En réponse à la plus grande violation de données jamais enregistrée en Australie, le gouvernement fédéral va suspendre temporairement la réglementation qui empêchent les opérateurs de télécommunications de partager les informations des clients avec des tiers.
C’est une étape nécessaire pour faire face à la menace de vol d’identité à laquelle sont confrontés 10 millions de clients actuels et anciens d’Optus. Cela permettra à Optus de travailler avec les banques et les agences gouvernementales pour détecter et prévenir l’utilisation frauduleuse de leurs données.
Mais ce n’est encore qu’une mesure corrective, destinée à être en place pendant 12 mois. Une réforme plus substantielle est nécessaire pour renforcer l’approche lâche de l’Australie en matière de confidentialité et de protection des données.
Changer la réglementation, pas la législation
Les changements – annoncé par le trésorier Jim Chalmers et la ministre fédérale des Communications Michelle Rowland – impliquent la modification du Règlement sur les télécommunications 2021.
C’est un morceau de « subalterne » ou « droit délégué » au Loi de 1997 sur les télécommunications. Modifier la loi elle-même nécessiterait un vote du parlement. Les règlements peuvent être modifiés à la discrétion du gouvernement.
En vertu de la loi sur les télécommunications, le fait pour les opérateurs de télécommunications de partager des informations sur « les affaires ou les données personnelles d’une autre personne » constitue une infraction pénale.
Les seules exceptions sont le partage d’informations avec le Service Relais National (qui permet aux personnes malentendantes ou souffrant de troubles de la parole de communiquer par téléphone), à des « entités de recherche autorisées » telles que des universités, des agences de santé publique ou des commissions électorales, ou à des agences de police et de renseignement avec un mandat.
Cela signifie qu’Optus ne peut pas dire aux banques ou même aux agences gouvernementales mises en place pour prévenir la fraude d’identité, comme le peu connu Bourse australienne contre la criminalité financièrequi sont les clients concernés.
Garanties importantes
Le gouvernement affirme que les changements ne permettront que le partage de «informations d’identification approuvées par le gouvernement” – numéros de permis de conduire, d’assurance-maladie et de passeport.
Ces informations ne peuvent être partagées qu’avec des agences gouvernementales ou des institutions financières régulé par l’Autorité australienne de réglementation prudentielle. Cela signifie qu’Optus (ou tout autre opérateur de télécommunications) ne pourra pas partager d’informations avec les succursales australiennes de banques étrangères.
Les institutions financières devront également répondre à des exigences strictes concernant les méthodes sécurisées de transfert et de stockage des informations personnelles partagées avec elles, et prendre des engagements auprès de la Commission australienne de la concurrence et de la consommation (qui peut être exécuté en justice).
Les informations peuvent être partagées uniquement « aux seules fins de prévenir ou de répondre aux incidents de cybersécurité, à la fraude, à l’escroquerie ou au vol d’identité ». Toute entité recevant des informations doit les détruire après les avoir utilisées à cette fin.
Ce sont des garanties extrêmement importantes compte tenu de l’absence actuelle de limites sur la durée pendant laquelle les entreprises peuvent conserver les données d’identité.
Ce qu’il faut maintenant
Bien que temporaires, ces changements pourraient changer la donne. Au cours des 12 prochains mois, au moins, Optus (et peut-être d’autres opérateurs de télécommunications) seront en mesure de partager de manière proactive les informations des clients avec les banques pour prévenir la cybersécurité, la fraude, les escroqueries et le vol d’identité.
Cela pourrait potentiellement permettre une répression des escroqueries qui affectent à la fois les banques et les opérateurs de télécommunications, telles que SMS et appels téléphoniques frauduleux.
Mais cela n’annule pas la nécessité d’un programme de réforme législative plus large.
Les lois et réglementations australiennes sur la confidentialité des données devraient imposer des limites à la quantité de données que les entreprises peuvent collecter ou à la durée pendant laquelle elles peuvent conserver ces informations. Sans limites, les entreprises continueront de collecter et de stocker beaucoup plus d’informations personnelles qu’ils ont besoin.
Cela nécessitera de modifier la Loi fédérale sur la protection des renseignements personnels – sous réserve d’une examen du gouvernement maintenant près de trois ans. Il devrait y avoir des limites sur les données que les entreprises peuvent conserver et pendant combien de temps, ainsi que des sanctions plus lourdes en cas de non-conformité.
Nous devons tous prendre plus au sérieux la confidentialité des données.
