Les enfants adorent jouer à se déguiser, mais les parents ne voudraient pas qu’ils fouillent dans le grenier ou qu’ils grimpent sur l’étagère supérieure de l’armoire sans permission et sans surveillance appropriée. Le site i-Dressup.com offrait aux utilisateurs – y compris aux enfants – un moyen virtuel de jouer à se déguiser et de créer des vêtements sans ces dangers potentiels. Mais selon une plainte de la FTC, Unixiz, Inc, la société derrière i-Dressup, a violé la loi sur la protection de la vie privée des enfants en ligne d’une manière qui a créé différents types de risques.
La COPPA met en place deux ensembles distincts de protections pour aider les parents à garder le contrôle des informations personnelles recueillies auprès de leurs enfants en ligne. Premièrement, les entreprises couvertes par la COPPA doivent clairement divulguer leurs politiques d’information et obtenir le consentement des parents avant de collecter des informations personnelles auprès d’enfants de moins de 13 ans. Ensuite, les entreprises doivent fournir une sécurité raisonnable et appropriée pour les données qu’elles collectent. Selon un règlement de la FTC, i-Dressup n’a pas respecté les deux exigences de la COPPA.
La plainte allègue qu’i-Dressup n’a pas fourni de notification suffisante sur son site concernant les informations qu’elle recueillait en ligne auprès des enfants, la manière dont elle les utilisait, ses pratiques de divulgation et d’autres spécificités requises par la règle COPPA. Les avis directs de la société aux parents étaient également déficients. Entre autres, ils n’incluaient pas la déclaration requise par la COPPA selon laquelle si les parents ne donnent pas leur consentement dans un délai raisonnable, i-Dressup supprimera leurs coordonnées en ligne de ses dossiers. Poursuivez l’histoire car ce manquement s’est avéré particulièrement troublant.
En plus de permettre aux utilisateurs de jouer à des jeux en ligne, i-Dressup présentait une communauté où ils pouvaient « explorer leur créativité et leur sens de la mode avec des profils personnels uniques » et interagir avec les autres. Pour s’inscrire, i-Dressup demandait aux personnes de fournir un nom d’utilisateur, un mot de passe, une date de naissance et une adresse électronique. Si la date de naissance indiquait que la personne avait moins de 13 ans, le champ de l’adresse électronique était remplacé par « Adresse électronique des parents ». Une fois que l’utilisateur de moins de 13 ans avait rempli les champs requis et cliqué sur « Join Now », i-Dressup recueillait les informations personnelles et envoyait un message à l’adresse indiquée dans le champ « Parent’s Email ». La personne recevant l’e-mail pouvait donner son consentement en cliquant sur le bouton « Activez maintenant ! ».
Cependant, si le parent ne donnait pas son consentement, i-Dressup conservait les informations personnelles qu’elle avait recueillies auprès de l’enfant en ligne. La FTC affirme que le fait que la société n’ait pas supprimé ces informations a violé la section 312.5(c)(1) de la règle COPPA.
En plus de violer les dispositions de la COPPA relatives au consentement parental, i-Dressup aurait violé les exigences de la règle en matière de sécurité des données. Selon la FTC, i-Dressup a stocké et transmis les informations personnelles des utilisateurs (y compris les mots de passe) en texte clair. En outre, la société n’a pas effectué de tests de vulnérabilité de son réseau, même pour des menaces bien connues comme les attaques SQL ; elle n’a pas mis en place de système de détection et de prévention des intrusions ; et elle n’a pas surveillé les incidents de sécurité potentiels. Le résultat ? La société a appris qu’un pirate avait réussi à pénétrer dans son réseau et à accéder à des informations sur 2,1 millions d’utilisateurs, dont environ 245 000 qui ont indiqué avoir moins de 13 ans.
Pour régler l’affaire, i-Dressup et ses propriétaires paieront une amende civile de 35 000 dollars. Il leur est également interdit de violer la COPPA à l’avenir, et ils ne peuvent pas vendre, partager ou collecter des informations personnelles jusqu’à ce qu’ils mettent en œuvre un programme complet de sécurité des données et obtiennent des évaluations biennales indépendantes. En outre, ils devront fournir à la FTC une certification annuelle de conformité.
Le message pour les sites et les opérateurs couverts par la COPPA est qu’un système efficace de consentement parental n’est que la première étape vers la conformité. La section 312.8 de la règle COPPA vous oblige également à « établir et maintenir des procédures raisonnables pour protéger la confidentialité, la sécurité et l’intégrité des informations personnelles recueillies auprès des enfants. »
Intéressé par les questions de sécurité des données ? Lisez une déclaration d’accompagnement de la Commission et apprenez-en davantage sur une autre action de la FTC annoncée aujourd’hui.