Commentaire du Consumer Choice Center sur la réglementation KYC proposée par le gouvernement américain pour les serveurs cloud

Plus tôt cette année, le ministère américain du Commerce a proposé une règle réglementaire radicale cela obligerait les fournisseurs de services cloud à collecter et à conserver des informations personnelles sur leurs utilisateurs, en particulier ceux basés en dehors des États-Unis.

Cette réglementation, motivée par les décrets du président Joe Biden sur le «Urgence nationale concernant d’importantes activités cybernétiques malveillantes», nécessiterait une tenue de registres approfondie et une collecte de données utilisateur pour tous les fournisseurs d'infrastructure en tant que service (IaaS), les entreprises qui proposent ce que l'on appelle communément des machines virtuelles, des serveurs Web, du cloud computing et du stockage, des réseaux privés virtuels (VPN), Bitcoin. et des nœuds de crypto-monnaie, des modèles d'intelligence artificielle et bien plus encore.

Les cibles visées sont les services dont les clients sont basés à l'étranger, afin d'arrêter les acteurs étrangers malveillants et les pirates informatiques, mais la règle est rédigée de manière suffisamment générale pour que tout fournisseur de cloud qui ne capture pas ces informations auprès de ses utilisateurs nationaux aux États-Unis soit responsable de poursuites civiles et judiciaires. pénalités criminelles.

Le Centre de Choix du Consommateur commentaires soumis pour s'opposer à la règle proposée par le Département du Commerce, demandant plusieurs changements et modifications pour mieux protéger les données et la vie privée des consommateurs.

On le trouve ci-dessous :

Les exigences excessives en matière d'identité KYC pour les fournisseurs de cloud mettent les consommateurs en danger et menacent la liberté d'expression et le commerce en ligne

Cher sous-secrétaire Alan F. Estevez,

Le Consumer Choice Center est un groupe indépendant et non partisan de défense des consommateurs qui défend les avantages de la liberté de choix, de l'innovation et de l'abondance dans la vie quotidienne.

En tant qu'organisation représentant les consommateurs à travers le pays, nous sommes profondément préoccupés par la règle proposée exigeant des procédures de connaissance du client (KYC) importantes pour tous les fournisseurs d'infrastructure en tant que service (IaaS), comme détaillé dans Dossier n° DOC-2021-0007.

Si ces règles actuelles entrent en vigueur, elles auront des conséquences immédiates sur les consommateurs et les utilisateurs en ligne qui créent, utilisent et déploient toutes sortes de services, serveurs, systèmes cloud et machines virtuelles en ligne. Cela inclut des services qui permettent aux utilisateurs de déployer des serveurs pour héberger leur propre contenu de documents et de photos privés, des nœuds Bitcoin et crypto-monnaie, des modèles d'intelligence artificielle, des réseaux privés virtuels (VPN) et bien plus encore, conformément aux conditions de service proposées par les fournisseurs IaaS.

Bien que ces règles visent à fournir un accès plus immédiat aux informations et aux données sur les acteurs étrangers malveillants utilisant l'infrastructure cloud américaine, elles entraîneront plutôt un risque important pour la vie privée des individus, faciliteront la perte ou l'utilisation malveillante de données et accorderont des pouvoirs extraordinaires aux agences gouvernementales. qui sont incompatibles avec la Constitution américaine et la Déclaration des droits.

Nous comprenons que l’intention est de cibler les acteurs étrangers hostiles, mais l’exigence imposée aux fournisseurs de services américains exigera inévitablement que chaque Américain fournisse également ces informations.

L'obligation pour les fournisseurs de services de conserver des informations personnelles et financières exhaustives sur leurs clients présente non seulement une violation flagrante de la vie privée, mais aussi un risque important, dans la mesure où des milliers de fournisseurs IaaS seront en possession de grandes quantités de données personnelles susceptibles d'être piratées ou divulguées. .

De plus, les organismes chargés de l'application de la loi disposent déjà de suffisamment d'outils et d'autorité pour suivre les procédures juridiques visant à obtenir des mandats et à recueillir des informations.

Nous pensons que cette règle proposée va beaucoup trop loin en restreignant la possibilité pour les Américains d'utiliser les services en ligne de leur choix, et limiterait leur capacité à utiliser des serveurs et des services cloud sans risque significatif pour leur vie privée et leurs données personnelles.

De plus, les informations exhaustives requises par un service qui souhaite offrir aux utilisateurs la possibilité d'exécuter une machine virtuelle, un serveur, un modèle d'IA, ou plus, pousseront nécessairement la plupart des Américains à renoncer complètement à l'utilisation des services nationaux, créant des conséquences économiques non calculées. dans les coûts de conformité à la règle proposée.

