La Federal Trade Commission améri­caine (FTC) a notam­ment pour mandat de surveiller le respect de la Section 5 du Federal Trade Commission Act, lequel inter­dit les « unfair or decep­tive prac­tices in the market­place ». Pour cela, elle doit véri­fier le respect de diverses légis­la­tions fédé­rales, à défaut de l’exis­tence d’une seule légis­la­tion en la matière. La FTC a dû modi­fier son approche d’enfor­ce­ment afin de prendre en compte la privacy and data secu­rity en raison des déve­lop­pe­ments de nouvelles tech­no­lo­gies et de nouveaux modèles d’entreprises.

Dans son rapport 2020 sur la Privacy and Data Security, la FTC livre notam­ment des résu­més de ses affaires rela­tives à la protec­tion de la vie privée et à la cyber­sé­cu­rité. Nous en évoquons ci-dessous quelques-uns.

En avril 2020, un accord entre la FTC et Facebook a été confirmé judi­ciai­re­ment. Il s’agit de l’amende la plus impor­tante jamais impo­sée en matière de privacy : Facebook a dû payer USD 5’000’000’000.-. En viola­tion d’un ordre de la FTC de 2012, la firme cali­for­nienne a non seule­ment commu­ni­qué de fausses infor­ma­tions à ses utili­sa­teurs sur leur capa­cité de contrô­ler leurs données, mais elle n’a égale­ment pas mis en place de garan­ties suffi­santes en faveur de la protec­tion des données. Par ailleurs, le réseau social n’a pas indi­qué qu’il utili­se­rait les numé­ros de télé­phone four­nis par ses utili­sa­teurs pour l’au­then­ti­fi­ca­tion à deux facteurs afin de les cibler avec de la publicité.

En novembre 2020, la FTC s’en est prise à Zoom. Cette société, bien connue depuis mars 2020, affir­mait de manière trom­peuse que les commu­ni­ca­tions entre utili­sa­teurs étaient cryp­tées. Par ailleurs, l’installation de Zoom sur un ordi­na­teur Mac entraî­nait l’installation d’un programme annexe permet­tant de déjouer la protec­tion offerte par Safari. Ce programme tiers demeu­rait installé, même si le logi­ciel Zoom était par la suite désins­tallé. En raison de ces manque­ments, Zoom doit deman­der à un tiers indé­pen­dant d’éta­blir un rapport d’au­dit bisan­nuel sur son programme sécu­rité et noti­fier à la FTC tout data breach.

En plus de ces deux cas impor­tants, la FTC a ouvert plusieurs procé­dures contre des socié­tés qui certi­fiaient, de manière erro­née, dispo­ser d’une bonne sécu­rité des données. À titre exem­pla­tif, Tapplock préten­dait que ses serrures intel­li­gentes connec­tées à Internet étaient incas­sables. SkyMed Internional Inc. a affirmé, à tort, que des données médi­cales de 130’000 clients n’étaient pas libre­ment acces­sibles, alors qu’elles avaient été dépo­sées sur un cloud non sécu­risé. Pour sa part, Ascension Data & Analytics LLC a trans­mis les données de ses clients à un sous-trai­tant, lequel avait égale­ment mal confi­guré ses accès cloud. Or, en vertu du droit finan­cier améri­cain, la société devait s’assurer que son sous-trai­tant proté­geait de manière appro­priée les données qui lui étaient confiées.

D’autres procé­dures de la FTC concernent l’ap­pli­ca­tion du Fair Credit Reporting Act. Cette légis­la­tion établit des exigences pour les entre­prises qui utilisent des données pour déter­mi­ner la solva­bi­lité, l’éli­gi­bi­lité à l’as­su­rance, l’ap­ti­tude à l’emploi et pour sélec­tion­ner les loca­taires. Mortgage Solutions FCS a par exemple été amen­dée pour avoir révélé des données clients dans ses réponses aux posts critiques publiés sur Yelp. National Landmark Logisitics utili­sait des robo­calls pour lais­ser des messages trom­peurs indi­quant aux personnes qu’elles faisaient l’ob­jet d’un audit ou d’une procé­dure et qu’elles allaient rece­voir des docu­ments à leur domi­cile ou à leur travail. Les robo­calls mena­çaient les personnes de pour­suites judi­ciaires s’ils n’ef­fec­tuaient pas immé­dia­te­ment un paie­ment. Une autre société de recou­vre­ment de créances (Midwest Recovery Systems) a égale­ment été amen­dée pour avoir ajouté des dettes fictives ou très douteuses dans les dossiers de crédit des clients afin de les contraindre à les payer.

Enfin, en matière de privacy and data secu­rity, la FTC s’oc­cupe égale­ment de véri­fier la bonne mise en œuvre des méca­nismes inter­na­tio­naux de trans­fert de données, tels que le EU‑U.S. Privacy Shield Framework, le Swiss‑U.S. Privacy Shield Framework et le Asia-Pacific Economic Cooperation Cross-Border Privacy Rules System (cf. swiss​pri​vacy​.law/​17/). Elle a ainsi sanc­tionné diverses entre­prises pour n’avoir pas respecté ces méca­nismes ou avoir allé­gué à tort de les avoir rejoints.

Rompu au RGPD, le lecteur euro­péen sera toujours étonné de la diver­sité des lois et des règles améri­caines en matière de privacy and data secu­rity. Il devrait néan­moins garder un œil atten­tif aux déve­lop­pe­ments outre-Atlantique. En effet, même si les règles divergent, nos préoc­cu­pa­tions en matière de protec­tion et de sécu­rité des données sont proches. Les déci­sions de la FTC peuvent ainsi être d’une précieuse aide afin de mieux respec­ter et répondre aux attentes des consom­ma­teurs européens.