Verizon va devoir verser près de 7,4 millions de dollars pour éteindre un conflit à l’amiable avec la Federal Communications Commission. En cause : l'opérateur de télécommunications américain n’avait pas alerté ses abonnés de leur droit d’opposition sur les données personnelles exploitées à des fins marketing.
La Commission fédérale des communications reproche à l’opérateur de télécommunication de ne pas avoir informé 2 millions de nouveaux clients de leurs droits relatifs à la vie privée, dès leur première facture ou dans un courrier dédié. Spécialement, la FCC pointe un défaut d’information sur le droit de s'opposer à ce que ces données personnelles soient à l'avenir exploitées par l’opérateur dans des campagnes marketing.
Outre ce chèque de 7,4 millions de dollars, Verizon s’est engagée à informer ses clients de cette possibilité sur toutes leurs factures qui leur seront adressées ces trois prochaines années. « Il est totalement inacceptable qu’un opérateur téléphonique utilise les données personnelles de ses abonnés pour des milliers de campagnes marketing sans même leur offrir le choix de s’y opposer » a réagi Travis LeBlanc, l’un des responsables de la FCC.
Opt-in ou opt-ou et information de l'abonné
L’agence indépendante américaine rappelle que ces entreprises sont sur un nid d’or, collectant des données sensibles comme les consommations téléphoniques et les localisations géographiques. Or, « la loi sur les communications (Communications Act) exige de leur part une protection de ces informations » poursuit la FCC. Ces entreprises peuvent certes les exploiter commercialement mais seulement après en avoir recueilli le consentement du consommateur, soit par opt-in (il exprime positivement son choix de voir ces données exploitées), soit à tout le moins, par opt-out (il ne s’y oppose pas). C’est justement ce qui est reproché à Verizon qui, depuis 2006 a oublié ces règles à maintes reprises. De fait, l’enquête a montré que Verizon n’a découvert ce problème qu’en septembre 2012 pour n’alerter la FCC que 126 jours plus tard soit bien au-delà des 5 jours encadrés par la loi.
Le récent cas Orange en France
En France, la CNIL a récemment sanctionné Orange pour « défaut de sécurité des données dans le cadre de campagnes marketing », après une faille touchant 1,3 million de clients, découverte chez l’un de ses prestataires. Cette faille, notifiée à la CNIL par l’opérateur, frappait de nombreuses données (les nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile des abonnés, notamment).
La CNIL a estimé qu’Orange avait manqué de prudence, relevant au passage qu’elle n’avait pas réalisé d’audit de sécurité sur son prestataire, « alors que cette mesure lui aurait permis d'identifier la faille de sécurité ». Surtout, la CNIL « a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire ». Pour cette violation à l’article 34 de la loi Informatique et Libertés, la CNIL a prononcé à l’encontre d’Orange un « avertissement public ».
Cette sanction a pu être jugée faible mais il ne faut pas oublier que la CNIL ne pouvait pas légalement dépasser les 150 000 euros d'amende. Surtout, la mesure de publicité a été largement rapportée dans les médias, avec des abonnés qui ont pu découvrir à cette occasion la drôle de circulation de leurs informations sensibles entre opérateurs et sous-traitant. Une baffe publique qui entraîne un lourd déficit d'image pour l'opérateur. On pourra d'ailleurs relire le billet du juriste Willy Duhen commentant cette décision.
Commentaires (5)
#1
un paille quoi
#2
Tout cet argent payé, il devient quoi? C’est jamais reversé aux consommateurs….
#3
Opt-in ou opt-ou
#4
#5
roh, je suis étonné de Verizon… ou pas.