La Commission fédérale des communications des États-Unis a annoncé lundi qu’elle infligerait une amende totale d’environ 200 millions de dollars aux quatre principaux opérateurs de téléphonie mobile américains pour avoir partagé et vendu « illégalement » les données de localisation en temps réel de leurs clients sans leur consentement.
L’amende d’AT&T s’élève à plus de 57 millions de dollars, celle de Verizon à près de 47 millions de dollars, celle de T-Mobile à plus de 80 millions de dollars et celle de Sprint à plus de 12 millions de dollars, selon l’annonce de la FCC.
« Nos fournisseurs de communications ont accès à certaines des informations les plus sensibles nous concernant. Ces transporteurs n’ont pas réussi à protéger les informations qui leur étaient confiées. Ici, nous parlons de certaines des données les plus sensibles en leur possession : les informations de localisation en temps réel des clients, révélant où ils vont et qui ils sont », a déclaré la présidente de la FCC, Jessica Rosenworcel, dans le communiqué.
La FCC a déclaré que son service d’enquête, l’Enforcement Bureau, avait conclu que les quatre sociétés vendaient l’accès aux données de localisation de leurs clients à des sociétés tierces, que la FCC appelait des « agrégateurs », qui à leur tour revendaient les données de localisation à d’autres sociétés. Ces séries de ventes et de reventes ont effectivement créé tout un marché gris pour les données de localisation historiques et en temps réel des abonnés aux téléphones portables. La plupart des clients ignoraient même l’existence d’un tel marché pour leurs données, et encore moins consentaient à la vente de leurs données.
Les opérateurs de téléphonie mobile sont tenus par la loi de « maintenir la confidentialité de ces informations client et d’obtenir le consentement affirmatif et exprès du client avant d’utiliser, de divulguer ou d’autoriser l’accès à ces informations », a écrit la FCC.
Ces amendes surviennent des années après que des enquêtes menées par des agences de presse ont révélé que les quatre transporteurs partageaient ce type de données avec les forces de l’ordre et des chasseurs de primes, entre autres organisations.
En 2018, le New York Times a rapporté que les responsables de l’application des lois et des services correctionnels aux États-Unis utilisaient une société appelée Securus Technologies pour suivre la localisation des personnes. La solution de Securus reposait sur « un système généralement utilisé par les spécialistes du marketing et d’autres sociétés pour obtenir des données de localisation auprès des principaux opérateurs de téléphonie mobile », a écrit le New York Times.
L’année suivante, une enquête de la carte mère a révélé que les chasseurs de primes pouvaient géolocaliser n’importe quel client de téléphone portable pour seulement 300 dollars. « Ces capacités de surveillance sont parfois vendues via des réseaux de bouche à oreille », écrivait à l’époque Joseph Cox de mère, qui travaille maintenant chez 404 Media.
La FCC a écrit qu’en dépit de ces rapports publics, les quatre opérateurs n’ont pas mis en place de mesures de protection « pour garantir que les dizaines de fournisseurs de services de localisation ayant accès aux informations de localisation de leurs clients obtenaient réellement le consentement de leurs clients » et ont continué à vendre les données. .
Les quatre transporteurs ont critiqué la décision et ont déclaré qu’ils avaient l’intention de faire appel.
La porte-parole de T-Mobile, Tara Darrow, a déclaré dans un communiqué que « ce programme de services géolocalisés d’agrégateur tiers à l’échelle de l’industrie a été interrompu il y a plus de cinq ans après que nous avons pris des mesures pour garantir que les services critiques tels que l’assistance routière, la protection contre la fraude et les interventions d’urgence. ne serait pas perturbé.
Darrow a déclaré que T-Mobile, qui a fusionné avec Sprint en 2020, ferait appel de la décision.
« Nous prenons très au sérieux notre responsabilité de garantir la sécurité des données de nos clients et avons toujours soutenu l’engagement de la FCC à protéger les consommateurs, mais cette décision est erronée et l’amende est excessive. Nous avons l’intention de le contester », indique le communiqué.
Le porte-parole d’AT&T, Alex Byers, a également déclaré que la société ferait appel et a déclaré que la décision de la FCC « manque de fondement juridique et factuel ».
« Cela nous tient injustement responsable de la violation par une autre entreprise de nos exigences contractuelles en matière d’obtention du consentement, ignore les mesures immédiates que nous avons prises pour remédier aux échecs de cette entreprise et nous punit de manière perverse pour avoir soutenu des services de localisation vitaux comme les alertes médicales d’urgence et l’assistance routière que le FCC elle-même l’avait auparavant encouragé. Nous prévoyons de faire appel de l’ordonnance après avoir procédé à un examen juridique », a déclaré Byers dans une déclaration envoyée à TechCrunch.
Le porte-parole de Verizon, Rich Young, a déclaré que « l’ordonnance de la FCC se trompe à la fois sur les faits et sur la loi, et nous prévoyons de faire appel de cette décision ».
« Dans ce cas, lorsqu’un acteur malveillant a obtenu un accès non autorisé à des informations relatives à un très petit nombre de clients, nous avons rapidement et de manière proactive éliminé le fraudeur, fermé le programme et veillé à ce que cela ne se reproduise plus », a déclaré le ministère. déclaration lue. « Gardez à l’esprit que l’ordonnance de la FCC concerne un ancien programme que Verizon a fermé il y a plus de cinq ans. Ce programme nécessitait le consentement affirmatif et facultatif du client et était destiné à prendre en charge des services tels que l’assistance routière et les alertes médicales.