Les compagnies de téléphone pourraient devoir suivre de nouvelles règles sur la façon dont elles informent les clients et le gouvernement suite à une violation de données si une proposition de la présidente de la Federal Communication Commission, Jessica Rosenworcel, est adoptée. L'avis de proposition de réglementation, publié mercredi, cite la “fréquence et la gravité croissantes des failles de sécurité impliquant des informations client” comme un risque pour les consommateurs.
Les règles actuelles donnent aux fournisseurs de télécommunications sept jours ouvrables pour informer le FBI et les services secrets des violations de données qui divulguent des informations sur le réseau propriétaire du client, ou CPNI. Dans la plupart des cas, l'entreprise ne peut pas informer les clients de la violation avant sept jours ouvrables après que l'information a été transmise aux forces de l'ordre fédérales. La proposition suggère de supprimer ce délai d'attente obligatoire et ajoute la FCC à la liste des agences que les entreprises devront notifier en cas de violation de données. Il indique également qu'ils devraient envoyer des notifications même en cas de violation par inadvertance.
La nouvelle d'une violation doit actuellement être transmise aux forces de l'ordre avant de pouvoir être envoyée aux consommateurs
Selon la FCC, les CPNI font partie des “informations personnelles les plus sensibles que les opérateurs et les fournisseurs possèdent sur leurs clients”. Il peut inclure des données telles que la personne à qui un client a passé des appels et quand et où ces appels ont été passés. Il peut également inclure le nom du compte de facturation des clients, leur numéro de téléphone et de compte, ainsi que des informations sur leur forfait. La mise à jour proposée “alignerait mieux les règles de la Commission” sur celles qui ont récemment été mises en place pour d'autres industries par les gouvernements fédéral et des États, selon l'avis.
Cette proposition n'est pas faite dans le vide. Fin décembre, la nouvelle a annoncé qu'une violation de données avait révélé le CPNI de certains clients de T-Mobile. Le transporteur avait également subi un incident de cybersécurité beaucoup plus important au début de 2021, qui a touché plus de 50 millions de personnes et était déjà la cinquième violation du transporteur en quatre ans. Bien que T-Mobile affirme avoir informé les clients concernés après la violation de décembre, les règles proposées par la FCC auraient imposé des exigences plus strictes sur la manière et le moment où ces notifications ont été envoyées.
Il faudra peut-être un certain temps avant que nous voyions ces exigences s'appliquer réellement aux compagnies de téléphone – la FCC est actuellement dans une impasse politique, avec deux membres démocrates (dont Rosenworcel) et deux membres républicains. La Maison Blanche a nommé Gigi Sohn pour occuper le cinquième siège de la commission, ce qui ferait pencher la balance, mais il y a actuellement une impasse avec le Sénat pour la faire confirmer. Même si le Sénat parvient à confirmer Sohn malgré les vœux de certains sénateurs républicains de bloquer sa nomination, la proposition n'est que le début du processus de modification des règles.