1 points par GN⁺ 2024-04-30 | 1 commentaires | Partager sur WhatsApp
  • La FCC a confirmé des amendes totalisant près de 200 millions de dollars contre AT&T, Sprint, T-Mobile et Verizon après le partage externe, sans consentement, de droits d’accès aux données de localisation en temps réel des clients
  • Les opérateurs ont vendu ces droits d’accès à des agrégateurs, qui les ont ensuite revendus à des prestataires tiers de services basés sur la localisation
  • Le dispositif consistait à transférer aux destinataires en aval la responsabilité d’obtenir le consentement des clients, mais dans de nombreux cas, aucun consentement valable n’a été obtenu et les mesures de protection n’étaient pas suffisantes
  • Les amendes s’élèvent à plus de 12 millions de dollars pour Sprint, plus de 80 millions pour T-Mobile, plus de 57 millions pour AT&T et environ 47 millions pour Verizon ; Sprint et T-Mobile ont fusionné après le début de l’enquête
  • La Section 222 du Communications Act impose la protection des informations clients, y compris les données de localisation, ainsi qu’un consentement explicite ; les mêmes obligations s’appliquent aussi au partage avec des tiers

Structure de revente des données de localisation et montant des amendes

  • Le 29 avril 2024, la FCC a infligé des amendes à de grands opérateurs mobiles américains pour avoir partagé illégalement des droits d’accès aux données de localisation de leurs clients
    • Sprint : plus de 12 millions de dollars
    • T-Mobile : plus de 80 millions de dollars
    • AT&T : plus de 57 millions de dollars
    • Verizon : environ 47 millions de dollars
  • Chaque opérateur a vendu des droits d’accès aux données de localisation des clients à des agrégateurs, qui les ont ensuite revendus à des prestataires tiers de services basés sur la localisation
  • Les opérateurs ont tenté de transférer aux destinataires en aval l’obligation d’obtenir le consentement des clients, mais dans de nombreux cas, aucun consentement client valable n’a été obtenu
  • Même après avoir appris que les mesures de protection n’étaient pas efficaces, les quatre opérateurs ont continué d’exploiter leurs programmes de vente de droits d’accès aux données de localisation sans prendre de mesures raisonnables pour empêcher les accès non autorisés
  • La présidente de la FCC, Jessica Rosenworcel, a souligné qu’il s’agissait d’informations sensibles pouvant révéler les déplacements et l’identité des clients

Déclenchement de l’enquête et fondement juridique

  • L’enquête a commencé en 2018 à la suite d’une lettre ouverte du sénateur Ron Wyden et de reportages publics sur des cas d’usage connexes
  • Selon ces reportages, un shérif du Missouri avait pu suivre la localisation de plusieurs personnes via un service de consultation de localisation exploité par Securus, prestataire de services de communication pour établissements pénitentiaires
  • La FCC a estimé que, même après avoir eu connaissance d’accès non autorisés, les quatre opérateurs n’avaient pas mis en place de mesures de protection raisonnables pour vérifier si les prestataires de services basés sur la localisation obtenaient réellement le consentement des clients
  • Les textes applicables, dont la Section 222 du Communications Act, imposent notamment aux opérateurs les obligations suivantes
    • prendre des mesures raisonnables pour protéger certaines informations clients, y compris les données de localisation
    • préserver la confidentialité des informations clients
    • obtenir un consentement explicite et affirmatif du client avant toute utilisation, divulgation ou autorisation d’accès aux informations
    • appliquer les mêmes obligations lors du partage des informations clients avec des tiers

Confirmation des décisions et mesures de suivi

  • Les présentes Forfeiture Orders confirment les Notices of Apparent Liability émises en février 2020
    • les amendes visant AT&T et Sprint sont identiques à celles de l’étape NAL
    • les amendes visant T-Mobile et Verizon ont été réduites après examen complémentaire des éléments fournis dans leurs réponses aux NAL
    • la loi n’autorise pas une augmentation du montant de confiscation pour certaines infractions après l’émission d’un NAL
  • Décisions concernées :
  • La présidente de la FCC a mis en place en 2023 la Privacy and Data Protection Task Force, chargée de coordonner au sein de l’agence les besoins liés à l’élaboration des règles, à l’application et à la sensibilisation du public en matière de vie privée et de protection des données
  • La FCC précise que cette annonce constitue une communication informelle sur une action de la Commission, et que la publication intégrale des ordonnances de la Commission constitue l’action officielle

1 commentaires

 
GN⁺ 2024-04-30
Avis de Hacker News
  • Le point essentiel, c’est la transparence. Pas une « politique de confidentialité », mais la possibilité de voir à qui l’entreprise a vendu ou transmis mes informations, et quelles restrictions étaient attachées à cette vente.
    Le concept est simple. Si vous collectez mes informations et les rendez accessibles à d’autres entités, vous devez m’en informer, me permettre de le vérifier facilement et de bloquer cet accès. Si les gens savaient simplement ce qui se passe réellement, la plupart des abus liés aux données personnelles disparaîtraient.

