"Un peu plus sur PD": les sociétés de télévision américaines cesseront de vendre les géodonnées de leurs clients

La semaine dernière, les sociétés de télécommunications américaines Verizon, AT&T et Sprint Corp ont déclaré qu'elles ne vendraient plus les données de localisation des appareils des utilisateurs aux courtiers.

Sous la coupe, nous expliquerons pourquoi les opérateurs de télécommunications ont pris une telle décision.


/ photo Bertram Nudelbach CC

Problème avec les données de géolocalisation

Un courtier de données est une organisation qui recueille et vend des informations sur les utilisateurs de divers services. Les courtiers analysent l'historique des recherches et des achats sur le réseau, ainsi que les informations spécifiées dans les profils des réseaux sociaux (état civil, éducation, intérêts, etc.). Souvent, leurs clients sont des entreprises qui mènent des campagnes publicitaires ciblées. Par exemple, les services des courtiers ont eu recours à Facebook .

Les courtiers collectent également des données sur la géolocalisation des utilisateurs - ils achètent ces informations auprès des opérateurs mobiles. Les données de localisation des appareils sont utilisées par les systèmes anti-fraude et les entreprises fournissant une assistance d'urgence sur la route - en cas de panne de voiture ou en cas d'accident.

Cependant, fin juin, il est devenu connu qu'un certain nombre de fournisseurs de télécommunications américains cesseront de vendre des données sur l'emplacement des appareils de leurs clients. La décision est intervenue après que le sénateur Ronald Lee Wyden a annoncé que certains courtiers avaient transféré des données à des tiers, et ils les ont utilisés sans le consentement des utilisateurs pour «suivre» les téléphones.

Il est également devenu connu qu'un des courtiers qui ont collaboré avec Verizon a transmis les géodonnées aux organisations qui les ont utilisées pour suivre les gens.

Par conséquent, Verizon a annoncé qu'il cesserait de vendre des données de localisation aux courtiers de données. Peu de temps après Verizon, AT&T, Sprint Corp et T-Mobile ont également modifié leurs politiques de localisation des clients.


/ Catalogue de livres photo CC

Problèmes de sécurité

L'une des raisons du refus de vendre des données de géolocalisation est également le fait que de nombreux sites de "courtage" sont mal protégés. En cas de piratage de l'un d'entre eux, les pirates pourront établir l'emplacement de n'importe quel téléphone aux États-Unis.

Alex Haynes, spécialiste de la sécurité de l'information et chercheur, a analysé les sites Web des courtiers de données américains à la recherche de vulnérabilités et a découvert que la moitié avait obtenu un score inférieur à A lors du passage au test SSL Labs . Et sur un certain nombre de ressources, il a révélé des injections SQL.

Et il y a eu des cas où les informations transmises aux courtiers sont tombées entre les mains de tiers à l'insu des prestataires. En 2011, des attaquants ont «piraté» la société de marketing Epsilon et des millions d'adresses e-mail de personnes (figurant sur la liste marketing de la société) ont «fui» sur le réseau. En conséquence, les propriétaires de ces e-mails ont été attaqués par des spammeurs et ont été victimes de phishing ciblé .

Et en 2015, les crackers du courtier de données Experian ont «divulgué» des informations personnelles à 15 millions d'utilisateurs, y compris leurs noms, adresses, numéros de sécurité sociale et passeports.

US Data Brokers Regulation

À la lumière des événements récents, et puisque les courtiers utilisent les données personnelles des utilisateurs, certains législateurs américains ont décidé de prêter attention à la réglementation de ce domaine.

Par exemple, en mai de cette année, l'État du Vermont a adopté la loi H.764 , selon laquelle tous les courtiers de données travaillant dans l'État du Vermont ou collectant des informations sur ses résidents doivent s'inscrire chaque année auprès des autorités locales, observer toutes les mesures de sécurité prescrites par la loi, et signaler les fuites de données aux forces de l'ordre (ce qui était auparavant facultatif).

Les autorités d'autres États prennent également des mesures pour resserrer les exigences de traitement des DP. Par exemple, à partir de septembre de cette année, les entreprises opérant dans le Colorado seront tenues d'informer les clients et les autorités de l'État de la «fuite de données» dans les 30 jours, et les résidents de la Californie pourraient avoir des droits supplémentaires concernant la DP si une nouvelle initiative «réussit le test». ".

Parmi ces droits: le droit de fournir des informations collectées par toute entreprise au propriétaire du PD; le droit d'exiger que les entreprises ne vendent pas ou ne fournissent pas de PD à des tiers à des fins commerciales.

De cela, nous pouvons conclure que le gouvernement américain et les fournisseurs sont progressivement conscients du danger posé par les fuites de données personnelles, ils essaient donc de protéger la population du pays contre les menaces potentielles en raison d'une réglementation législative plus stricte.

---

PS Quelques documents supplémentaires du premier blog IaaS d'entreprise:

• Ce qui concerne les données personnelles du point de vue du régulateur russe
• Protection des données personnelles: une approche européenne
• Traitement des données personnelles: ce que dit la loi

PPS Posts sur un sujet de notre blog sur Habré:

• «Selon le RGPD»: comment les réseaux sociaux modifient les politiques de confidentialité et les principes de travail avec PD
• Délai non respecté, ou pourquoi plus de la moitié des entreprises n'étaient pas prêtes pour le RGPD
• La réforme du droit d'auteur de l'UE pourrait changer complètement le statut du Web

---

L'activité principale de la société IT-GRAD est la fourniture de services cloud:

Infrastructure virtuelle (IaaS) | Hébergement PCI DSS | Cloud FZ-152 | Louer 1C dans le cloud

---