Joe Biden sur le «Urgence nationale concernant d’importantes activités cybernétiques malveillantes», nécessiterait une tenue de registres approfondie et une collecte de données utilisateur pour tous les fournisseurs d'infrastructure en tant que service (IaaS), les entreprises qui proposent ce que l'on appelle communément des machines virtuelles, des serveurs Web, du cloud computing et du stockage, des réseaux privés virtuels (VPN), Bitcoin. et des nœuds de crypto-monnaie, des modèles d'intelligence artificielle et bien plus encore.

Les cibles visées sont les services dont les clients sont basés à l'étranger, afin d'arrêter les acteurs étrangers malveillants et les pirates informatiques, mais la règle est rédigée de manière suffisamment générale pour que tout fournisseur de cloud qui ne capture pas ces informations auprès de ses utilisateurs nationaux aux États-Unis soit responsable de poursuites civiles et judiciaires. pénalités criminelles.

Le Centre de Choix du Consommateur commentaires soumis pour s'opposer à la règle proposée par le Département du Commerce, demandant plusieurs changements et modifications pour mieux protéger les données et la vie privée des consommateurs.

On le trouve ci-dessous :

Les exigences excessives en matière d'identité KYC pour les fournisseurs de cloud mettent les consommateurs en danger et menacent la liberté d'expression et le commerce en ligne

Cher sous-secrétaire Alan F. Estevez,

Le Consumer Choice Center est un groupe indépendant et non partisan de défense des consommateurs qui défend les avantages de la liberté de choix, de l'innovation et de l'abondance dans la vie quotidienne. 

En tant qu'organisation représentant les consommateurs à travers le pays, nous sommes profondément préoccupés par la règle proposée exigeant des procédures de connaissance du client (KYC) importantes pour tous les fournisseurs d'infrastructure en tant que service (IaaS), comme détaillé dans Dossier n° DOC-2021-0007

Si ces règles actuelles entrent en vigueur, elles auront des conséquences immédiates sur les consommateurs et les utilisateurs en ligne qui créent, utilisent et déploient toutes sortes de services, serveurs, systèmes cloud et machines virtuelles en ligne. Cela inclut des services qui permettent aux utilisateurs de déployer des serveurs pour héberger leur propre contenu de documents et de photos privés, des nœuds Bitcoin et crypto-monnaie, des modèles d'intelligence artificielle, des réseaux privés virtuels (VPN) et bien plus encore, conformément aux conditions de service proposées par les fournisseurs IaaS.

Bien que ces règles visent à fournir un accès plus immédiat aux informations et aux données sur les acteurs étrangers malveillants utilisant l'infrastructure cloud américaine, elles entraîneront plutôt un risque important pour la vie privée des individus, faciliteront la perte ou l'utilisation malveillante de données et accorderont des pouvoirs extraordinaires aux agences gouvernementales. qui sont incompatibles avec la Constitution américaine et la Déclaration des droits.

Nous comprenons que l’intention est de cibler les acteurs étrangers hostiles, mais l’exigence imposée aux fournisseurs de services américains exigera inévitablement que chaque Américain fournisse également ces informations.

L'obligation pour les fournisseurs de services de conserver des informations personnelles et financières exhaustives sur leurs clients présente non seulement une violation flagrante de la vie privée, mais aussi un risque important, dans la mesure où des milliers de fournisseurs IaaS seront en possession de grandes quantités de données personnelles susceptibles d'être piratées ou divulguées. .

De plus, les organismes chargés de l'application de la loi disposent déjà de suffisamment d'outils et d'autorité pour suivre les procédures juridiques visant à obtenir des mandats et à recueillir des informations.

Nous pensons que cette règle proposée va beaucoup trop loin en restreignant la possibilité pour les Américains d'utiliser les services en ligne de leur choix, et limiterait leur capacité à utiliser des serveurs et des services cloud sans risque significatif pour leur vie privée et leurs données personnelles.

De plus, les informations exhaustives requises par un service qui souhaite offrir aux utilisateurs la possibilité d'exécuter une machine virtuelle, un serveur, un modèle d'IA, ou plus, pousseront nécessairement la plupart des Américains à renoncer complètement à l'utilisation des services nationaux, créant des conséquences économiques non calculées. dans les coûts de conformité à la règle proposée.

Nous recommandons que cette règle soit entièrement révisée, en supprimant les risques importants en matière de confidentialité que la collecte KYC sur les fournisseurs IaaS nécessiterait pour les utilisateurs nationaux, ainsi que l'autorité dupliquée et extralégale qui serait accordée aux agents chargés de l'application des lois, en violation du droit constitutionnel.

Ci-dessous, nous énumérons les deux principaux domaines de préoccupation des consommateurs américains.

Exigences KYC pour les utilisateurs étrangers appliquées aux utilisateurs nationaux

Comme indiqué dans le Arrière plan fournis dans les informations supplémentaires de la règle, ces nouveaux pouvoirs obligeraient les fournisseurs de services à segmenter les utilisateurs en fonction de leur pays d'origine :

Pour faire face à ces menaces, le président a publié le décret EO 13984, « Prendre des mesures supplémentaires pour faire face à l'urgence nationale en ce qui concerne les activités cybernétiques malveillantes importantes », qui donne au ministère le pouvoir d'exiger des fournisseurs IaaS américains qu'ils vérifient l'identité des utilisateurs étrangers de Produits IaaS américains, pour émettre des normes et des procédures que le Département peut utiliser pour parvenir à une conclusion visant à exempter les fournisseurs IaaS d'une telle exigence, pour imposer des obligations de tenue de registres à l'égard des utilisateurs étrangers de produits IaaS américains et pour limiter l'accès de certains acteurs étrangers à Produits IaaS américains dans des circonstances appropriées.

