L’opérateur américain AT&T vient de se voir infliger une amende de 25 millions de dollars par la Federal Communications Commission (FCC), suite à une enquête portant sur l’utilisation abusive des données privées de 280 000 clients par des centres d’appel au Mexique, en Colombie et aux Philippines.

 

Il s’agit selon la FCC de la plus importante procédure jamais entamée à ce jour pour assurer la confidentialité des données privées.

 

Parmi les faits reprochés à AT&T figurent l’utilisation abusive de numéros de sécurité sociale et l’accès non autorisé à des données (en principe) protégées relatives au compte du client, appelées customer proprietary network information (CPNI).

 

AT&T va devoir prévenir tous les clients dont les comptes ont été indûment pénétrés et payer un service de surveillance de crédit à tous les clients touchés par les abus commis en Colombie et aux Philippines.

 

Selon l’enquête de la FCC,  des employés des centres d’appel utilisaient les données piratées pour obtenir le déblocage de téléphones mobiles AT&T, puis fournissaient des informations à des parties tierces impliquées dans le trafic de téléphones cellulaires volés ou importés illégalement.

 

« La Commission ne peut rester, et ne restera pas, passive quand des pratiques laxistes de sécurisation des données exposent les informations de centaines de milliers des Américains les plus vulnérables à l’usurpation d’identité et à la fraude », a indiqué le Président de la FCC, Tom Wheeler.

 

AT&T va maintenant devoir améliorer sérieusement ses pratiques relatives à la protection des données et de la confidentialité, entre autres en nommant un responsable professionnel spécialisé  et certifié de la sécurité, en formant régulièrement ses employés et en fournissant régulièrement à la FCC des rapports sur les mesures entreprises.

 

Selon Robert Cattanach, du cabinet de juristes international Dorsey & Whitney, les  abus reprochés à AT&T « mettent en question l’intégrité des centres d’appel situés hors des Etats-Unis. Le fait que les premiers abus aient été découverts au Mexique, puis dans la foulée en Colombie et aux Philippines, suggère que, plus que d’avoir été victime d’une action isolée, AT&T pourrait bien souffrir d’une sérieuse vulnérabilité systémique. »

 

Le règlement de l’affaire « rehausse en outre la barre des punitions pour de tels abus, avec un montant deux fois et demie plus élevé que la plus grosse amende jamais infligée », ajoute Robert Cattanach.

 

La Commission dit qu’elle a entrepris l’an passé cinq procédures majeures destinées à assurer le respect des données privées. La liste comprend une amende de 2,9 millions de dollars infligée à Dialing Services pour avoir violé la règle de la Commission qui protège les consommateurs du « harcèlement, intrusif et non désiré par des appels automatisés » sur les appareils mobiles. La FCC a également réclamé 7,5 millions de dollars à Sprint, accusé de n’avoir pas honoré ses engagements à respecter la volonté de ses clients de ne pas recevoir d’appels ou textos non désirés.