La FTC nous rappelle le droit à l'oubli

« Internet n'oublie jamais » est un avertissement : ce que vous faites en ligne pourrait vous revenir hanter plus tard. C'est aussi un mythe commun, car le contenu disparaît fréquemment, soit par accident, soit volontairement. Essayez simplement d'accéder à ces forums de discussion en ligne que vous aviez l'habitude de lire en 1998. Ou Des décennies de MTV News.

Dans certains cas, cependant, les gens pourraient souhaiter que leurs informations numériques disparaissent, en particulier lorsqu'elles sont hébergées par des entreprises auxquelles ils ne font plus confiance. La FTC a rendu cela un peu plus facile en octobre en réglé un affaire avec Marriott International. Cet accord permet aux consommateurs d'exiger que Marriott International supprime leurs dossiers. Cela pourrait-il créer un précédent aux États-Unis dont les consommateurs européens bénéficient depuis des années ?

Quand les criminels se sont enregistrés et ont consulté des millions de dossiers

En 2018, Marriott a révélé que des intrus avaient compromis le système de réservation de sa filiale Starwood Hotels & Resorts. Au cours de deux piratages, ils ont volé 339 millions de dossiers clients de Starwood, notamment des informations de carte de crédit et des numéros de passeport.

Les attaques ont commencé en 2014, avant que Marriott n'acquière Starwood. Lorsque Marriott a découvert la faille deux ans après l'acquisition de 2016, l'entreprise n'avait toujours pas transféré Starwood vers son propre système de réservation. Puis, entre 2018 et 2020, une troisième faille s'est produite, affectant cette fois les propres systèmes de Marriott. Cette intrusion a entraîné le vol de 5.2 millions de dossiers clients supplémentaires, principalement pour avoir volé leurs points de fidélité.

La plainte de la FTC contre Marriott porte sur deux points. Le premier concerne l'absence présumée de mesures de sécurité appropriées, notamment le contrôle des mots de passe, les correctifs logiciels et la journalisation du réseau. Le deuxième point concerne ce que la FTC considère comme une tromperie du consommateur par le biais de déclarations de sécurité trompeuses.

Ce que la FTC ne détaille pas explicitement dans sa plainte, c'est le revirement de Marriott sur ses allégations de cryptage. L'hôtelier avait déclaré à l'époque que les numéros de carte de crédit et certaines données de passeport dans la violation de Starwood avaient été cryptés avec AES-128, un protocole de cryptage puissant. Cependant, lors d'une audience judiciaire le 10 avril de cette année, il a été confirmé que le gouvernement avait décidé de ne pas crypter les données de ses clients. a révélé que En fait, il a été traité à l'aide de l'algorithme de hachage SHA-1. Non seulement il ne s'agit pas d'un mécanisme de chiffrement, mais des chercheurs en sécurité ont également exposé des vulnérabilités dans SHA-1 dès 2005. La NSA l'a désormais complètement abandonné.

Les consommateurs pourront bientôt supprimer leurs données Marriott

Marriott a accepté de payer une somme conséquente de 52 millions de dollars dans le cadre d'un accord séparé avec 50 procureurs généraux. Cela représente 0.8 % de ses revenus, soit un peu plus de trois jours de recettes, soit, en d'autres termes, environ 15 cents par client concerné.

L'accord conclu entre la chaîne hôtelière, les États et la FTC, pour permettre aux clients de supprimer leurs informations personnelles de ses systèmes constitue peut-être un résultat plus important pour les véritables victimes de la violation de données de Marriott. Marriott doit inclure sur son site Web un bouton permettant aux clients de demander la suppression de ces données. La chaîne doit ensuite confirmer la réception de la demande et expliquer le processus de suppression des données dans les 60 jours suivant la demande.

Ce n'est pas la première fois que la FTC émet des demandes de suppression de données dans le cadre de ses règlements. En octobre 2022, la Commission a conclu un accord avec le fournisseur de technologies éducatives Chegg pour ses prétendues lacunes en matière de cybersécurité, et l'accord comprenait une ordonnance ordonnant à l'entreprise de permettre aux consommateurs de supprimer leurs données. règlement avec En mai de cette année, la société de marketing InMarket a également inclus une demande pour que l'entreprise supprime toutes les données de localisation des clients à la demande de ces derniers.

Cependant, dans un analyse de Dans l’affaire Marriott, Jim Dempsey, directeur général du Centre juridique de cybersécurité de l’IAPP, a déclaré que l’accord conclu avec Marriott contenait quelque chose de nouveau. « C’était la première fois que la FTC exigeait d’une entreprise victime d’une faille de sécurité qu’elle fournisse à tous ses clients un lien pour demander la suppression des informations personnelles associées à une adresse e-mail et/ou à un numéro de compte de programme de fidélité », a-t-il déclaré.

Diffusion des exigences de suppression des données des consommateurs

Ces dispositions sur la suppression des données pourraient se généraliser. Les États-Unis ne disposent pas d’une loi fédérale sur la protection de la vie privée. Cependant, de nombreuses lois sur la suppression des données au niveau des États sont déjà en vigueur ou sont sur le point de l’être. Les entreprises de Californie, du Colorado, du Connecticut, de l’Utah et de Virginie doivent désormais supprimer les données des consommateurs sur demande, tandis que des lois similaires entreront en vigueur en janvier prochain dans l’Iowa et le Nebraska. D’autres lois sont en préparation.

En Europe, les entreprises sont confrontées à ce problème depuis longtemps. Le règlement général sur la protection des données (RGPD), entré en vigueur en 2018, impose aux consommateurs le droit de supprimer leurs données.

Tout cela signifie que le dernier accord de la FTC sur le droit de suppression, le plus agressif, ne sera probablement pas le dernier. Avec l'arrivée au pouvoir d'un nouveau gouvernement, largement anti-réglementation, il est difficile de savoir si le Congrès adoptera prochainement une loi fédérale globale sur le droit de suppression. Cependant, à mesure que le soutien des États aux mesures de droit de suppression augmente, la FTC dispose de plus de bases pour utiliser ce concept dans les accords avec les entreprises.

Comment préparer

Il est important que les organisations qui pensent être concernées par des demandes de suppression de données s'y préparent. Cela comporte à la fois des aspects juridiques et techniques. Pour comprendre leur responsabilité concernant une demande de suppression entrante, il faut évaluer les caractéristiques spécifiques de ces données par rapport au champ d'application de la règle, qu'il s'agisse d'un règlement réglementaire, d'une loi d'État ou d'une réglementation régionale. Cela implique de comprendre si la finalité de votre conservation des données est exemptée de la règle et si vous avez besoin des données pour exécuter un contrat avec la personne.

Si vous devez supprimer des données, cela implique d'identifier et de collecter les informations en question, souvent à partir de plusieurs systèmes. La création d'une stratégie de gouvernance des données qui prend en charge cette tâche peut inclure l'utilisation de la technologie pour étiqueter et localiser les données sur demande, puis la création d'enregistrements de suppression pour automatiser la création de rapports.

Plus les consommateurs auront le droit de supprimer leurs données, plus la confiance dans un écosystème en ligne qui les a gravement déçus sera rétablie. Les entreprises qui se préparent à cette éventualité feront plus que s'assurer qu'elles peuvent se conformer à cette règle spécifique ; elles amélioreront la gouvernance des données dans un monde qui en a cruellement besoin.