Suite à la décision FTC v. Wyndham, la FTC se voit reconnaître sa compétence en matière de données personnelles
Aux Etats-Unis le droit à la vie privée et à la protection des données personnelles est soumis à différentes législations étatiques et fédérales.
Les lois fédérales confèrent un pouvoir réglementaire et législatif à plusieurs organisations gouvernementales, telles que la « Federal Trade Commission » (FTC), les organisations fédérales de contrôle et de régulation du secteur bancaire dont fait notamment partie le « Consumer Financial Protection Bureau » (organisation de contrôle au niveau fédéral des banques, des caisses populaires, des entreprises de courtage, des agences de recouvrement, et d’un certain nombre d’autres institutions financières), et le « Department of Health and Human Services » (DHS) (en charge, entre autres, de la protection des données personnelles dans le secteur de la santé). En général, les lois et réglementations fédérales s’appliquent aux personnes et/ou entreprises exerçant une activité inter-étatique, ou avec et depuis l’étranger.
Les lois étatiques diffèrent des lois fédérales, et diffèrent également, parfois de façon substantielle, d’un État à l’autre. En général, les lois étatiques s’appliquent aux personnes et/ou entreprises exerçant leurs activités dans l’État en question, peu importe la nationalité des personnes ou entreprises concernées. Il convient de s’assurer pour chaque État dans lequel vous exercez vos activités, des conditions d’application des lois en matière de vie privée et de protection des données personnelles.
Afin d’être en règle avec les différentes réglementations, il est primordial de connaître les règles applicables tant au niveau fédéral qu’au niveau étatique. Même si ce constat peut sembler évident, il n’est pas toujours facile de savoir sous le joug de quelle institution tombe une entreprise. En effet, ne serait-ce qu’au niveau fédéral, suivant le secteur d’activité de l’entreprise, l’organisation en charge du respect des règles ne sera pas la même. Il ne faut donc pas seulement savoir quelle loi fédérale, et étatique suivre, mais aussi quelle est l’organisation fédérale en charge de la réglementation du secteur d’activité de l’entreprise.
Normalement, chaque organisation fédérale traite d’un secteur en particulier; ainsi le secteur de la santé est régi par le « Department of Health and Human Services » (DHS), le secteur de la finance par le « Consumer Financial Protection Bureau », le secteur de l’éducation par le « Department of Education », le secteur du télémarketing et du marketing par la « Federal Communications Commission », de concert avec la FTC. En dehors de ces catégories, la « Federal Trade Commission » joue un rôle primordial depuis les années 1990 dans la protection de la vie privée et des données personnelles dans le commerce.
La « Federal Trade Commission » (FTC) est l’homologue américaine de la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) en France. Elle a pour mission l’application du droit de la consommation, et contrôle également les pratiques commerciales telles que les monopoles déloyaux.
Jusqu’à cette année, il n’était pas clair si la FTC avait les pouvoirs de sanctionner une entreprise commerciale lorsqu’elle se faisait pirater et qu’une violation des données personnelles de ses clients en résultait. En effet, à première vue, ceci ne semblait pas être dans ses attributions. Comment la FTC peut-elle en effet sanctionner une entreprise commerciale pour violation des données personnelles de ses clients, alors que l’entreprise elle-même est victime d’un piratage ?
La Cour, dans l’arrêt du 24 août 2015, FTC v. Wyndham, répond à cette question et reconnaît expressément la compétence de la FTC en la matière.
La FTC se base sur la section 5 du Federal Trade Commission Act[1] qui interdit les pratiques trompeuses, ou déloyales dans le commerce pour s’attribuer la compétence de sanctionner les pratiques de Wyndham. Wyndham avait rejeté cette compétence en tentant de démontrer que ses pratiques commerciales n’étaient ni trompeuses, ni déloyales, puisque l’entreprise elle-même était victime de plusieurs piratages informatiques conduisant aux violations des données personnelles de ses clients.
Quelques mots sur Wyndham :
Wyndham est une entreprise gérant des hôtels sous sa propre enseigne, ainsi que 90 autres hotels sous franchise. Entre 2008 et 2009, Wyndham a été victime de trois cyber attaques similaires aboutissant à une perte de 10,6 millions de dollars pour ses clients. La Federal Trade Commission (FTC) a donc porté plainte contre Wyndham pour pratique déloyale et trompeuse. En effet, la FTC reproche plusieurs choses qui, selon elle, prises dans leur ensemble, exposent le consommateur à un grand risque de vol de ses données personnelles, ce qui constitue une pratique commerciale déloyale. En particulier, l’agence reproche à Wyndham les faits suivants :
1 – Avoir autorisé les hôtels sous franchise à stocker des informations comme le numéro de carte de crédit des clients dans un format lisible de tous.
2 – Avoir autorisé l’utilisation d’un mot de passe et d’un identifiant faciles à deviner, comme par exemple « Micros » comme identifiant et mot de passe.
3 – Avoir manqué de mettre en place des mesures de sécurité basiques, comme l’utilisation de firewalls.
4 – Avoir manqué de s’assurer que les franchises avaient des mesures de sécurité adéquates, et qu’elles suivaient les mesures de protection qu’elles avaient adoptées. De plus, Wyndham avait autorisé une franchise à se connecter au réseau de Wyndham avec un système opératoire périmé qui n’avait pas reçu de mise à jour depuis 3 ans.
5 – Avoir manqué de mettre en place des restrictions sur l’accès des tiers au réseau.
6 – Avoir manqué de conduire des audits de sécurité.
7 – Avoir manqué de mettre en place une procédure à suivre en cas de cyber attaque.
La Cour a finalement donné raison à la FTC. Wyndham était certes victime de cyber attaques, mais n’avait rien mis en place pour les éviter, ce qui a entrainé plusieurs autres attaques et une perte d’environ 10,6 millions de dollars pour ses clients. Ce mépris total des conséquences d’un piratage pour ses clients et son oisiveté à gérer le problème sont considérés comme des pratiques déloyales, et tombent sous le joug de la FTC.
Wyndham a tenté, sans succès, de démontrer que l’entreprise ne pouvait pas raisonnablement savoir qu’elle était soumise aux règles de la FTC en cas de violation des données personnelles suite à un piratage de son système informatique, et que la sanctionner serait une violation de son droit constitutionnel à un procès équitable (due process). La Cour a rejeté rapidement cet argument en faisant remarquer que Wyndham avait été victime de trois attaques similaires sur son réseau informatique. Si après la première attaque il n’était pas certain que l’entreprise puisse être sanctionnée, il est clair qu’elle pouvait s’en douter après une troisième attaque due à sa passivité.[2]
En conclusion, la FTC est venue combler un vide juridique, et se voit désormais reconnaître parmi ses compétences le droit de réglementer les activités commerciales touchant à la vie privée, ainsi que la protection des données personnelles. Cependant, la FTC n’est pas le seul organe régulateur, puisqu’une entreprise peut aussi être soumise à d’autres réglementations, notamment étatiques.
Pour plus d’informations, vous pouvez nous contacter dans la rubrique « contactez- nous ». Vous pouvez également consulter le guide de bonne conduite en matière de protection de données personnelles de la FTC « Start with security: A Guide for Business », ou lire l’arrêt FTC v. Wyndham du 24 août 2015.
> Start with security: A Guide for Business
> FTC v. Wyndham