La FTC émet une plainte et propose un règlement avec un détaillant en ligne pour des pratiques trompeuses et déloyales en matière de sécurité et de confidentialité

La plainte de la FTC

La plainte comprenait à la fois des allégations de sécurité et de confidentialité. En ce qui concerne la sécurité, selon la plainte de la FTC, CafePress a violé l’article 5 de la loi FTC en se livrant à des pratiques déloyales et trompeuses en déformant ses pratiques de sécurité des données, en déformant sa réponse aux incidents de sécurité des données et en omettant d’employer des mesures de sécurité raisonnables.¹

En décrivant ses pratiques de sécurité, la FTC a affirmé que CafePress “représentait… que [it] mis en œuvre des mesures raisonnables pour protéger les informations personnelles contre tout accès non autorisé. »²Cependant, CafePress n’avait pas de mesures de sécurité raisonnables, car CafePress :

• n’a pas utilisé les protections facilement disponibles contre les vulnérabilités bien connues, telles que l’injection de langage de requête structuré (SQL), les feuilles de style en cascade (CSS), l’injection HTML, les scripts intersites (XSS) et les attaques de falsification de requête intersite (CSRF) ;
• les informations personnelles stockées, telles que les numéros de sécurité sociale et les questions et réponses de sécurité, en texte clair et lisible ;
• utilisé l’algorithme de hachage SHA-1 obsolète pour protéger les mots de passe et n’a pas réussi à saler les mots de passe ;
• n’a pas mis en œuvre une procédure de signalement des vulnérabilités par un tiers ;
• n’a pas mis en œuvre les politiques de gestion des correctifs et a utilisé des versions logicielles obsolètes qui ne recevaient plus de correctifs ;
• n’a pas établi de politiques de mots de passe solides ;
• stocké des informations personnelles indéfiniment sans nécessité professionnelle ;
• n’a pas réussi à maintenir une journalisation adéquate, à configurer correctement les tests de vulnérabilité et de pénétration et à se conformer à ses propres politiques de sécurité écrites ; et
• n’a pas fourni en temps opportun des notifications d’incidents de sécurité, évalué et corrigé de manière adéquate les infections par des logiciels malveillants et empêché de manière adéquate les prises de contrôle de compte.³

La plainte de la FTC a en outre allégué qu’en raison de l’incapacité de CafePress à mettre en œuvre des mesures de sécurité raisonnables, en février 2019, les pirates ont pu accéder à plus de 20 millions d’adresses e-mail non cryptées et de mots de passe cryptés ; des millions de noms, d’adresses physiques et de questions et réponses de sécurité non cryptés ; plus de 180 000 numéros de sécurité sociale non cryptés ; et des dizaines de milliers de numéros de carte de paiement partiel non cryptés et de dates d’expiration.⁴Selon la plainte, CafePress n’a pas enquêté correctement sur la violation pendant des mois, malgré la réception d’avis indiquant que ses systèmes avaient été compromis et que les informations personnelles de ses consommateurs avaient été mises en vente en ligne par plusieurs tiers de mars 2019 à août 2019, y compris d’un étranger. gouvernement qui a demandé à CafePress d’informer les utilisateurs des comptes compromis.⁵En avril 2019, CafePress a demandé à tous les utilisateurs qui se connectaient à CafePress de réinitialiser leurs mots de passe, mais a seulement indiqué que CafePress mettait à jour sa politique de mot de passe et n’a informé les clients de la violation qu’en septembre 2019.⁶Avant cet incident, CafePress a également connu plusieurs autres incidents de sécurité, tous attribués par la FTC à l’incapacité de CafePress à mettre en œuvre des mesures de sécurité raisonnables.⁷La plainte de la FTC a également allégué que la pratique de CafePress de retenir 25 $ de commissions dues aux commerçants dont les comptes ont été fermés après la violation était une pratique déloyale.⁸

La plainte comprenait également trois chefs d’accusation liés à la confidentialité. Premièrement, selon la plainte, CafePress a déclaré aux consommateurs qu’il recueillait des adresses e-mail pour les notifications de commande et la réception, mais qu’il utilisait en fait les adresses e-mail à des fins de marketing.⁹Deuxièmement, CafePress a déclaré avoir honoré les demandes des résidents de l’Espace économique européen et de la Suisse de supprimer leurs informations personnelles, mais uniquement désactivé les comptes et n’a pas supprimé les informations de compte associées. Troisièmement, CafePress a déclaré aux consommateurs qu’il adhérait aux cadres de confidentialité UE-États-Unis et Suisse-États-Unis, y compris les principes de choix, de sécurité et d’accès, alors qu’en fait ce n’était pas le cas.

Le règlement proposé

Les ordonnances de règlement proposées incluent des conditions qui ont été standard dans de nombreuses ordonnances récentes de la FTC, y compris une exigence que les entreprises 1) mettent en œuvre des programmes écrits complets de sécurité des informations avec des garanties spécifiques telles que des évaluations annuelles des risques, le cryptage des numéros de sécurité sociale et la conservation ou la suppression des données Stratégies;^dix2) obtenir des évaluations biennales par des tiers des programmes de sécurité des entreprises ; et 3) signaler les violations futures à la FTC.¹¹

Les commandes dans CafePress s’écartent des commandes récentes à plusieurs égards :

