Le 14 décembre 2016, la société Ruby Corp. (connue auparavant sous Avid Life Media Inc.) qui exploite AshleyMadison.com, une plateforme de rencontre extraconjugale ayant des membres dans plus de 50 pays, a décidé de régler l’enquête qui était menée par la Commission fédérale du commerce (Federal Trade Commission – FTC) (ci-après CFC). En août 2015, un groupe se présentant sous le nom de « The Impact Team » avait rendu publics les renseignements personnels de près de 36 millions de membres utilisateurs de la plateforme AshleyMadison.com, alors que les gestionnaires du site avaient refusé de répondre à la menace du groupe qui exigeait la fermeture complète de celui-ci. Subséquemment, la CFC avait ouvert une enquête pour vérifier la conformité des pratiques de l’entreprise à divers articles du Federal Trade Commissionner Act et du Titre 15 Commerce and Trade du U.S. Code.
La CFC a du déterminer si Ruby Corp. avait violé le chapitre 15 « Commerce and Trade » du U.S.Code art. 45(a) qui interdit les méthodes de concurrence déloyale dans le commerce, ainsi que les actes ou pratiques déloyales et trompeuses qui affectent le commerce. La CFC a également vérifié la conformité des pratiques à la section 5(a) du Federal Trade Commissionner Act. Des agissements sont contraires à cette section « if they cause substantial injury to consumers that consumers cannot reasonably avoid themselves and that is not outweighed by countervailing benefits to consumers or competition ». Afin de déterminer l’existence de violations, la CFC a, notamment, évalué la conduite de l’entreprise consistant à créer des « engagers profiles », c’est-à-dire des profils fictifs de femmes qui communiquent avec les autres usagers dans le but d’attirer davantage de consommateurs sur la plateforme, les politiques et mesures de sécurité au moment de la faille, les pratiques en termes de rétention des renseignements personnels et la véracité des informations transmises aux consommateurs.
Dans ses conclusions, la CFC affirme que les défendeurs n’ont pas pris des mesures raisonnables pour assurer la sécurité des renseignements recueillis par AshleyMadison.com, qu’ils ont retenu indument les informations personnelles d’utilisateurs pendant plus de 12 mois malgré le paiement par ceux-ci de frais pour que leurs profils soient effacés complètement et que l’avis sur la plateforme indiquant qu’AshleyMadison.com avait reçu un « Trusted Security Award » est faux et trompeur. Pour l’ensemble de ces raisons, la CFC conclut à une violation de la Section 5(a) du Federal Trade Commissionner Act. De plus, il s’agit de pratiques commerciales trompeuses prohibées par le Titre 15. Pour la CFC, ces violations ont causé ou causeront des dommages importants aux utilisateurs, en plus d’avoir enrichi injustement le défendeur.
Le Commissaire à la protection de la vie privée du Canada, Daniel Therrien, a réagi positivement à l’annonce du règlement entre la CFC et Ruby Corp en mentionnant que
« [i]n the digital age, privacy issues can impact millions of people around the world. It’s imperative that regulators work together across borders to ensure that the privacy rights of individuals are respected no matter where they live ».
Une somme de 1,6 million de dollars US a été versée par Ruby Corp. : 50% de cette somme à la CFC et 50% aux 13 états qui étaient partie prenante à l’enquête fédérale. Cette pénalité pourrait être sévèrement alourdie « jusqu’à 8,75 millions de dollars, si le site ne se conforme pas à de nouveaux standards de sécurité et ne cesse pas ses pratiques trompeuses pour les utilisateurs ». En effet, l’ordonnance proposée par le tribunal fédéral imposait un jugement de 8.75 millions, mais sera suspendue moyennant la somme de 828 500$, compte tenu de la situation financière des défendeurs. Ce règlement impose également que les défendeurs mettent en place un programme de protection des données exhaustif et qu’ils acceptent de ses soumettre à des audits effectués par des tiers. Toutefois, cette entente « ne constitue pas un aveu de responsabilité et l’entreprise nie les allégations de la commission fédérale et de plusieurs procureurs américains ».
