National Public Data Hack Exposes Millions: Essential Steps to Safeguard Your Identity and Combat Fraud

La récente violation massive des données chez National Public Data (NPD), une société spécialisée dans la vérification des antécédents, a potentiellement compromis les informations personnelles de millions, voire de milliards de personnes, notamment leurs numéros de sécurité sociale, dates de naissance, numéros de téléphone, adresses actuelles et passées, noms des frères et sœurs et des parents, ainsi que d'autres informations. Le pirate informatique responsable de cette violation affirme que les fichiers volés contiennent 2,7 milliards d'enregistrements. Selon l'organisation à but non lucratif National Cybersecurity Alliance, il est probable que « toutes les personnes disposant d'un numéro de sécurité sociale aient été touchées ». Les numéros de sécurité sociale et d'autres données personnelles sensibles apparaissent déjà sur le dark web, prêts à être utilisés à des fins d'usurpation d'identité et d'autres formes d'exploitation.

Bien que la violation de données présente un risque important pour les consommateurs, ces risques peuvent être atténués en demandant rapidement le « gel du crédit » auprès des principales agences d'évaluation du crédit, en utilisant l'authentification à deux facteurs sur les comptes financiers et en souscrivant une protection contre le vol d'identité auprès de prestataires de services réputés (par exemple, LifeLock, Aura et autres). Plus particulièrement, envisagez les mesures suivantes pour protéger votre identité et réduire le risque d'être victime d'un vol d'identité :

Vérifiez vos relevés de compte et vos rapports de solvabilité

Restez vigilant en continuant à examiner attentivement vos relevés de compte et vos rapports de solvabilité. Si vous détectez une activité suspecte sur un compte, informez-en immédiatement l'institution financière ou la société auprès de laquelle le compte est détenu.

Nous vous recommandons de contacter le service chargé de la fraude de ces entreprises pour leur expliquer que quelqu'un a usurpé votre identité et leur demander de fermer le compte. Si l'entreprise ne ferme pas immédiatement le compte, demandez-lui de le geler. Si le compte est fermé, demandez à l'entreprise de vous fournir une lettre indiquant (i) que le compte frauduleux ne vous appartient pas, (ii) que vous n'êtes pas responsable de ce compte et (iii) qu'il a été supprimé de votre rapport de solvabilité. Notez le nom de la personne à qui vous avez parlé au sein de l'entreprise pour vos dossiers.

Achetez et souscrivez à des services de protection contre le vol d'identité

Il existe de nombreux produits sur le marché, mais IdentityForce UltraSecure + Credit et LifeLock Ultimate Plus ont récemment obtenu les meilleures notes pour leurs services de protection contre le vol d'identité. Voir par exemple :

Les services de protection contre le vol d'identité peuvent surveiller le dark web à la recherche de vos informations, geler vos comptes bancaires en votre nom, supprimer vos données des bases de données populaires et fournir de nombreux autres services utiles.

Obtenez une copie gratuite de votre rapport de solvabilité

Nous vous recommandons d'obtenir une copie gratuite de votre rapport de solvabilité auprès de chacune des trois principales agences d'évaluation du crédit (Experian, TransUnion et Equifax) une fois tous les 12 mois en vous rendant sur le site www.annualcreditreport.com, en appelant le numéro gratuit 877.322.8228 ou en remplissant une copie imprimée du formulaire de demande de rapport de solvabilité annuel et en l'envoyant par courrier à Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348.

Placez une alerte à la fraude sur votre rapport de solvabilité

Vous pouvez placer gratuitement une « alerte à la fraude » initiale ou prolongée sur votre rapport de solvabilité en contactant l'une des trois agences nationales d'évaluation du crédit identifiées ci-dessous. Une alerte à la fraude initiale est une alerte d'un an qui est placée sur le dossier de crédit d'un consommateur. Lorsqu'une alerte à la fraude apparaît sur le dossier de crédit d'un consommateur, une entreprise est tenue de prendre des mesures pour vérifier l'identité du consommateur avant de lui accorder un nouveau crédit. Pour cette raison, placer une alerte à la fraude peut vous protéger, mais peut également vous retarder lorsque vous cherchez à obtenir un crédit. Si vous êtes victime d'un vol d'identité, dans la mesure où un rapport de vol d'identité a été déposé auprès des forces de l'ordre en votre nom, vous pouvez envisager de placer une alerte à la fraude prolongée dans votre dossier de crédit, qui dure sept ans. Vous pouvez placer une alerte à la fraude via l'un des sites web des agences d'évaluation du crédit ou par téléphone, en utilisant les coordonnées ci-dessous :