    • Tout devrait relever du consentement préalable. La charge devrait peser sur l’entreprise, avec un message du type : « Nous voulons partager vos données, et voici les avantages si vous acceptez. »
    • Il faut aussi inclure les entreprises qui, comme Facebook, analysent les données pour produire des inférences plus profondes à mon sujet. Je devrais avoir le droit de voir toutes les conclusions tirées sur moi à partir de mes données, ne serait-ce que pour corriger des hypothèses erronées ou en apprendre davantage sur moi-même.
    • Si l’on élargit l’exigence « je veux voir à qui l’entreprise a vendu ou transmis mes informations, et quelles restrictions étaient attachées à cette vente », une loi obligeant les entreprises à conserver une chaîne de conservation (custody chain) chaque fois qu’elles transmettent des données personnelles me semble relativement peu controversée.
      Il vaudrait mieux supprimer purement et simplement le commerce des données personnelles, mais une première étape pourrait consister à infliger de lourdes amendes aux entreprises qui ne tracent pas précisément quelles entités ont manipulé les données des utilisateurs.
    • Il faut aussi des alternatives que les gens puissent réellement utiliser. Bien sûr, s’il existe une fonction de blocage, cela peut aussi fonctionner.
    • Le cœur du problème n’est pas la transparence, mais la surveillance et l’impuissance.
  • 200 millions de dollars, c’est de la petite monnaie. Ces opérateurs le font depuis longtemps, et rien ne changera.
    Au mieux, une note de bas de page sera ajoutée à leur politique de confidentialité.

    • La question est de savoir combien ils ont gagné en vendant ces données. Si 200 millions de dollars sont une broutille parce qu’ils en ont gagné 200 milliards, ce n’est pas très pertinent. Si les revenus réels étaient bien inférieurs à 200 millions de dollars, alors ils arrêteront.
    • Plus précisément, c’est une société tierce appelée Securus qui avait conclu des contrats d’achat de données de localisation avec les opérateurs mobiles et proposait un produit global permettant, en pratique, de suivre presque tout le monde.
      Securus était à l’origine une entreprise surtout active dans les services liés aux détenus aux États-Unis ; après avoir collecté les données de tout le monde, elle a reconditionné cette capacité et ces relations sous forme de service. Après la décision de la FCC, elle semble avoir disparu, dans une tentative maladroite d’éviter d’autres poursuites.
      https://securustechnologies.tech/investigative/investigation...
      Il n’y a pas encore de détails techniques sur la précision du suivi. La frontière entre le modem de l’opérateur et le firmware/matériel est floue, probablement à dessein. Il est peu probable qu’ils aient pu interroger des coordonnées GPS en temps réel ; il est en revanche très probable qu’ils aient interrogé les ASN au niveau des antennes-relais afin de fournir une zone approximative de localisation de l’utilisateur.
    • Par coïncidence, j’ai reçu un e-mail m’informant d’une hausse de 5 dollars par ligne chez Verizon, tandis que mon Internet augmente chez ATT.
      La FCC a encaissé 200 millions de dollars d’amende, mais il n’y a pas de peine de prison, et sur ces 200 millions, 0 dollar reviendra aux personnes dont la vie privée a été violée. Au final, c’est juste un lundi ordinaire, comme d’habitude.
    • Le montant n’est pas l’essentiel ; l’essentiel, c’est le fait d’avoir été sanctionné.
      Les actionnaires n’aiment pas entendre : « Nous avons déjà reçu une amende pour ça, nous avons continué, et maintenant nous devons en payer une autre. » Et si l’entreprise a effectivement déjà été sanctionnée par le passé pour les mêmes faits, l’administration, les tribunaux et les jurys regarderont aussi avec davantage de scepticisme une défense fondée sur « nous ne savions pas ».
  • J’ai travaillé autrefois dans un hedge fund qui achetait chaque mois des données de ping de téléphones mobiles concernant 125 millions d’Américains.
    Toutes sortes d’algorithmes de deep learning analysaient les achats, les entrepôts logistiques et d’autres flux de fréquentation. Les gens n’ont aucune idée du niveau de compréhension atteint par les investisseurs privés. Cela va beaucoup plus loin que ce que montrent les chiffres publics, et certaines des personnes les plus intelligentes de la planète extraient des informations considérables des habitudes quotidiennes des Américains. Presque tous les algorithmes statistiques connus de l’humanité ont été appliqués à ces données.