La présidente du CFC, Edith Ramirez, a reconnu que le montant versé était inférieur à ce qu’elle aurait souhaité et a ajouté « [w]e want them to feel the pain. We don’t want them to profit from unlawful conduct. At the same time we are not going to seek to put a company out of business ». Les difficultés financières de la compagnie sont des difficultés alléguées par l’organisation et aucun chiffre n’a été présenté devant la CFC. En juillet 2016, alors que la société annonçait l’investigation, elle était « likely to collect $80m in revenue in 2016 and had $50m to spend on acquisitions ». Compte tenu du faible paiement et du nombre d’utilisateurs touchés par la faille de sécurité, cela signifie que les usagers n’obtiendront aucune compensation, pour l’instant, malgré la divulgation massive de leurs renseignements personnels. Des recours collectifs dans plusieurs états américains contre la compagnie sont toujours en attente. Toutefois, le juge John Ross a tranché que l’utilisation de nom d’emprunt n’était pas autorisée, les individus intéressés à se joindre au recours collectif doivent donc révéler leur véritable identité et incidemment, leurs activités sur la plateforme de rencontre extra-conjugale.
Précédemment, le Commissariat à la vie privée du Canada avait rendu, en août 2016, un rapport sur la faille de sécurité élaboré conjointement avec les autorités australiennes, étant donné la dimension internationale des activités d’ALM. Le Commissariat à l’information de l’Australie et son homologue canadien ont examiné les pratiques d’ALM « en matière de traitement des données qui pourraient avoir eu une incidence sur la probabilité que cet incident se produise et sur ses conséquences » et leur enquête a révélé de nombreuses infractions à la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques, notamment à l’Annexe I, principes 4.1 (responsabilité), 4.3 (consentement), 4.4 (limitation de la collecte), 4.5 (conservation), 4.6 (exactitude), 4.7 (mesure proportionnelle à la sensibilité) et 4.8 (transparence). Le rapport intégral de conclusions d’enquête en vertu de la LPRPDE no 2016-005 est disponible ici.
Dans un communiqué publié subséquemment, le Commissariat avait énoncé une série de « leçons importantes pour d’autres organisations qui détiennent des renseignements personnels ». En effet, le Commissariat a voulu souligner aux organisations que les répercussions et les préjudices financiers découlant d’une faille de sécurité sont souvent manifestes et importants, mais les dommages liés à la réputation ne sont pas à négliger. Le Commissariat a également tenu a rappelé aux organisations qui basent leur modèle d’affaire sur la collecte de données que le niveau de sensibilité des renseignements personnels doit être pris en considération dans l’élaboration des politiques et de procédures, conformément au principe 4.7 de la LPRPDE. De plus, la documentation des pratiques de l’entreprise concernant la sécurité et la vie privée peut être, en soi, une mesure de sécurité. Alors qu’ALM chargeait des frais de 19$ US pour la suppression définitive du compte de l’abonné, l’absence de renseignements sur la possibilité par les organisations de charger des frais afin d’assurer la suppression définitive des renseignements personnels dans la LPRPDE, ne permet pas de conclure que cette pratique est appropriée. Pour le Commissariat, il est essentiel de « tenir compte de facteurs comme le coût réel pour l’organisation par rapport aux frais facturés ainsi que l’influence probable de ces frais sur la décision d’une personne de retirer ou non son consentement ». Finalement, le Commissariat rappelle que toute mesure prise afin d’accroître la confiance de l’utilisateur afin qu’il ait recours à un service en particulier peut avoir une incidence décisive sur le choix du consommateur d’utiliser, ou non, le service.
Ce règlement soulève une inquiétude concernant le message qui a été communiqué aux entreprises américaines recueillant des données sensibles sur leurs utilisateurs. Malgré le manque de mesures concrètes et de politiques appropriées en matière de sécurité de l’information ainsi que la mise en place de pratique commerciale fausse et trompeuse par Ruby Corp.,ceux-ci sont, pour l’instant, faiblement pénalisés.