Toutefois, pour que les fournisseurs d'IaaS puissent déterminer efficacement la localisation d'un utilisateur, ils seront tenus par la force de la loi – et sous peine de sanctions civiles et pénales – d'enregistrer, de catégoriser et de documenter la localisation d'un utilisateur et les informations personnelles qui l'accompagnent, quelle que soit la situation. leur emplacement, le tout dans le but de déterminer si un utilisateur potentiel serait considéré comme un « utilisateur étranger » ou une personne bénéficiaire.

Cela entraînera une collecte accrue d’informations telles que les comptes bancaires et les transactions financières, conduisant à des exigences généralisées de « connaissance de votre client » (KYC) qui n’ont jamais été appliquées à ce niveau aux services en ligne.

Au-delà de l'approbation du Congrès, nous pensons que ce projet de réglementation dépasse de loin les limites de l'autorité de l'agence, qu'elle émane du ministère du Commerce ou via les décrets mentionnés, et créerait des zones de risque importantes pour les utilisateurs et clients ordinaires situés à l'étranger et aux États-Unis. .

En outre, l'application et la définition larges d'un service couvert – « tout produit ou service offert à un consommateur, y compris les offres complémentaires ou « d'essai », qui fournit un traitement, un stockage, des réseaux ou d'autres ressources informatiques fondamentales, et avec lequel le consommateur est capable de déployer et d'exécuter des logiciels qui ne sont pas prédéfinis, y compris des systèmes d'exploitation et des applications » – ce qui signifie essentiellement que tout service cloud entrerait dans le champ d'application de ce règlement.

Le risque de violation de la vie privée

Étant donné que les fournisseurs de services seraient tenus de maintenir un programme d'identification des clients robuste, comme indiqué au § 7.302, cela imposerait donc à tous les fournisseurs de cloud la responsabilité de collecter et de conserver le nom complet, l'adresse, le numéro de carte de crédit, les numéros de monnaie virtuelle, l'e-mail, le téléphone. numéros, adresses IP et plus encore sur tout client potentiel de leur service.

Même si nous apprécions que les fournisseurs de cloud privé et les entreprises IaaS aient la latitude de déterminer la manière dont ils structurent leurs programmes d'identification des clients, nous pensons que l'obligation de collecter ces informations et de les stocker localement constituera un risque élevé d'accès à ces informations sans autorisation. , que ce soit par des piratages, des fuites ou d'autres activités malveillantes. 

Étant donné que les prestataires de services seront tenus de cataloguer ces informations pendant des années, cela s'avérera inévitablement être une cible de grande valeur pour les acteurs malveillants, tout en n'apportant qu'un bénéfice minime aux forces de l'ordre qui peuvent déjà obtenir légalement ces informations via des mandats légalement exécutés. .

Pouvoirs extraordinaires et redondants

Les organismes d'application de la loi aux niveaux fédéral, étatique et local possèdent déjà les outils juridiques nécessaires pour assigner à comparaître ou demander aux fournisseurs de cloud de données ou aux fournisseurs de VPN des mandats légalement obtenus. 

Le fait que les fournisseurs d'IaaS soient tenus non seulement de conserver ces informations, mais également de « notifier » de manière préventive les forces de l'ordre sans aucune ordonnance judiciaire ni soupçon d'un crime, viole le quatrième amendement et la clause de procédure régulière telle qu'interprétée à partir des cinquième et quatorzième amendements.

L'article § 7.306(d) énonce la condition d'être exempté des exigences en tant que « coopération volontaire » avec les organismes chargés de l'application de la loi, obligeant ensuite les fournisseurs à permettre l'accès aux « informations médico-légales pour les enquêtes sur les activités cybernétiques malveillantes identifiées ». 

Nous pensons que cela donnerait facilement lieu à des abus, car cela fournirait une voie légale permettant aux entreprises de divulguer des informations sur leurs clients aux autorités gouvernementales au-delà de ce qui est nécessaire et légal, et inciterait les entreprises et les sociétés à soumettre volontairement des informations sur leurs clients aux agences gouvernementales, conformément à la loi. agents chargés de l'application des lois, et plus encore.

Telle qu'elle est rédigée, nous pensons que cette proposition de règle a été proposée à la hâte et qu'elle entraînera probablement des préjudices et des risques importants pour les données des consommateurs, leur vie privée et leur liberté de s'engager dans le libre commerce. Nous demandons instamment que cette règle soit réécrite en gardant ces préoccupations à l’esprit.

Cordialement,

Yaël Ossowski

Directeur adjoint,

Centre de choix des consommateurs

Partager

Suivre:

Plus de messages

Abonnez-vous à notre newsletter

proche
fr_FRFR

Suivez-nous

Informations de contact

712, rue H NE PMB 94982
Washington, DC 20002

© COPYRIGHT 2024, CENTRE DE CHOIX DU CONSOMMATEUR