L'autorité californienne chargée de la protection de la vie privée a infligé une amende de 45 000 dollars à un courtier en données texan et lui a interdit de vendre les informations personnelles des Californiens après qu'il ait vendu les données de patients atteints de la maladie d'Alzheimer. Selon l'Agence californienne Privacy (CPPA) , la société texane Rickenbacher Data LLC, qui opère sous le nom de Datamasters, a acheté et revendu les noms, adresses, numéros de téléphone et adresses électroniques de personnes souffrant de graves problèmes de santé.
La décision finale de la CPPA à l'encontre de Datamasters indique que la société conservait une base de données contenant 435 245 adresses postales de patients atteints de la maladie d'Alzheimer. Mais cela ne s'arrête pas là. Elle détenait également les dossiers de 2 317 141 personnes aveugles ou malvoyantes et de 133 142 personnes souffrant d'addiction. Elle a également vendu les dossiers de 857 449 personnes souffrant de troubles de la vessie.
Les données relatives à la santé n'étaient pas la seule catégorie traitée par Datamasters. La société vendait également des informations liées à l'origine ethnique, notamment des « listes hispaniques » contenant plus de 20 millions de noms, ainsi que des « listes de seniors » classées par âge et des indicateurs de vulnérabilité financière. Elle vendait par exemple des dossiers sur les personnes ayant contracté des prêts hypothécaires à taux d'intérêt élevé.
Et si les acheteurs souhaitaient obtenir des données sur d'autres caractéristiques et comportements potentiels des clients, tels que ceux qui sont plutôt libéraux ou plutôt conservateurs, cela serait également possible grâce à 3 370 « modèles prédictifs de consommation » couvrant les préférences automobiles, l'activité financière, l'utilisation des médias, l'affiliation politique et les activités à but non lucratif.
Datamasters propose l'achat direct d'enregistrements issus de sa base de données nationale sur les consommateurs, qui, selon elle, couvre 114 millions de foyers et 231 millions de personnes. Les clients peuvent également acheter des mises à jour sur abonnement.
Les autorités californiennes ont ouvert une enquête sur Datamasters après avoir découvert que l'entreprise ne s'était pas enregistrée en tant que courtier de données dans l'État, comme l'exige la loi californienne Delete Act. Cette loi impose aux courtiers de données de s'enregistrer depuis le 31 janvier 2025.
Au départ, l'entreprise a nié exercer des activités en Californie ou détenir des données sur des Californiens. Cependant, cette affirmation s'est effondrée lorsque les autorités de réglementation ont trouvé sur le site web un tableau Excel répertoriant 204 218 dossiers d'étudiants californiens.
Datamasters a d'abord déclaré n'avoir pas filtré sa base de données nationale pour supprimer les données des Californiens. Après avoir fait appel à un avocat, l'entreprise a changé son discours, affirmant avoir effectivement filtré les Californiens de son ensemble de données. Cela n'a toutefois pas convaincu la CPPA.
Le régulateur a reconnu que Datamasters avait bien tenté de se conformer aux lois californiennes sur la protection de la vie privée, mais que
« ne disposait pas de politiques et de procédures écrites suffisantes pour garantir le respect de la loi Delete Act ».
L'amende infligée à Datamasters tient également compte du fait que l'entreprise ne s'était pas inscrite au registre des courtiers en données de l'État. Les courtiers en données qui ne s'inscrivent pas sont passibles d'une amende de 200 dollars par jour, et le fait de ne pas supprimer les données des consommateurs entraînera une amende de 200 dollars par consommateur et par jour.
À compter du 1er janvier 2028, les courtiers en données enregistrés en Californie seront également tenus de se soumettre à des audits de conformité indépendants réalisés par des tiers tous les trois ans.
Pourquoi la vente de données clients ultra-sensibles est-elle si dangereuse ?
« L'histoire nous enseigne que certains types de listes peuvent être dangereux. »
Michael Macko, responsable de l'application de la loi au sein de la CPPA, a souligné.
Des recherches ont montré que les patients atteints de la maladie d'Alzheimer sont particulièrement vulnérables à l'exploitation financière. Si vous pensez que les escrocs ne recherchent pas ce type de listes, détrompez-vous : il a été découvert que des criminels avaient accédé aux données d'au moins trois courtiers en données dans le passé. Bien qu'il n'y ait aucune preuve que Datamasters ait sciemment vendu des données à des escrocs, il semble facile d'acheter des listes de courtiers en données.
Il ne faut pas être titulaire d'un doctorat pour comprendre pourquoi bon nombre de ces dossiers (qui, rappelons-le, concernent des personnes dans tout le pays) pourraient être particulièrement sensibles dans le contexte politique actuel aux États-Unis.
Il y a également ici un problème plus large lié à la confidentialité. Alors que de nombreux Américains pourraient penser que la loi fédérale HIPAA (Health Insurance Portability and Accountability Act) protège leurs données médicales, celle-ci ne s'applique qu'aux prestataires de soins de santé. Étonnamment, les courtiers en données ne relèvent pas de son champ d'application.
Alors, que pouvez-vous faire pour vous protéger ?
Votre premier réflexe devrait être de consulter la loi sur la protection des données de votre État. La Californie a mis en place cette année le système DROP (Data Request and Opt-out Platform) dans le cadre de la loi Delete Act. Il s'agit d'un système de désinscription permettant aux résidents californiens d'exiger que tous les courtiers en données inscrits au registre suppriment les données les concernant.
Si vous ne vivez pas dans un État qui prend au sérieux les données sensibles, vos options sont plus limitées. Vous pourriez déménager, peut-être en Europe, où la protection de la vie privée est considérablement plus forte.
Nous ne nous contentons pas de faire des rapports sur la confidentialité des données, nous vous aidons à supprimer vos informations personnelles.
Les risques liés à la cybersécurité ne devraient jamais se propager au-delà d'un titre. Avec Malwarebytes Personal Data Removervous permet d'analyser les sites qui exposent vos informations personnelles, puis de supprimer ces données sensibles d'Internet.
