Les professeurs de droit Daniel Solove (@danielsolove) et Woodrow Hartzog (@hartzog) publient sur FierceITSecurity une intéressante tribune suggérant 5 pistes à la Commission fédérale du commerce (FTC) américaine pour améliorer la sécurité des données. Pour les deux juristes, la FTC devrait être plus proactive sur la prévention, plutôt que de réagir uniquement quand des piratages massifs de données ont été révélés. Intervenir plus souvent lorsqu’une infraction est constatée (la FTC n’est intervenue que pour 50 problèmes concernant des données alors qu’elle signale plus de 5000 infractions par an). Elle devrait multiplier les interventions pour encourager les entreprises à mieux prendre en compte la sécurité des données. Elle devrait encourager les entreprises à améliorer leurs processus d’authentification, notamment en encourageant des méthodes plus efficaces que les mots de passes. Elle devrait limiter l’usage du numéro de sécurité social comme méthode d’authentification. Enfin, elle devrait développer une “théorie de l’intendance des données pour des tiers”, que la FTC a commencé à esquisser (.pdf). “La protection des données ne consiste pas seulement à mettre en place des pare-feu, à utiliser le cryptage, ou à proposer un bon protocole d’authentification. Il consiste d’abord à gérer les données. Or, les entreprises partagent souvent les données personnelles qu’elles détiennent avec des partenaires tiers. Les personnes dont les données sont impliquées ont rarement leur mot à dire dans les tiers choisis ou dans les arrangements conclus avec des tiers.” La FTC devrait préciser que l’obligation de protection des données des utilisateurs ne concerne pas que les entreprises qui les détiennent, mais également celles avec qui elles les partagent.