La société d’évaluation de la cote de crédit Equifax a trouvé un accord avec la Federal Trade Commission (FTC), le Consumer Financial Protection Bureau (CFPB), et les 50 États, qui l’ont accusée de ne pas avoir pris les mesures nécessaires pour protéger son réseau informatique, résultant en une brèche de données en 2017 affectant plus de 147 millions de personnes – près de la moitié de la population des États-Unis.
En particulier, des informations personnelles telles que le nom, la date de naissance, le numéro de Sécurité sociale, l’adresse, qui peuvent conduire à un vol d’identité et à des fraudes.
Dans le cadre de l’accord, l’entreprise accepte de payer au moins 575 millions de dollars : 300 millions à un fonds pour indemniser les consommateurs qui ont été affectés par la brèche, 125 millions supplémentaires si le premier apport est insuffisant pour les compenser, et 275 millions en amendes pour mettre fin aux enquêtes des entités susmentionnées.
Equifax paiera un service d’évaluation de la cote de crédit à toute victime le demandant, pour jusque 10 ans. L’entreprise a fait appel à son compétiteur Experian.
D’après le document de l’accord, si les 147 millions de victimes profitaient de cette offre, la facture s’élèverait à deux milliards de dollars pour Equifax.
L’entreprise a déjà provisionné 690 millions de dollars au trimestre précédent.
Dans tous les cas, il s’agit du nouveau montant record aux États-Unis d’un accord sur une brèche de données, le précédent, de 115 millions, concernant la brèche de données d’Anthem, deuxième assurance maladie des États-Unis.
Les consommateurs pourront se renseigner en visitant equifaxbreachsettlement.com.
En plus du volet financier, l’accord comprend un volet technique exhaustif.
Equifax s’engage à implémenter un programme de sécurité exhaustif, y compris des audits annuels internes et externes, l’obtention de certifications annuelles auprès du conseil d’administration garantissant le respect de l’accord, des tests et la surveillance des dispositifs de sécurité, et l’assurance que ses fournisseurs de services qui ont accès aux informations personnelles stockées par Equifax implémentent aussi des dispositifs de sécurité pour la protection de ces données.
En Europe, le RGPD a alourdi considérablement les amendes auxquelles s’exposent les organisations qui ne protègent pas correctement les données personnelles qu’elles exploitent, par rapport aux réglementations précédentes: jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.