Nous recommandons que cette règle soit entièrement révisée, en supprimant les risques importants en matière de confidentialité que la collecte KYC sur les fournisseurs IaaS nécessiterait pour les utilisateurs nationaux, ainsi que l'autorité dupliquée et extralégale qui serait accordée aux agents chargés de l'application des lois, en violation du droit constitutionnel.

Ci-dessous, nous énumérons les deux principaux domaines de préoccupation des consommateurs américains.

Exigences KYC pour les utilisateurs étrangers appliquées aux utilisateurs nationaux

Comme indiqué dans le Arrière plan fournis dans les informations supplémentaires de la règle, ces nouveaux pouvoirs obligeraient les fournisseurs de services à segmenter les utilisateurs en fonction de leur pays d'origine :

Pour faire face à ces menaces, le président a publié le décret EO 13984, « Prendre des mesures supplémentaires pour faire face à l'urgence nationale en ce qui concerne les activités cybernétiques malveillantes importantes », qui donne au ministère le pouvoir d'exiger des fournisseurs IaaS américains qu'ils vérifient l'identité des utilisateurs étrangers de Produits IaaS américains, pour émettre des normes et des procédures que le Département peut utiliser pour parvenir à une conclusion visant à exempter les fournisseurs IaaS d'une telle exigence, pour imposer des obligations de tenue de registres à l'égard des utilisateurs étrangers de produits IaaS américains et pour limiter l'accès de certains acteurs étrangers à Produits IaaS américains dans des circonstances appropriées.

Toutefois, pour que les fournisseurs d'IaaS puissent déterminer efficacement la localisation d'un utilisateur, ils seront tenus par la force de la loi – et sous peine de sanctions civiles et pénales – d'enregistrer, de catégoriser et de documenter la localisation d'un utilisateur et les informations personnelles qui l'accompagnent, quelle que soit la situation. leur emplacement, le tout dans le but de déterminer si un utilisateur potentiel serait considéré comme un « utilisateur étranger » ou une personne bénéficiaire.

Cela entraînera une collecte accrue d’informations telles que les comptes bancaires et les transactions financières, conduisant à des exigences généralisées de « connaissance de votre client » (KYC) qui n’ont jamais été appliquées à ce niveau aux services en ligne.

Au-delà de l'approbation du Congrès, nous pensons que ce projet de réglementation dépasse de loin les limites de l'autorité de l'agence, qu'elle émane du ministère du Commerce ou via les décrets mentionnés, et créerait des zones de risque importantes pour les utilisateurs et clients ordinaires situés à l'étranger et aux États-Unis. .

En outre, l'application et la définition larges d'un service couvert – « tout produit ou service offert à un consommateur, y compris les offres complémentaires ou « d'essai », qui fournit un traitement, un stockage, des réseaux ou d'autres ressources informatiques fondamentales, et avec lequel le consommateur est capable de déployer et d'exécuter des logiciels qui ne sont pas prédéfinis, y compris des systèmes d'exploitation et des applications » – ce qui signifie essentiellement que tout service cloud entrerait dans le champ d'application de ce règlement.

Le risque de violation de la vie privée

Étant donné que les fournisseurs de services seraient tenus de maintenir un programme d'identification des clients robuste, comme indiqué au § 7.302, cela imposerait donc à tous les fournisseurs de cloud la responsabilité de collecter et de conserver le nom complet, l'adresse, le numéro de carte de crédit, les numéros de monnaie virtuelle, l'e-mail, le téléphone. numéros, adresses IP et plus encore sur tout client potentiel de leur service.

Même si nous apprécions que les fournisseurs de cloud privé et les entreprises IaaS aient la latitude de déterminer la manière dont ils structurent leurs programmes d'identification des clients, nous pensons que l'obligation de collecter ces informations et de les stocker localement constituera un risque élevé d'accès à ces informations sans autorisation. , que ce soit par des piratages, des fuites ou d'autres activités malveillantes.

Étant donné que les prestataires de services seront tenus de cataloguer ces informations pendant des années, cela s'avérera inévitablement être une cible de grande valeur pour les acteurs malveillants, tout en n'apportant qu'un bénéfice minime aux forces de l'ordre qui peuvent déjà obtenir légalement ces informations via des mandats légalement exécutés. .

Pouvoirs extraordinaires et redondants

Les organismes d'application de la loi aux niveaux fédéral, étatique et local possèdent déjà les outils juridiques nécessaires pour assigner à comparaître ou demander aux fournisseurs de cloud de données ou aux fournisseurs de VPN des mandats légalement obtenus.

Le fait que les fournisseurs d'IaaS soient tenus non seulement de conserver ces informations, mais également de « notifier » de manière préventive les forces de l'ordre sans aucune ordonnance judiciaire ni soupçon d'un crime, viole le quatrième amendement et la clause de procédure régulière telle qu'interprétée à partir des cinquième et quatorzième amendements.