Equifax: P.O. Box 105069, Atlanta, GA 30348 | 800.525.6285
Experian: P.O. Box 9554, Allen, TX 75013 | 888.397.3742
TransUnion: P.O. Box 2000, Chester, PA 19016 | 800.680.7289

Placez un gel de sécurité sur votre rapport de solvabilité

En plus de placer une alerte à la fraude, nous vous recommandons également de placer gratuitement un « gel de sécurité » sur votre rapport de solvabilité. Un gel de sécurité interdit à une agence d'évaluation du crédit de divulguer toute information contenue dans le rapport de solvabilité d'un consommateur sans autorisation écrite. Cependant, veuillez noter que le placement d'un gel de sécurité sur votre rapport de solvabilité peut retarder, entraver ou empêcher l'approbation en temps opportun de toute demande de nouveau prêt, de crédit hypothécaire, d'emploi, de logement ou d'autres services. Vous pouvez également lever ou supprimer un gel de sécurité, sans frais.

Vous devez adresser votre demande de gel séparément à chacune des agences d'évaluation du crédit. Pour geler votre dossier de crédit, vous pouvez envoyer une demande écrite par courrier ordinaire, recommandé ou express aux adresses ci-dessous. Vous pouvez également geler votre dossier via le site Web de chacune des agences d'évaluation du crédit ou par téléphone, en utilisant les coordonnées ci-dessous :

Equifax: P.O. Box 105788, Atlanta, GA 30348 | 800.298.0045
Experian: P.O. Box 9554, Allen, TX 75013 | 888.397.3742
TransUnion: P.O. Box 160, Woodlyn, PA 19094 | 888.909.8872

Pour demander un gel de sécurité, vous devrez fournir tout ou partie des informations suivantes à l'agence d'évaluation du crédit, selon que vous effectuez votre demande en ligne, par téléphone ou par courrier (veuillez noter que si vous demandez un rapport de solvabilité pour votre conjoint, ces informations doivent également être fournies pour celui-ci) :

Nom complet, avec initiale du deuxième prénom et éventuels suffixes
numéro de sécurité sociale
Date de naissance
Adresse actuelle et toutes les adresses précédentes des cinq dernières années
Tout rapport d'incident ou plainte applicable auprès d'un organisme chargé de l'application de la loi ou du Registre des véhicules motorisés.

La demande doit également inclure une copie d'une pièce d'identité délivrée par le gouvernement et une copie d'une facture récente de services publics ou d'un relevé bancaire ou d'assurance. Il est essentiel que chaque copie soit lisible et indique votre nom, votre adresse postale actuelle et la date d'émission. Si vous êtes victime d'un vol d'identité, joignez une copie du rapport de police, du rapport d'enquête ou de la plainte déposée auprès d'un organisme chargé de l'application de la loi concernant le vol d'identité.

Les agences d'évaluation du crédit disposent d'un jour ouvrable après réception de votre demande par téléphone gratuit ou par voie électronique sécurisée, ou d'un délai maximal de trois jours ouvrables après réception de votre demande par courrier, pour bloquer votre dossier de crédit à des fins de sécurité. Les agences d'évaluation du crédit doivent également vous envoyer une confirmation écrite dans les cinq jours ouvrables et peuvent vous fournir un numéro d'identification personnel (NIP) ou un mot de passe (ou les deux) que vous pouvez utiliser pour autoriser la suppression ou la levée du gel de sécurité. Il est important de conserver ce NIP/mot de passe en lieu sûr, car vous en aurez besoin pour lever ou supprimer le gel de sécurité.

