La FCC inflige des amendes aux plus grands opérateurs mobiles américains pour partage de données de localisation

 (docs.fcc.gov)
1 points par GN⁺ 2024-04-30 | 1 commentaires | Partager sur WhatsApp
  • La FCC a infligé à AT&T, Sprint, T-Mobile et Verizon des amendes totalisant près de 200 millions de dollars pour avoir illégalement partagé des informations de localisation avec des tiers sans le consentement des clients
    • Sprint et T-Mobile ont fusionné après le début de l’enquête, et font face respectivement à des amendes de 12 millions et 80 millions de dollars
    • AT&T s’est vu infliger une amende de plus de 57 millions de dollars, et Verizon une amende d’environ 47 millions de dollars

Violation de l’obligation de protection des données clients

  • Selon l’enquête du bureau d’application de la FCC, chaque opérateur a vendu l’accès aux informations de localisation des clients à des « agrégateurs », qui revendaient ensuite cet accès à des fournisseurs tiers de services fondés sur la localisation
  • Chaque opérateur a tenté de transférer aux destinataires en aval des informations de localisation l’obligation d’obtenir le consentement des clients, ce qui signifie que, dans la plupart des cas, aucun consentement client valable n’a été obtenu
  • Cet échec initial a été aggravé par le fait que les opérateurs ont continué à vendre l’accès aux informations de localisation sans prendre de mesures raisonnables pour les protéger contre les accès non autorisés, même après avoir constaté l’inefficacité des garde-fous en place

Obligation de protection des informations clients au titre de la section 222 de la loi sur les communications

  • En vertu de la loi, notamment de la section 222 de la loi sur les communications, les opérateurs doivent prendre des mesures raisonnables pour protéger certaines informations clients, y compris les données de localisation
  • Les opérateurs doivent également préserver la confidentialité des informations clients et obtenir un consentement actif et explicite du client avant d’utiliser, de divulguer ou d’autoriser l’accès à ces informations
  • Ces obligations s’appliquent de la même manière lorsque les opérateurs partagent des informations clients avec des tiers

Déclaration de Loyaan A. Egal, directeur du bureau d’application de la FCC

  • « La protection et l’utilisation de données personnelles sensibles comme les informations de localisation sont sacrées »
  • « Si elles tombent entre de mauvaises mains ou sont utilisées à des fins malveillantes, elles nous mettent tous en danger »
  • « Comme les puissances étrangères hostiles et les cybercriminels ont fait de l’obtention de ces informations une priorité, il est de la plus haute importance pour le bureau d’application de veiller à ce que les fournisseurs de services disposent de protections raisonnables pour sécuriser les données de localisation des clients et obtiennent un consentement valable pour leur utilisation »

Finalisation des Notices of Apparent Liability (NAL) émises en février 2020

  • Les Forfeiture Orders annoncées aujourd’hui rendent définitives les Forfeiture Orders émises en février 2020 à l’encontre de ces opérateurs
  • Le montant des amendes d’AT&T et de Sprint n’a pas changé depuis l’étape des NAL
  • Les amendes de T-Mobile et de Verizon ont été réduites après un examen complémentaire des observations soumises en réponse aux NAL
  • La loi n’autorise pas une révision à la hausse du montant des amendes pour certaines infractions après l’émission d’une NAL

Avis de GN⁺

  • Le fait que des opérateurs aient divulgué sans autorisation les données de localisation sensibles de leurs clients et n’aient pas mis en place de garde-fous adéquats pour l’empêcher constitue un problème très grave. C’est d’autant plus préoccupant que des puissances étrangères hostiles et des cybercriminels cherchent précisément à obtenir ce type d’informations
  • Cela dit, cette mesure semble arriver bien trop tard. Les amendes semblaient déjà annoncées en 2020, et le fait que la décision finale n’intervienne que quatre ans plus tard paraît problématique. Des mesures rapides et sévères sont nécessaires en cas de fuite de données clients
  • Par ailleurs, le montant des amendes pourrait ne pas représenter un impact majeur pour des opérateurs de cette taille. Des moyens de sanction plus forts pourraient être nécessaires pour éviter une récidive des violations de données clients
  • Les opérateurs télécoms coréens devraient tirer les leçons de cette affaire, renforcer davantage leurs dispositifs de protection des données clients et veiller à respecter strictement la réglementation applicable. Une prudence accrue s’impose en particulier pour les informations sensibles comme les données de localisation

À lire aussi

1 commentaires

 
GN⁺ 2024-04-30
Avis Hacker News

Voici un résumé des points clés des commentaires Hacker News, présenté sous forme de liste à puces en Markdown :

  • La question centrale est la transparence :

    • Les utilisateurs veulent savoir à qui les entreprises ont vendu ou transmis leurs informations, ainsi que les limites encadrant ce partage.
    • Si une entreprise collecte des données utilisateur et permet à une autre entité d’y accéder, elle devrait en informer les utilisateurs et leur permettre de s’y opposer facilement.
    • La plupart des abus liés aux données personnelles disparaîtraient si les gens savaient que cela se produisait.

  • L’amende de 200 M$ est insignifiante pour ces opérateurs :

    • Il suffirait d’environ 9 heures de revenus journaliers cumulés de T-Mobile, AT&T et Verizon pour générer 196 millions de dollars de chiffre d’affaires.
    • Il est peu probable que quoi que ce soit change, à part l’ajout d’une note de bas de page dans la politique de confidentialité.

  • Doutes sur l’efficacité de l’action de la FCC :

    • Sans obligation d’un opt-out distinct, les opérateurs pourraient simplement ajouter le « partage des données de localisation » à l’EULA / politique de confidentialité et continuer à invoquer le « consentement ».
    • Cela ressemble à un obstacle temporaire qui ne change rien sur le long terme.

  • Réactions positives à l’action de la FCC :

    • Certains se réjouissent de voir la FCC agir et l’encouragent à poursuivre dans cette voie.

  • Questions sur le contournement des mandats par les forces de l’ordre :

    • Certains craignent que les forces de l’ordre américaines achètent ce type de données commerciales pour éviter d’avoir à obtenir un mandat.

  • Startup connexe proposant un service mobile sans données personnelles :

    • Cape a levé 61 M$ auprès de A16Z et d’autres investisseurs pour un service mobile qui n’utilise pas de données personnelles.

  • Comparaison avec le scandale de surveillance AT&T/NSA :

    • Certains se demandent si quelqu’un a été sanctionné pour avoir laissé la NSA accéder à l’ensemble des données réseau déchiffrées, ce qui semble encore plus grave.

  • Questions sur l’impact pour les agrégateurs de données de localisation :

    • Certains se demandent si des utilisateurs de prestataires comme Zumigo, LocationSmart ou Microbilt ont constaté un affaiblissement des signaux de données ou de leur disponibilité en lien avec cette affaire.
    • Beaucoup s’attendent à ce que les sources de tracking restent disponibles, mais avec de nouvelles mentions « plus transparentes ».

  • Interrogation sur une éventuelle vente des données de localisation par Google Fi :

    • Un commentateur se demande si le propre service mobile de Google, Google Fi, vend les données de localisation en temps réel de ses utilisateurs.