Confidentialité des données : des amendes de 200 millions proposées contre les opérateurs américains

(Washington) Le régulateur américain des télécoms (FCC) veut sanctionner les quatre principaux opérateurs télécoms américains, à hauteur de 200 millions de dollars, pour avoir divulgué la localisation de leurs clients sans leur autorisation, d’après un communiqué publié vendredi.

La FCC accuse les opérateurs d’avoir « apparemment vendu l’accès aux données de géolocalisation de leurs clients sans prendre les mesures appropriées pour protéger ces informations (de tiers non autorisés à les consulter) ».

Elle leur reproche aussi d’avoir « apparemment divulgué l’emplacement de leurs clients, sans leur autorisation, à des tiers ».

En conséquence, la FCC a proposé des amendes de 91 millions de dollars pour T-Mobile, 57 millions pour AT&T, 48 millions pour Verizon et 12 millions pour Sprint. Les quatre opérateurs peuvent faire valoir leurs arguments avant que le régulateur ne prenne sa décision finale.

C’est d’ailleurs l’intention de T-Mobile : « Nous soutenons sans réserve l’engagement de la FCC à protéger les consommateurs, mais nous allons contester leurs conclusions et l’amende associée », a réagi le groupe dans une déclaration envoyée à l’AFP.

« Quand nous avons appris que des tiers néfastes exploitaient notre programme d’agrégation, nous avons pris des mesures immédiatement » raconte l’opérateur.

« Nous étions le fournisseur internet à nous engager à mettre fin à ce programme et nous l’avons effectivement arrêté en février 2019 après nous être assurés que des services légitimes et importants n’étaient pas affectés », ajoute-t-il.

L’agence fédérale explique avoir mené l’enquête après l’affaire Cory Hutcheson, un ancien shérif de l’État du Missouri condamné l’année dernière pour avoir pisté des personnes via leur téléphone intelligent entre 2014 et 2017.

Des enquêtes parues dans la presse américaine ont aussi montré qu’il était possible de localiser quelqu’un en ayant simplement son numéro de téléphone et en payant des chasseurs de prime qui n’ont même pas besoin de pirater le réseau.  

« Les quatre opérateurs vendent l’accès aux informations de géolocalisation de leurs clients à des “agrégateurs”, qui revendent ensuite ces données à des tiers, des fournisseurs de services basés sur la localisation », explique la FCC.

Les contrats passés avec les tiers comportaient des obligations pour les services en question « d’obtenir le consentement des clients concernés avant d’accéder à leurs informations », précise la FCC.

Comme T-Mobile, Sprint a déclaré « prendre la vie privée et la sécurité » de ses clients « très au sérieux ». L’opérateur, qui a conclu un accord de fusion avec T-Mobile l’année dernière, n’a pas indiqué pour l’instant s’il comptait aussi contester les conclusions de la FCC.

« Ces amendes, c’est trop peu, trop tard », a réagi l’ONG américaine Center for Democracy and Technology.

« Ce genre de violation flagrante de la vie privée et la faiblesse de la réaction de la FCC prouve la nécessité d’une loi nationale forte et exhaustive sur la protection des données personnelles », a déclaré Lisa Hayes, codirectrice de l’ONG par intérim.

Dans le cas des opérateurs, la loi sur les communications protège en théorie leurs clients, « mais depuis que le Congrès a empêché la tentative de la FCC d’étendre le périmètre de cette loi, il n’y a pas grand-chose qui empêche les entreprises de vendre des données similaires obtenues à partir de la navigation internet de leurs consommateurs », ajoute l’ONG.