Pour lever le gel de sécurité afin de permettre à une entité ou à une personne spécifique d'accéder à votre rapport de solvabilité, ou pour lever un gel de sécurité pendant une période déterminée, vous devez en faire la demande par téléphone (numéro gratuit), par voie électronique sécurisée via une agence d'évaluation du crédit, ou par courrier postal, recommandé ou express, adressé aux agences d'évaluation du crédit, en joignant une pièce d'identité valide (nom, adresse et numéro de sécurité sociale), le code PIN ou le mot de passe qui vous a été fourni lorsque vous avez placé le gel de sécurité, et l'identité des entités ou des personnes que vous souhaitez voir recevoir votre rapport de solvabilité ou la période spécifique pendant laquelle vous souhaitez que le rapport de solvabilité soit disponible. Les agences d'évaluation du crédit disposent d'un jour ouvrable après réception de votre demande par téléphone gratuit ou par des moyens électroniques sécurisés, ou de trois jours ouvrables après réception de votre demande par courrier, pour lever le gel de sécurité pour les entités identifiées ou pour la période spécifiée.

Pour lever le gel de sécurité, vous devez envoyer une demande via un numéro de téléphone gratuit, un moyen électronique sécurisé géré par une agence d'évaluation du crédit, ou en envoyant une demande écrite par courrier ordinaire, recommandé ou express à chacune des agences d'évaluation du crédit, en joignant une pièce d'identité valide (nom, adresse et numéro de sécurité sociale) et le code PIN ou mot de passe qui vous a été fourni lorsque vous avez demandé le gel de sécurité. Les agences d'évaluation du crédit disposent d'un jour ouvrable après réception de votre demande par téléphone gratuit ou par voie électronique sécurisée, ou de trois jours ouvrables après réception de votre demande par courrier, pour lever le gel de sécurité.

Signaler aux autorités policières et à la Commission fédérale du commerce (FTC)

Nous vous recommandons de déposer une plainte auprès de votre service de police local et d'en obtenir une copie pour vos dossiers. Vous pouvez également envisager de déposer une plainte auprès de la FTC en vous rendant sur le site www.ftc.gov/idtheft ou en appelant le 877.ID.THEFT (877.438.4338). Les plaintes déposées auprès de la FTC seront ajoutées à la base de données Identity Theft Data Clearinghouse de la FTC, qui est mise à la disposition des forces de l'ordre.

Informer l'Internal Revenue Service (IRS)

Envisagez de remplir et de soumettre le formulaire IRS 14039, Affidavit d'usurpation d'identité. Ce formulaire est en réalité destiné aux victimes d'usurpation d'identité à des fins fiscales, mais vous pouvez tout de même envisager de le soumettre. Vous trouverez ici des informations supplémentaires sur l'affidavit.

Corrigez les rapports de solvabilité, si nécessaire

Écrivez à chacune des trois agences d'évaluation du crédit pour expliquer quelles informations figurant dans les rapports de solvabilité proviennent d'un vol d'identité, le cas échéant. Demandez aux agences de bloquer les informations provenant d'un vol d'identité. Une fois ces informations bloquées, elles n'apparaîtront plus dans vos rapports de solvabilité et les entreprises ne pourront plus tenter de recouvrer la dette auprès de vous.

Pour plus de conseils sur la protection de vos données personnelles, de vos comptes en ligne et de vos ordinateurs personnels, consultez la liste de contrôle sur la sécurité de l'information de Foley & Lardner. Pour obtenir des conseils sur la sécurité de l'information et la protection des données au niveau de l'entreprise ou de l'organisation, contactez l'un des auteurs mentionnés ci-dessous ou un autre membre senior de notre équipe principale chargée de la cybersécurité et de la confidentialité des données.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

Auteurs

Secteurs

Domaines d'activité

À propos de notre équipe chargée de la cybersécurité et de la confidentialité des données

Les avocats spécialisés en cybersécurité et confidentialité des données de Foley & Lardner se concentrent sur des mesures proactives et préventives, s'efforçant d'anticiper, d'éviter et d'atténuer les risques avant que les problèmes ne surviennent. Si un incident lié aux données se produit, nous nous chargeons du travail fastidieux, en coordonnant tous les aspects du processus d'intervention, y compris la gestion des demandes de rançon et des cas de cyber-extorsion.