L’année 2024 a été marquée par une série d’intrusions de données et de violations de la vie privée. De nombreuses nouvelles réglementations en matière de protection des données et de cybersécurité ont été mises en place, envoyant un message clair aux entreprises : la protection de la vie privée doit être une priorité stratégique et des mesures de sécurité robustes sont nécessaires pour protéger les données personnelles des employés et des consommateurs. Les plaignants ont également rappelé aux entreprises que de telles violations pourraient entraîner des actions collectives.
Les règlements financiers avec les régulateurs et les victimes d’intrusions de données ont été particulièrement mis en avant cette année. Voici un aperçu des amendes et règlements liés à la protection des données aux États-Unis l’année dernière, selon le rapport 2024 d’Infosecurity :
- Un règlement de 1,4 milliard de dollars entre Meta et le Procureur Général du Texas pour la collecte illégale de données biométriques, en violation de la loi texane sur la capture ou l’utilisation d’identifiants biométriques et de la loi sur les pratiques commerciales trompeuses (le plus grand règlement en matière de vie privée jamais enregistré aux États-Unis).
- Un règlement de 65 millions de dollars de la part de Lehigh Valley Health Network à la suite d’une intrusion de donnée affectant 600 patients et employés (les informations compromises comprenaient les adresses, adresses e-mail, dates de naissance, numéros de sécurité sociale, informations sur les passeports ainsi que diverses données médicales et des photos nues) (le plus grand règlement par patient dans une affaire d’intrusion liée à un ransomware dans le secteur de la santé).
- Un règlement de 52 millions de dollars de Marriott avec 50 États américains concernant une violation de données sur plusieurs années ayant touché plus de 131 millions d’utilisateurs de la base de données de réservation des clients Starwood (les allégations concernaient des manquements aux lois de protection des consommateurs, aux lois sur la vie privée et aux normes de sécurité des données).
- Un accord de règlement de 30 millions de dollars pour 23andMe résultant d’une action collective à cause d’une violation de données concernant des données d’ascendance (ces comptes n’étaient pas protégés par une authentification multi-facteurs ; 23andMe a nié toute faute dans l’accord de règlement, soutenant que la violation était due à la réutilisation des identifiants sur plusieurs sites).
- Un règlement de 15,75 millions de dollars pour T-Mobile avec la Commission fédérale des communications (FCC) suite à plusieurs incidents de sécurité (en 2021, 2022 et 2023) ayant entraîné l’accès de cybercriminels aux données personnelles de millions de consommateurs (T-Mobile doit également investir la même somme – 15,75 millions de dollars – pour mettre à jour ses pratiques et protections en matière de cybersécurité).
- Un règlement de 13 millions de dollars pour AT&T concernant une violation de la chaîne d’approvisionnement qui a permis l’exfiltration des informations personnelles des clients par des cybercriminels (AT&T a accepté d’actualiser ses pratiques de gouvernance des données et d’intégrité de la chaîne d’approvisionnement).
À l’aube de la nouvelle année, le paysage des lois sur la vie privée aux États-Unis continuera d’évoluer. Huit nouvelles lois sur la vie privée des consommateurs entreront en vigueur tout au long de l’année, et les entreprises doivent se préparer à davantage de réglementations qui pourraient élargir leurs obligations de conformité et de mise en œuvre.
Bon à savoir
- La réglementation sur la protection des données varie considérablement d’un État à l’autre aux États-Unis, ce qui rend nécessaire une vigilance accrue pour les entreprises opérant dans plusieurs États.
- Les violations de données peuvent avoir des conséquences à long terme sur la réputation des entreprises, impactant la confiance des consommateurs.
- Les entreprises doivent non seulement se conformer aux réglementations existantes, mais aussi anticiper les évolutions législatives pour éviter des amendes futures.
Il est évident que la protection des données est devenue un enjeu crucial pour les entreprises, non seulement pour respecter la loi, mais aussi pour maintenir la confiance de leurs clients. Cela amène à réfléchir sur la manière dont chaque organisation peut renforcer ses pratiques et mieux protéger les informations personnelles. Où pensez-vous que les priorités devraient se concentrer pour l’avenir ?
La protection des données devrait être aussi essentielle que la préservation de nos espaces verts. Les entreprises doivent apprendre à cultiver la confiance, tout comme on cultive la nature.
Sandrine, ton article est percutant et met en lumière l’importance de la protection des données. Chaque entreprise doit impérativement agir pour gagner et maintenir la confiance des consommateurs.
La protection des données résonne comme une symphonie, où chaque entreprise doit jouer sa note pour maintenir l’harmonie de la confiance des consommateurs.