La FCC vient de donner un grand coup de pied dans la fourmilière des données de localisation. T-Mobile, AT&T et Verizon sont condamnées à une amende globale de 196,5 millions de dollars. La somme est répartie comme suit : 80,1 millions de dollars pour T-Mobile, 57,3 millions de dollars pour AT&T et 46,9 millions de dollars pour Verizon. Manquent 12,2 millions de dollars, qui sont en fait infligés à Sprint, rachetée par T-Mobile en 2018 pour 26,5 milliards de dollars.

« Les enquêtes menées par le Bureau d'application de la FCC auprès des quatre opérateurs ont révélé que chacun d'entre eux vendait l'accès aux informations de localisation de ses clients à des "agrégateurs", qui revendaient ensuite l'accès à ces informations à des fournisseurs tiers de services de géolocalisation. Ce faisant, chaque opérateur a tenté de se décharger de son obligation d'obtenir le consentement du client sur les destinataires en aval des informations de localisation, ce qui, dans de nombreux cas, signifiait qu'aucun consentement valable du client n'avait été obtenu », a déclaré la FCC dans un communiqué.

Toujours selon la Commission, « cet échec initial a été aggravé lorsque, après avoir pris conscience de l'inefficacité de leurs mesures de protection, les opérateurs ont continué à vendre l'accès aux informations de localisation sans prendre de mesures raisonnables pour les protéger de tout accès non autorisé ».

Des rapports qui remontent à 2018

Comme l’indique la Commission dans son communiqué, les premiers rapports datent de 2018. Ils faisaient suite à une enquête initiée par le sénateur Ron Wyden, souvent impliqué dans les questions de vie privée.

Ces rapports faisaient état de données divulguées par « les plus grands opérateurs américains de téléphonie mobile », sans aucun consentement, « à un shérif du Missouri par l'intermédiaire d'un "service de localisation" exploité par Securus ». Cette entreprise est spécialisée dans les services de communication pour les établissements pénitentiaires. Elle peut notamment « localiser de nombreuses personnes ».

Les opérateurs auraient été avertis de ce comportement. Pourtant, ils « ont continué à exploiter leurs programmes sans mettre en place de garanties raisonnables pour s'assurer que les dizaines de fournisseurs de services de géolocalisation ayant accès aux informations de localisation de leurs clients obtenaient effectivement le consentement de ces derniers ».

Jessica Rosenworcel, présidente de la FCC, n’a pas mâché ses mots [PDF]. Notant que « nos smartphones nous accompagnent en permanence » et que, par conséquent, ils « savent où nous nous trouvons à tout moment », les données de localisation sont particulièrement sensibles : « Elles reflètent qui nous sommes et où nous allons. Entre de mauvaises mains, elles peuvent permettre à ceux qui nous veulent du mal de nous localiser avec une grande précision ».

« C'est exactement ce qui s'est passé lorsque les médias ont révélé que les plus grands opérateurs de téléphonie mobile du pays vendaient nos informations de localisation en temps réel à des agrégateurs de données, permettant ainsi à ces données hautement sensibles de se retrouver entre les mains de sociétés de cautionnement, de chasseurs de primes et d'autres acteurs douteux », ajoute-t-elle.

Elle évoque une « pratique peu glorieuse » et un viol de la loi sur les communications. Tout particulièrement l’article 222 protégeant la confidentialité des données des consommateurs.

Dissensions politiques...

Il est intéressant de noter que la FCC, de nouveau à majorité démocrate, n’a fait que valider des mesures qui avaient été préparées par l’administration précédente en 2020. Quand la Federal Communications Commission était donc à majorité républicaine et dirigée par Ajit Pai, qui avait pour rappel enterré la Neutralité du net aux États-Unis.

• • La FCC rétablit la réglementation sur la neutralité du net aux États-Unis

Le montant des amendes avait été décidé à cette époque. Cependant, la FCC s’est retrouvée pendant un long moment dans une impasse, car constituée de quatre membres seulement : deux démocrates et deux républicains. Les sanctions n’avaient pas été entérinées à la suite d’un vote à égalité 2 - 2. La validation s’est faite avec l’arrivée d’un troisième démocrate, le vote final étant été – sans grande surprise – de 3 - 2.

Nathan Simington, l’un des deux républicains, a indiqué que la FCC avait envoyé « un signal fort au marché selon lequel toute violation présumée... peut entraîner et entraînera une amende exorbitante ». Selon lui, « les utilisateurs valides et légaux de services de données de localisation fondés sur le consentement » s’en retrouvent d’autant plus « étouffés ».

... et différences d’interprétation

Du côté du second républicain, Brendan Carr, l’explication est un peu plus technique. La loi américaine sur les communications évoque ainsi les CPNI, pour Customer Proprietary Network Information. Leur définition est précise : des « informations relatives à la quantité, à la configuration technique, au type, à la destination, à la localisation et à la quantité d'utilisation d'un service de télécommunications souscrit par un client d'une entreprise de télécommunications, et mises à la disposition de l'entreprise par le client en vertu de sa relation avec l'entreprise ».

Or, ce sont les CPNI qui sont essentiellement protégées par la loi sur les communications. Pour Brendan Carr, la Commission « n'a jamais considéré que les informations de localisation autres que les "informations de localisation des appels" constituaient des CPNI ». Avec cette décision, la FCC affirmerait pour la première fois le contraire. Et même dans ce cas, il s’agirait alors d’amendes rétroactives, puisque ce point n’avait pas été éclairci en 2020, quand le montant des amendes a été décidé.

Le même commissaire avait pourtant soutenu la procédure et le montant des amendes il y a quatre ans. Pourquoi ? « Afin que nous puissions enquêter sur les faits et déterminer si les transporteurs avaient ou non violé des dispositions de la loi sur les communications ». Il existe en effet une grande différence, dans la méthodologie de la FCC, entre l’avis initial de responsabilité apparente (Notices of Apparent Liability) et la décision finale, appelée notification de confiscation.

Les opérateurs contestent les condamnations et feront appel

Les trois opérateurs ont bien sûr fustigé la décision de la FCC et ont promis qu’ils feraient appel.

« [La Commission] nous tient injustement pour responsables de la violation par une autre société de nos obligations contractuelles d'obtenir le consentement, ignore les mesures immédiates que nous avons prises pour remédier aux manquements de cette société et nous punit de manière perverse pour avoir soutenu des services de localisation vitaux tels que les alertes médicales d'urgence et l'assistance routière, que la FCC elle-même avait déjà encouragés », a ainsi tempêté AT&T.

Verizon abonde : « Lorsqu'un mauvais acteur a obtenu un accès non autorisé à des informations concernant un très petit nombre de clients, nous avons rapidement et proactivement mis fin aux agissements du fraudeur, fermé le programme et veillé à ce que cela ne se reproduise pas ». De plus, le programme en question « Verizon a déclaré que le programme aujourd'hui interrompu « nécessitait le consentement explicite et volontaire du client et était destiné à soutenir des services tels que l'assistance routière et les alertes médicales ».

Le sénateur Ron Wyden se réjouit au contraire de la décision de la FCC. « Aucune personne ayant souscrit à un forfait cellulaire n'a pensé qu'elle autorisait son opérateur téléphonique à vendre un enregistrement détaillé de ses déplacements à quiconque possède une carte de crédit », a-t-il ainsi déclaré hier. « Je félicite la FCC d'avoir donné suite à mon enquête et d'avoir tenu ces entreprises pour responsables de la mise en danger de la vie et de la vie privée de leurs clients ».