Dans le cadre de son ordonnance finale, la FTC exige qu’Illuminate Education renforce ses mesures de protection, limite la conservation et la collecte des données personnelles et respecte les démarches obligatoires de suppression et de notification. L’agence affirme que la violation a touché 10,1 millions d’élèves.

En validant une action d’exécution fondée sur un règlement, la FTC a souligné que les mesures imposées à Illuminate Education Inc. visent à corriger à la fois des défaillances de contrôle de sécurité et des manquements dans la gestion du cycle de vie des données. La FTC reproche à l’entreprise de ne pas avoir pris des mesures raisonnables pour sécuriser les informations personnelles des élèves, permettant à un pirate d’accéder à des dossiers liés à 10,1 millions d’élèves. L’agence rappelle que des identifiants tels que le nom et la date de naissance peuvent servir à commettre des fraudes, par exemple pour ouvrir des comptes, contourner des vérifications d’identité ou créer des identités synthétiques. L’ordonnance finale oblige Illuminate à déployer des améliorations destinées à réduire le risque d’accès non autorisé ultérieur. Elle impose aussi de revoir la manière dont l’entreprise collecte et conserve les données personnelles, en limitant la rétention des informations sensibles et en s’assurant que les pratiques de collecte correspondent à ce qui est nécessaire pour des opérations légitimes. Enfin, la FTC inclut des obligations spécifiques concernant la suppression des données et la notification. La logique mise en avant par la FTC reflète un thème récurrent en matière d’application de la loi : lorsque des organisations ne protègent pas correctement des données extrêmement sensibles, elles peuvent non seulement subir des brèches, mais aussi se voir restreindre ce qu’elles ont le droit de faire avec les informations personnelles par la suite. Pour les consommateurs, l’enjeu concret est clair : les expositions de données liées à l’éducation peuvent accroître le risque d’usurpation d’identité sur le long terme, notamment parce que des brèches impliquant des dates de naissance et des noms peuvent être exploitées de façon répétée au cours de nombreuses tentatives frauduleuses.