Écrit par Ruth Promislow and David Cassin
The United States Federal Trade Commission (« FTC ») frappe à nouveau. Dans le cadre de l’action intentée par la FTC concernant l’atteinte à la cybersécurité de AshleyMadison.com de Toronto (exploitée par Ruby Corp. et ci-après appelée « Ashley Madison »), un règlement a été conclu.
Le règlement conclut une enquête de la FTC et des États participants sur les pratiques déloyales et trompeuses d’Ashley Madison concernant les fausses déclarations faites à ses clients, qui ont été exposées dans sa violation de données notoire en juillet 2015. Le règlement, qui a été annoncé par la FTC le 14 décembre 2016, exige qu’Ashley Madison paie une amende de 1,6 million de dollars américains pour régler les enquêtes de la FTC et de l’État. 1
Ce recours de la FTC contre Ashley Madison est un exemple récent des mesures d’application de la loi prises par la FTC contre des entreprises américaines qui n’ont pas protégé adéquatement les renseignements personnels de leurs consommateurs. 2
Au cours des 10 dernières années, la FTC a exercé à plusieurs reprises son autorité de réglementer la cybersécurité aux États-Unis. Depuis 2014, la FTC a entrepris 18 mesures d’application de la loi liées à la sécurité des données. 3
Penalties and fines levied by the FTC are not insignificant. En particulier, en décembre 2015, la FTC a imposé des amendes de 100 millions de dollars américains à LifeLock, en partie pour des fausses déclarations qu’elle a faites aux clients concernant la protection de leurs informations privées. 4 Avant l’amende de LifeLock, la FTC a fait les manchettes en imposant une amende de 22,5 millions de dollars américains à Google pour son atteinte à la protection des données de 2012. 5
La plainte et le règlement
La plainte de la FTC contre Ashley Madison alléguait que l’entreprise s’était livrée à des pratiques trompeuses et déloyales. En particulier, la FTC a allégué que l’entreprise avait de faibles pratiques de sécurité, notamment :
- ne pas former adéquatement le personnel et la direction de l’entreprise sur les tâches de sécurité des données;
- l’incapacité d’avoir une politique de sécurité écrite; et
- omettre de surveiller et de vérifier l’efficacité des mesures de sécurité. 6
En outre, la FTC a allégué qu’Ashley Madison avait fait un certain nombre de fausses déclarations sur la sécurité de ses données, notamment:
- qu’il a pris des mesures raisonnables pour s’assurer que le site Web était sécurisé;
- qu’il a reçu un « Prix de sécurité de confiance » (qui semblait avoir été fabriqué);
- que certaines communications reçues par les utilisateurs provenaient de femmes réelles alors qu’en fait elles provenaient de robots informatiques; et
- qu’il a supprimé les informations de profil utilisateur pour les utilisateurs qui ont payé pour une « suppression complète » de leur profil. 7
Le règlement conclu entre les parties exigeait à l’origine qu’Ashley Madison paie 17,5 millions de dollars américains. 8 Toutefois, en raison de l’incapacité de la société de payer le montant total du règlement, les parties ont convenu qu’un paiement immédiat de 1,6 million de dollars américains serait réparti également entre les États et la FTC. 9 Le règlement avec Ashley Madison exige également que l’entreprise maintienne un programme complet de sécurité de l’information et obtienne des évaluations biennales de la sécurité des données. 10
Despite l’amende ultime de 1,6 million de dollars américains étant considérablement inférieure à celles accordées dans les violations LifeLock et Google, le règlement envoie toujours un message clair aux entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs: cela aura un coût important.
Foreshadowing of Canadian Regulatory Enforcement
Le pouvoir de base de la FTC en matière de protection des consommateurs est fondé sur l’article 5 de la Loi sur la Federal Trade Commission. 11 L’article 5 prévoit que les actes ou pratiques déloyaux ou mensongers dans le commerce ou affectant le commerce sont illégaux. 12 La compétence de la FTC en vertu de cet article en ce qui concerne les mesures d’application de la sécurité des données a été expressément confirmée par la Cour d’appel du troisième circuit. 13 ans
Au Canada, le Bureau de la concurrence enquête et surveille les plaintes pour pratiques déloyales ou trompeuses et applique les dispositions de la Loi sur la concurrence. 14 Si le Bureau de la concurrence conclut qu’une entreprise ne se conforme pas, il peut intenter une procédure d’application de la loi devant le Tribunal de la concurrence ou devant un tribunal civil. Sur demande du commissaire de la concurrence, le tribunal peut ordonner à une société ayant des pratiques déloyales ou trompeuses de payer une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et, pour chaque ordonnance subséquente contre cette société, un montant maximal de 15 millions de dollars. 15 ans
Le Bureau de la concurrence du Canada n’a pas cherché à réglementer la cybersécurité en vertu de son pouvoir de surveillance des pratiques déloyales ou trompeuses. Cependant, alors que les entreprises canadiennes continuent d’être exposées à des cyberattaques, le succès de la FTC dans la surveillance du cyberespace aux États-Unis pourrait avoir une influence sur le début d’une nouvelle ère d’application de la réglementation dans le cyberespace par le Bureau de la concurrence au Canada.
Les entreprises qui exercent des activités au Canada ne devraient pas exclure le risque de pénalités administratives importantes imposées par le Bureau de la concurrence en cas de non-prise de mesures adéquates pour protéger les données personnelles contre les attaques de cybersécurité.
Remarques :
1 Federal Trade Commission, « Operators of AshleyMadison.com Settle Charges », (14 décembre 2016).
2 La Federal Trade Commission a intenté plus de 60 mesures d’application de la loi liées aux violations de la sécurité des données depuis 2000, voir: Federal Trade Commission, Data Security Cases.
3 Voir : Federal Trade Commission, Data Security Cases.
4 Federal Trade Commission, « LikeLock to Pay $100 Million », (17 décembre 2015).
5 Federal Trade Commission, « Google Will Pay $22.5 Million to Settle FTC Charges », (9 août 2012).
6 Complaint, Federal Trade Commission v Ruby Corp. et al, (Case No: 16-CV-02438), au para 31 (Plainte).
7 Complaint at para 46-56.
8 A.G. Schneiderman Announces $17.5 Million Settlement », (14 décembre 2016).
9 « Ashley Madison Owner Reaches $1.6 Million Settlement », New York Times (14 décembre 2016).
10 Stipulated Order, Federal Trade Commission v Ruby Corp. et al, (Case No: 16-CV-02438) at p.4-7.
11 15 USC § 45.
12 Federal Trade Commission Act, s5(a)(1).
13 Federal Trade Commission v Wyndham Worldwide Corporation, Case No. 14-3514 (3d Cir. 2015).
14 Loi sur la concurrence, L.R.C. 1985, ch C-34, à l’article 74.01.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones