The United States Federal Trade Commission (« FTC ») frappe à nouveau. Dans le cadre de l’action intentée par la FTC concernant l’atteinte à la cybersécurité de AshleyMadison.com de Toronto (exploitée par Ruby Corp. et ci-après appelée « Ashley Madison »), un règlement a été conclu.
Le règlement conclut une enquête de la FTC et des États participants sur les pratiques déloyales et trompeuses d’Ashley Madison concernant les fausses déclarations faites à ses clients, qui ont été exposées dans sa violation de données notoire en juillet 2015. Le règlement, qui a été annoncé par la FTC le 14 décembre 2016, exige qu’Ashley Madison paie une amende de 1,6 million de dollars américains pour régler les enquêtes de la FTC et de l’État. 1
Ce recours de la FTC contre Ashley Madison est un exemple récent des mesures d’application de la loi prises par la FTC contre des entreprises américaines qui n’ont pas protégé adéquatement les renseignements personnels de leurs consommateurs. 2
Au cours des 10 dernières années, la FTC a exercé à plusieurs reprises son autorité de réglementer la cybersécurité aux États-Unis. Depuis 2014, la FTC a entrepris 18 mesures d’application de la loi liées à la sécurité des données. 3
Penalties and fines levied by the FTC are not insignificant. En particulier, en décembre 2015, la FTC a imposé des amendes de 100 millions de dollars américains à LifeLock, en partie pour des fausses déclarations qu’elle a faites aux clients concernant la protection de leurs informations privées. 4 Avant l’amende de LifeLock, la FTC a fait les manchettes en imposant une amende de 22,5 millions de dollars américains à Google pour son atteinte à la protection des données de 2012. 5
La plainte de la FTC contre Ashley Madison alléguait que l’entreprise s’était livrée à des pratiques trompeuses et déloyales. En particulier, la FTC a allégué que l’entreprise avait de faibles pratiques de sécurité, notamment :
En outre, la FTC a allégué qu’Ashley Madison avait fait un certain nombre de fausses déclarations sur la sécurité de ses données, notamment:
Le règlement conclu entre les parties exigeait à l’origine qu’Ashley Madison paie 17,5 millions de dollars américains. 8 Toutefois, en raison de l’incapacité de la société de payer le montant total du règlement, les parties ont convenu qu’un paiement immédiat de 1,6 million de dollars américains serait réparti également entre les États et la FTC. 9 Le règlement avec Ashley Madison exige également que l’entreprise maintienne un programme complet de sécurité de l’information et obtienne des évaluations biennales de la sécurité des données. 10
Despite l’amende ultime de 1,6 million de dollars américains étant considérablement inférieure à celles accordées dans les violations LifeLock et Google, le règlement envoie toujours un message clair aux entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs: cela aura un coût important.
Le pouvoir de base de la FTC en matière de protection des consommateurs est fondé sur l’article 5 de la Loi sur la Federal Trade Commission. 11 L’article 5 prévoit que les actes ou pratiques déloyaux ou mensongers dans le commerce ou affectant le commerce sont illégaux. 12 La compétence de la FTC en vertu de cet article en ce qui concerne les mesures d’application de la sécurité des données a été expressément confirmée par la Cour d’appel du troisième circuit. 13 ans
Au Canada, le Bureau de la concurrence enquête et surveille les plaintes pour pratiques déloyales ou trompeuses et applique les dispositions de la Loi sur la concurrence. 14 Si le Bureau de la concurrence conclut qu’une entreprise ne se conforme pas, il peut intenter une procédure d’application de la loi devant le Tribunal de la concurrence ou devant un tribunal civil. Sur demande du commissaire de la concurrence, le tribunal peut ordonner à une société ayant des pratiques déloyales ou trompeuses de payer une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et, pour chaque ordonnance subséquente contre cette société, un montant maximal de 15 millions de dollars. 15 ans
Le Bureau de la concurrence du Canada n’a pas cherché à réglementer la cybersécurité en vertu de son pouvoir de surveillance des pratiques déloyales ou trompeuses. Cependant, alors que les entreprises canadiennes continuent d’être exposées à des cyberattaques, le succès de la FTC dans la surveillance du cyberespace aux États-Unis pourrait avoir une influence sur le début d’une nouvelle ère d’application de la réglementation dans le cyberespace par le Bureau de la concurrence au Canada.
Les entreprises qui exercent des activités au Canada ne devraient pas exclure le risque de pénalités administratives importantes imposées par le Bureau de la concurrence en cas de non-prise de mesures adéquates pour protéger les données personnelles contre les attaques de cybersécurité.
Remarques :
1 Federal Trade Commission, « Operators of AshleyMadison.com Settle Charges », (14 décembre 2016).
2 La Federal Trade Commission a intenté plus de 60 mesures d’application de la loi liées aux violations de la sécurité des données depuis 2000, voir: Federal Trade Commission, Data Security Cases.
3 Voir : Federal Trade Commission, Data Security Cases.
4 Federal Trade Commission, « LikeLock to Pay $100 Million », (17 décembre 2015).
5 Federal Trade Commission, « Google Will Pay $22.5 Million to Settle FTC Charges », (9 août 2012).
6 Complaint, Federal Trade Commission v Ruby Corp. et al, (Case No: 16-CV-02438), au para 31 (Plainte).
7 Complaint at para 46-56.
8 A.G. Schneiderman Announces $17.5 Million Settlement », (14 décembre 2016).
9 « Ashley Madison Owner Reaches $1.6 Million Settlement », New York Times (14 décembre 2016).
10 Stipulated Order, Federal Trade Commission v Ruby Corp. et al, (Case No: 16-CV-02438) at p.4-7.
11 15 USC § 45.
12 Federal Trade Commission Act, s5(a)(1).
13 Federal Trade Commission v Wyndham Worldwide Corporation, Case No. 14-3514 (3d Cir. 2015).
14 Loi sur la concurrence, L.R.C. 1985, ch C-34, à l’article 74.01.