L'article § 7.306(d) énonce la condition d'être exempté des exigences en tant que « coopération volontaire » avec les organismes chargés de l'application de la loi, obligeant ensuite les fournisseurs à permettre l'accès aux « informations médico-légales pour les enquêtes sur les activités cybernétiques malveillantes identifiées ».

Nous pensons que cela donnerait facilement lieu à des abus, car cela fournirait une voie légale permettant aux entreprises de divulguer des informations sur leurs clients aux autorités gouvernementales au-delà de ce qui est nécessaire et légal, et inciterait les entreprises et les sociétés à soumettre volontairement des informations sur leurs clients aux agences gouvernementales, conformément à la loi. agents chargés de l'application des lois, et plus encore.

Telle qu'elle est rédigée, nous pensons que cette proposition de règle a été proposée à la hâte et qu'elle entraînera probablement des préjudices et des risques importants pour les données des consommateurs, leur vie privée et leur liberté de s'engager dans le libre commerce. Nous demandons instamment que cette règle soit réécrite en gardant ces préoccupations à l’esprit.

Cordialement,

Yaël Ossowski

Directeur adjoint,

Centre de choix des consommateurs

Nos commentaires sous forme PDF

Suivre:

Plus de messages

Le veto du gouverneur Scott à l'interdiction des « néonics » était la bonne décision et soutenu par la science

Centre de choix des consommateurs 21 mai 2024

La Cour suprême des États-Unis renfloue le Bureau de protection financière des consommateurs, mais une réforme radicale est nécessaire

Yaël Ossowski 16 mai 2024

Biden défend les tarifs douaniers chinois face aux critiques des groupes d'entreprises

Centre de choix des consommateurs 15 mai 2024

Abonnez-vous à notre newsletter

J'ai lu et j'accepte la politique de confidentialité.

Montrer moins	Biscuit	Durée
__cf_bm	1 heure	Ce cookie, défini par Cloudflare, est utilisé pour prendre en charge Cloudflare Bot Management.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-fonctionnel	11 mois	Le cookie est défini par GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-nécessaire	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-autres	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autre.
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
CookieLoiInfoConsentement	1 an	CookieYes définit ce cookie pour enregistrer l'état du bouton par défaut de la catégorie correspondante et le statut du CCPA. Cela fonctionne uniquement en coordination avec le cookie principal.
élémentor	jamais	Le thème WordPress du site utilise ce cookie. Il permet au propriétaire du site Web de mettre en œuvre ou de modifier le contenu du site Web en temps réel.
JSESSIONID	passé	Utilisé par les sites écrits en JSP. Cookies de session de plate-forme à usage général qui sont utilisés pour maintenir l'état des utilisateurs à travers les demandes de page.
view_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
wpEmojiSettingsSupports	session	WordPress définit ce cookie lorsqu'un utilisateur interagit avec des emojis sur un site WordPress. Cela permet de déterminer si le navigateur de l'utilisateur peut afficher correctement les emojis.

Montrer moins	Biscuit	Durée
__sharethis_cookie_test__	session	Ce cookie est défini par ShareThis, pour tester si le navigateur accepte les cookies.
bcookie	2 années	Ce cookie est défini par linkedIn. Le but du cookie est d'activer les fonctionnalités de LinkedIn sur la page.
langue	session	Ce cookie est utilisé pour stocker les préférences linguistiques d'un utilisateur afin de proposer du contenu dans cette langue stockée lors de la prochaine visite de l'utilisateur sur le site Web.
lidc	Un jour	Ce cookie est défini par LinkedIn et utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par le plugin Polylang pour les sites Web alimentés par WordPress. Le cookie stocke le code de langue de la dernière page consultée.

Montrer moins	Biscuit	Durée
__gads	1 an 24 jours	Ce cookie est défini par Google et stocké sous le nom dounleclick.com. Ce cookie est utilisé pour suivre le nombre de fois où les utilisateurs voient une publicité particulière, ce qui aide à mesurer le succès de la campagne et à calculer les revenus générés par la campagne. Ces cookies ne peuvent être lus qu'à partir du domaine sur lequel ils sont définis, de sorte qu'ils ne suivront aucune donnée lors de la navigation sur d'autres sites.
_Géorgie	2 années	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les visiteurs, les sessions, les données de campagne et suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_Géorgie_*	1 an 1 mois 4 jours	Google Analytics définit ce cookie pour stocker et compter les pages vues.
_gat_gtag_UA_111177680_1	1 minute	Ce cookie est défini par Google et est utilisé pour distinguer les utilisateurs.
_gid	Un jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur le fonctionnement du site Web. Les données collectées comprennent le nombre de visiteurs, la source d'où ils viennent et les pages visitées sous une forme anonyme.
CONSENTEMENT	16 ans 4 mois 8 jours 16 heures	Ces cookies sont définis via des vidéos YouTube intégrées. Ils enregistrent des données statistiques anonymes sur, par exemple, le nombre de fois que la vidéo est affichée et les paramètres utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte Google, dans ce cas, vos choix sont liés à votre compte, par exemple si vous cliquez sur "J'aime" sur une vidéo.

