À partir du 13 mars, les entreprises de télécommunications doivent signaler les incidents de données ayant un impact sur les informations personnelles identifiables des clients dans un délai de 30 jours, comme l’exige la mise à jour des exigences de la FCC en matière de signalement des fuites de données.
« Sans une règle de la FCC exigeant des notifications d’incidents pour les catégories d’IPI ci-dessus, il n’y aurait pas d’exigence dans la loi fédérale que les transporteurs de télécommunications signalent les incidents non-CPNI à leurs clients », a déclaré la FCC.
Le régulateur américain des communications a également supprimé le délai d’attente obligatoire pour que les opérateurs informent les clients, les mandatant pour notifier rapidement les clients des incidents impliquant des données couvertes après avoir alerté les agences fédérales concernées.
Les incidents massifs survenus ces dernières années dans les télécommunications ont mis en évidence la nécessité de mettre à jour les règles de la FCC en matière d’incidents de données afin de les aligner sur les lois fédérales et étatiques relatives aux fuites de données qui s’appliquent à d’autres secteurs.
Enfin, en avril 2016, AT&T a payé 25 millions de dollars pour régler une enquête de la FCC sur trois incidents de cybersécurité ayant touché des centaines de milliers de clients.
La FCC a adopté sa première règle imposant aux fournisseurs de services de télécommunications et de VoIP d’informer les organismes fédéraux chargés de l’application de la loi et leurs clients de tout incident de fuites de données.