À compter du 13 mars, les entreprises de télécommunications doivent signaler les atteintes à la protection des données ayant une incidence sur les renseignements personnels identifiables des clients dans les 30 jours, comme l’exigent les exigences mises à jour de FCC en matière de signalement des atteintes à la protection des données.
La règle finale de la FCC fait suite à plusieurs propositions publiées en janvier 2024, un an plus tôt en janvier 2023, et diffusées pour la première fois en janvier 2022, axées sur la modernisation des règles de notification des atteintes à la sécurité du Conseil afin que les opérateurs de télécommunications doivent informer les clients des atteintes à la sécurité le plus rapidement possible.
Les règles actualisées de déclaration des atteintes à la protection des données visent à garantir que « les fournisseurs de télécommunications, de services de voix sur IP (VoIP) interconnectés et de services de relais de télécommunications (TRS) sont tenus responsables de leurs obligations de protéger les informations sensibles des clients et de fournir aux clients les outils nécessaires pour se protéger en cas de compromission de leurs données. »
Ils élargissent la portée des exigences de notification des violations au-delà des informations réseau propriétaires du client (CPNI) aux informations personnellement identifiables (PII), ainsi qu’à « l’accès, l’utilisation ou la divulgation par inadvertance des informations client. »
« Sans une règle de la FCC exigeant des notifications de violation pour les catégories ci-dessus de PII, il n’y aurait aucune obligation dans la loi fédérale que les opérateurs de télécommunications signalent les violations non-CPNI à leurs clients », a déclaré la FCC.
Le régulateur américain des communications a également supprimé la période d’attente obligatoire pour que les opérateurs informent les clients, les obligeant à informer rapidement les clients des violations impliquant des données couvertes après avoir alerté les agences fédérales compétentes.
Cependant, le délai de notification ne doit pas dépasser 30 jours après l’identification d’une violation, à moins qu’un délai plus long ne soit imposé par les forces de l’ordre.
« Nos téléphones portables sont dans nos paumes, nos poches et nos sacs à main. Nous allons rarement nulle part sans eux. Il y a de bonnes raisons à cela: la commodité et la sécurité de pouvoir contacter à tout moment et pratiquement n’importe où sont puissantes », a déclaré Jessica Rosenworcel, présidente de FCC, en janvier.
« Mais cette connectivité permanente signifie que nos opérateurs ont accès à un trésor de données sur qui nous sommes, où nous avons voyagé et à qui nous avons parlé. Il est d’une importance vitale que ces données profondément personnelles ne tombent pas entre de mauvaises mains. »
Tous les principaux opérateurs de télécommunications américains touchés par des violations majeures
Les violations massives de données de télécommunications au cours des dernières années ont mis en évidence la nécessité de mettre à jour les règles de la FCC sur les violations de données afin de les aligner sur les lois fédérales et étatiques sur les violations de données qui s’appliquent à d’autres secteurs.
Par exemple, en décembre 2022, des attaques généralisées ont contourné l’authentification à deux facteurs et détourné les comptes des clients Comcast Xfinity.
Deux mois plus tôt, Verizon avait informé les clients prépayés d’une violation qui exposait les informations de leur carte de crédit, utilisées plus tard dans des attaques d’échange de cartes SIM.
T-Mobile a également été touché par au moins neuf violations depuis 2018, la plus récente—et la moins dommageable—ayant été divulguée en mai 2023 après que les acteurs de la menace aient eu accès aux informations personnelles de centaines de clients pendant plus d’un mois depuis février 2023.
En janvier 2023, T-Mobile a alerté ses clients d’une autre violation de données après que les informations sensibles de 37 millions d’individus aient été volées en abusant de l’une de ses interfaces de programmation d’applications (API).
Enfin, en avril 2016, AT & T a payé 25 millions de dollars pour régler une enquête de la FCC sur trois violations de données qui ont touché des centaines de milliers de clients.
La FCC a adopté sa première règle obligeant les fournisseurs de télécommunications et de VoIP à informer les organismes fédéraux chargés de l’application de la loi et leurs clients de toute violation de données.