Montrer moins	Biscuit	Durée
_fbp	3 mois	Ce cookie est défini par Facebook pour diffuser des publicités lorsqu'ils sont sur Facebook ou sur une plate-forme numérique alimentée par la publicité Facebook après avoir visité ce site Web.
_tt_enable_cookie	1 an 24 jours	Tiktok a défini ce cookie pour collecter des données sur le comportement et les activités sur le site Web et pour mesurer l'efficacité de la publicité.
_ttp	1 an 24 jours	TikTok a défini ce cookie pour suivre et améliorer les performances des campagnes publicitaires, ainsi que pour personnaliser l'expérience utilisateur.
bscookie	2 années	Ce cookie est un cookie d'identification du navigateur défini par les boutons de partage liés et les balises publicitaires.
en	3 mois	Le cookie est défini par Facebook pour montrer des publicités pertinentes aux utilisateurs et mesurer et améliorer les publicités. Le cookie suit également le comportement de l'utilisateur sur le Web sur des sites dotés d'un pixel Facebook ou d'un plugin social Facebook.
EDI	1 an 24 jours	Utilisé par Google DoubleClick et stocke des informations sur la façon dont l'utilisateur utilise le site Web et toute autre publicité avant de visiter le site Web. Ceci est utilisé pour présenter aux utilisateurs des publicités qui les concernent en fonction du profil de l'utilisateur.
li_sugr	3 mois	LinkedIn définit ce cookie pour collecter des données sur le comportement des utilisateurs afin d'optimiser le site Web et de rendre les publicités sur le site Web plus pertinentes.
muc_ads	1 an 1 mois 4 jours	Twitter définit ce cookie pour collecter des données sur le comportement des utilisateurs et les interactions afin d'optimiser le site Web.
ID_personnalisation	2 années	Ce cookie est défini par twitter.com. Il est utilisé pour intégrer les fonctionnalités de partage de ce média social. Il stocke également des informations sur la façon dont l'utilisateur utilise le site Web pour le suivi et le ciblage.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. Le but du cookie est de déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Ce cookie est défini par Youtube. Utilisé pour suivre les informations des vidéos YouTube intégrées sur un site Web.
VISITOR_PRIVACY_METADATA	6 mois	YouTube définit ce cookie pour stocker l'état de consentement de l'utilisateur aux cookies pour le domaine actuel.
SJC	session	Ce cookie est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées.
yt-remote-connected-devices	jamais	Ces cookies sont définis via des vidéos YouTube intégrées.
yt-remote-device-id	jamais	Ces cookies sont définis via des vidéos YouTube intégrées.
yt.innertube::nextId	jamais	Ces cookies sont définis via des vidéos YouTube intégrées.
yt.innertube::demandes	jamais	Ces cookies sont définis via des vidéos YouTube intégrées.

Montrer moins	Biscuit	Durée
__gpi	1 an 24 jours	Pas de description
_gtm_session_start	1 heure	La description n'est pas disponible actuellement.
_mailmunch_visitor_id	jamais	Ce cookie est défini par MailMunch qui est une plateforme de collecte et de marketing par e-mail. Nous ne connaissons pas la finalité exacte du cookie.
AnalyticsSyncHistoryAnalyticsSyncHistory	1 mois	Pas de description
asp_transient_id	7 jours	Pas de description disponible.
Google AdServingTest	session	Pas de description
li_gc	2 années	Pas de description
mailmunch_second_pageview	jamais	Ce cookie est défini par MailMunch qui est une plateforme de collecte et de marketing par e-mail. Nous ne connaissons pas la finalité exacte du cookie.
raygun4js-userid	jamais	Descriptif non disponible.
st_samesite	session	Pas de description
UserMatchHistory	1 mois	Linkedin - Utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter des publicités pertinentes en fonction des préférences du visiteur.

Partager

Suivre:

Le veto du gouverneur Scott à l'interdiction des « néonics » était la bonne décision et soutenu par la science

La Cour suprême des États-Unis renfloue le Bureau de protection financière des consommateurs, mais une réforme radicale est nécessaire

Biden défend les tarifs douaniers chinois face aux critiques des groupes d'entreprises

Abonnez-vous à notre newsletter

Suivez-nous

Informations de contact