• Comme dans d’autres domaines, les exigences de la commande sont liées à la collecte et à l’utilisation des informations personnelles par les entreprises. Contrairement à d’autres ordonnances récentes, les informations personnelles sont définies explicitement pour inclure les informations personnelles des employés, ainsi que des consommateurs, conformément à l’accent mis par la présidente de la FTC, Lina Khan, sur la protection des travailleurs.
• Les répondants sont tenus de consulter des experts externes lors de l’élaboration de leur programme de sécurité. Nous avons vu cette exigence dans l’ordonnance de consentement de la FTC avec Facebook, mais pas dans les ordonnances de sécurité des données typiques.
• Les ordresexiger“méthodes d’authentification multi-facteurs utilisant un protocole d’authentification sécurisé” comme méthode d’authentification requise pour les utilisateurs de CafePress. Cette exigence prescriptive s’écarte de la règle de sauvegarde récemment révisée de la FTC applicable aux institutions financières, qui exige une authentification multifactorielle, mais permet également aux responsables de la sécurité de l’information (CISO) d’approuver des “contrôles raisonnablement équivalents”.
• Les évaluations tierces doivent indiquer le nombre d’heures que chaque membre de l’équipe d’évaluation a travaillé sur l’évaluation. Cette exigence donnera vraisemblablement à la FTC une indication de la solidité des évaluations.
• Les répondants doivent soumettre des copies expurgées et non expurgées des évaluations, suggérant que la FTC rendra les évaluations publiques.
• L’ordonnance contre PlanetArt exige un avis des règlements aux consommateurs dont les données ont été violées, conformément à certaines exigences similaires dans les récentes ordonnances de la FTC liées à la confidentialité.
• Enfin, il est à noter que la FTC a obtenu une réparation pécuniaire de 500 000 $ contre Residual Pumpkin dans cette affaire, en particulier après que la Cour suprême des États-Unis a réduit la capacité de la FTC à obtenir une telle réparation l’année dernière. Vraisemblablement, la FTC a allégué que la conduite de Residual Pumpkin était malhonnête ou frauduleuse, ce qui justifierait une action de suivi devant un tribunal fédéral pour réparation et dommages-intérêts.

Points clés à retenir

Pour atténuer le risque d’une mesure d’exécution de la FTC, les entreprises doivent être conscientes des points clés suivants :

Premièrement, les entreprises doivent consulter la plainte et les ordonnances pour obtenir des conseils sur les mesures que la FTC souhaite voir dans un programme de sécurité de l’information. Par exemple, la FTC a reproché à CafePress de ne pas avoir haché et salé les mots de passe à l’aide d’algorithmes de hachage actuels et sécurisés, chiffré les numéros de sécurité sociale et les numéros de carte de crédit et mis en œuvre des politiques de gestion des correctifs. Les entreprises doivent mettre en œuvre le cryptage, les contrôles d’accès et les techniques d’authentification appropriées, la minimisation des données, les tests de vulnérabilité et d’autres garanties administratives et techniques pour assurer la protection des informations personnelles.

Deuxièmement, les entreprises doivent mettre en œuvre des processus pour prévenir, détecter, enquêter et autrement prendre les mesures appropriées dès qu’elles ont connaissance d’un incident de sécurité potentiel. Les entreprises doivent avoir un plan de réponse aux incidents qui décrit les processus de confinement et de remédiation, ainsi que les processus d’escalade et d’enquête pour s’assurer que les incidents de sécurité sont traités en temps opportun et de manière appropriée. Des tiers, tels que des avocats externes et des fournisseurs d’expertise judiciaire tiers, peuvent aider à mener une enquête.

Troisièmement, il est important d’être honnête et transparent avec les consommateurs. Par exemple, les personnes dont les informations sont affectées par une violation de données doivent être informées de la violation de données et de la manière dont elles peuvent prendre des mesures correctives pour protéger leurs informations personnelles. Si un avis indique que les adresses e-mail sont collectées et utilisées pour les notifications et les reçus, ces e-mails ne doivent pas également être utilisés pour envoyer des e-mails marketing. Si une entreprise s’engage à supprimer des informations personnelles sur demande, elle doit supprimer les informations personnelles sur demande, et non simplement désactiver le compte. Dans le même ordre d’idées, les entreprises doivent porter une attention particulière à toutes les représentations qui sont faites au sujet de leurs pratiques de sécurité et s’assurer que ces déclarations peuvent être soutenues.

Wilson Sonsini Goodrich & Rosati aide régulièrement les entreprises à résoudre des problèmes complexes de confidentialité et de sécurité des données, notamment en aidant de nombreux clients à développer des programmes de sécurité de l’information, à répondre aux incidents de sécurité et aux violations de données, et à répondre à la FTC et à d’autres enquêtes réglementaires. Pour plus d’information veuillez contacterBeth George,Maneesha Mithal,Tracy Shapiro,Megan Kayo,Roger Liou un autre membre du cabinetconfidentialité et cybersécuritéentraine toi.

^[1]Plainte, Residual Pumpkin Entity, LLC, FTC 12-14 (2022).

^[2]Identifiant. à 12.

^[3]Identifiant. à 3-5.

^[4]Identifiant. à 5.

^[5]Identifiant. à 5-6.

^[6]Identifiant.

^[7]Identifiant. à 7 heures.

^[8]Identifiant.

^[9]Identifiant. à 11 heures.

^[10]Accord contenant une ordonnance de consentement, Residual Pumpkin Entity, LLC, FTC 3-5 (2022) ; Accord contenant une ordonnance de consentement, PlanetArt, LLC, FTC 3-5 (2022).

^[11]Identifiant. à 7-8; Identifiant. à 7-8.

— to www.wsgr.com