    • C’était pour analyser « le marché », c’est-à-dire la façon dont les gens ordinaires consomment ?
    • Je me demande jusqu’où on est allé dans la mise en relation de différents jeux de données et la désanonymisation.
      Par exemple, imaginons que j’achète tout en espèces, que j’utilise une SIM prépayée et un téléphone dont l’historique d’achat n’est pas associé à mon nom, et que je n’exécute rien que je n’aie pas compilé moi-même depuis les sources. Si j’utilisais NixOS sur mon téléphone, mes données seraient-elles suffisamment inutiles pour ne pas entrer dans ce genre de jeux de données ? Ou bien sont-ils déjà tellement habitués à relier un grand nombre de points de données que le fait de n’utiliser que des espèces n’a plus vraiment d’importance ?
  • Sur la base du chiffre d’affaires quotidien combiné de T-Mobile, AT&T et Verizon, il leur faut environ 9 heures pour générer 196 millions de dollars.
    Si l’on suppose un chiffre d’affaires quotidien combiné de 45,5 millions de dollars pour T-Mobile, 125,6 millions pour AT&T et 349,3 millions pour Verizon, cela donne un total de 520,4 millions de dollars. Divisé par 24 heures, cela fait 21,6 millions de dollars par heure ; en divisant l’amende de 196 millions de dollars par ce montant, on obtient environ 9,07 heures.

    • Le calcul est faux. Si le chiffre d’affaires quotidien est de 520,4 millions de dollars, il faut moins d’une demi-journée pour générer 196 millions de dollars de chiffre d’affaires.
      Une approche plus intéressante serait de raisonner en termes de bénéfice, ce qui se rapproche davantage de l’impact réel.
  • Le simple fait de dire qu’ils ont « partagé le droit d’accès aux informations de localisation des clients sans consentement » ne semble pas empêcher les opérateurs d’ajouter « partage des données de localisation » dans un EULA ou une politique de confidentialité que personne ne lit, puis de continuer en affirmant qu’ils ont désormais obtenu le consentement.
    Si l’on n’exige pas de proposer une option de refus distincte, cela ressemble à un ralentisseur temporaire qui, à long terme, ne changera rien.

    • Il faut une loi qui traite le problème lui-même. Par exemple, la collecte de données de localisation ne devrait être autorisée que lorsque l’entité qui collecte ou le service en a explicitement besoin et les utilise directement, et le partage ou la vente devraient être interdits.
    • Le document plus long aborde ce point : https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      La Commission a reconnu que, pour protéger les CPNI des clients, la seule exigence de consentement préalable n’est pas suffisante. En particulier, des méthodes comme le « pretexting », qui consiste à obtenir illégalement des informations client en se faisant passer pour un client précis ou une personne autorisée, peuvent contourner l’exigence de consentement préalable.
    • Je me demande aussi si l’opérateur doit faire quelque chose de plus quand une banque inclut une clause de consentement aux données de localisation dans une demande de carte de crédit.
      Elle peut ou non y ajouter une formule comme « à des fins de prévention de la fraude et/ou autres ». Même chose pour les assureurs. J’ai déjà vu ce genre de clause, et je suis convaincu que les données viennent des opérateurs mobiles.
  • Les autorités judiciaires américaines n’achètent-elles pas ce type de données commerciales pour contourner l’obligation d’obtenir un mandat ?

    • Si.
  • AT&T a-t-il déjà été sanctionné pour avoir permis à la NSA d’intercepter l’intégralité des données réseau déchiffrées ? Ça me paraît bien plus grave.
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • Si la NSA facturait la restauration des sauvegardes de disque de tout le monde qu’elle a conservées, elle pourrait sans doute s’autofinancer.
    • Dans cette affaire, les deux partis ont soutenu l’immunité rétroactive.
    • Il suffit d’envoyer la facture à la NSA.
  • Article lié :
    Cape a levé 61 millions de dollars auprès d’A16Z et d’autres pour un service mobile qui n’utilise pas les données personnelles.
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • Ce sont des sanctions civiles. Je me demande dans quelles limites la FCC agit, ou, s’il n’y en a pas, dans quel cadre.
    Aurait-elle pu infliger des amendes plus élevées ? Et je me demande aussi si cela pèse sur la décision du DOJ d’engager ou non des poursuites pénales.