Barracuda full logo

Le langage de la confidentialité des données : que sont les CPNI et pourquoi devriez-vous vous y intéresser ?

Thèmes:
7 nov. 2023
|
Christine Barry

Les informations réseau exclusives des clients (CPNI) sont des données générées par l’activité des abonnés sans fil et collectées par les entreprises de télécommunications. Les CPNI comprennent l’heure, la date, la durée et le numéro de destination d’un appel, ainsi que certaines informations relatives à l’abonnement, telles que le nombre de lignes d’un compte. La désignation des données CPNI n’inclut pas les informations financières ou les informations personnelles sensibles telles que les données de carte de crédit ou les numéros de sécurité sociale.

Plus tôt dans notre série, nous avons discuté des données à caractère personnel (PII), qui constituent une catégorie plus large de données que les CPNI. Les données à caractère personnel comprennent les noms, adresses, numéros de téléphone, adresses email et autres données qui peuvent être utilisés pour identifier une personne ou un appareil spécifique. Il n’y a pas de chevauchement entre les désignations formelles des CPNI et des PII, mais il arrive que des CPNI deviennent des PII. Cela se produit lorsque les données CPNI sont liées à une personne spécifique par le biais d’un numéro de téléphone, d’un numéro de compte ou d’autres informations d’abonné.  

À titre d’exemple de violation des CPNI et des PII, nous pouvons étudier la violation de données divulguée par AT&T début 2023. Environ 9 millions de clients ont été informés qu’un fournisseur AT&T avait subi un incident de sécurité qui a exposé les prénoms, les numéros de compte sans fil, les numéros de téléphone sans fil, les adresses email, les montants impayés et l’éligibilité à la mise à niveau. Cet incident n’a pas exposé de PII sensibles telles que des informations de paiement ou des numéros de sécurité sociale, mais il a permis de relier les individus à des habitudes de communication et à d’autres données.

Comme toutes les désignations de données, les CPNI sont soumises à un ensemble spécifique de réglementations et de règles, affinées au fil des ans en réponse à l’augmentation rapide de l’utilisation des téléphones portables et des données CPNI. Aux États-Unis, la Federal Communications Commission (FCC) est l’agence chargée d’appliquer ces règles et de tenir le public informé de ses droits et de ses responsabilités en rapport avec la protection des données CPNI. Ces lois peuvent changer. Consultez le site Web de la FCC si vous avez des questions sur les réglementations en vigueur.

Depuis Mars 2023, les règles CPNI permettent aux fournisseurs de collecter et de partager des données agrégées sur les clients à des fins spécifiques, telles que le dépannage des zones où les appels sont fréquemment interrompus ou la planification d’une expansion dans des zones où la demande est plus élevée que prévu. L’opérateur peut utiliser des données personnelles CPNI pour commercialiser des services personnalisés en fonction de l’activité du compte d’un abonné. Souvent, les clients doivent s’opposer à cette utilisation plutôt que l’accepter. Brian Krebs a publié un article détaillé sur la raison pour laquelle vous devez vous opposer au partage, y compris des détails sur la façon dont la violation de données d’un fournisseur a pu entraîner la fuite des données client d’un autre fournisseur. Un passage effrayant de son article souligne le fait que les données des abonnés seront monétisées de toutes les manières possibles, même lorsqu’il existe une zone « grise » :

« L’autre problème lié au fait de permettre à des entreprises de partager ou de vendre vos données CPNI, c’est que les opérateurs de téléphonie mobile peuvent modifier leur politique de confidentialité à tout moment, et qu’ils partent du principe que vous êtes d’accord avec ces modifications tant que vous continuez à utiliser leurs services.

Par exemple, les données de localisation de votre appareil sans fil tombent dans la catégorie des CPNI et pourtant, jusqu’à très récemment, tous les grands opérateurs vendaient les données de localisation en temps réel de leurs clients à des courtiers en données tiers sans le consentement des clients. »

Rendez-vous sur KrebsonSecurity pour en savoir plus sur cette activité et la réponse de la FCC.

Certains États ont des réglementations plus strictes concernant les CPNI. L’Arizona exige que l’abonné donne son accord et la Californie exige des informations plus complètes pour les consommateurs. (CenturyTel a un exemple ici).

Il est préférable de partir du principe que vous êtes la seule personne intéressée par la protection de vos données. Vous ne pouvez probablement pas faire grand-chose contre des incidents de sécurité tels que la violation de données qu’a subie le fournisseur AT&T, mais vous pouvez prendre des mesures pour réduire votre exposition :

  • Utilisez un mot de passe unique et fort avec une authentification multifacteur.
  • Opposez-vous à toutes les activités de partage des données CPNI demandées par votre fournisseur de services.
  • Évitez d’utiliser des réseaux Wi-Fi publics. Un VPN via une connexion cellulaire ou Wi-Fi protégera mieux votre activité et les données résidant sur votre appareil.
  • Surveillez les mises à jour des avis de confidentialité de vos fournisseurs et agissez en conséquence.

Les principaux opérateurs de téléphonie mobile ont publié des informations sur la façon dont vous pouvez restreindre leur utilisation de vos données :

Voici quelques références supplémentaires sur la protection des CPNI :

Aujourd’hui est un bon jour pour contacter votre opérateur de téléphonie mobile et vous opposer à l’utilisation des CPNI. Ce sont vos données, et vous pouvez en restreindre l’utilisation. (La plupart du temps)

 

Barracuda fournit une plateforme de cybersécurité complète pour protéger les organisations des principaux vecteurs d’attaque. Rendez-vous sur notre site Web pour découvrir notre plateforme de cybersécurité.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Webinaire : Vos données Entra ID sont-elles vulnérables ? Découvrez comment les protéger
Webinaire : Vos données Entra ID sont-elles vulnérables ? Découvrez comment les protéger
 Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Focus sur les partenaires : des solutions innovantes pour contrer les cybermenaces modernes
Focus sur les partenaires : des solutions innovantes pour contrer les cybermenaces modernes
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.