C'est en substance ce qu'a rappelé la FTC puisqu'elle précise que des données personnelles étaient également collectées sans aucun consentement de la part des internautes concernés. Compete était alors en possession d'informations comme des noms d'utilisateurs, des mots de passe mais également des informations sensibles comme des numéros de cartes de crédit, certains codes de sécurité ainsi que des dates d'expiration ou encore des numéros de Sécurité sociale (véritable sésame aux Etats-Unis).
Face à ces manquements à loi fédérale, la FTC et la société ont donc convenu que les données déjà collectées devaient être rendues anonymes. Compete devra en outre informer correctement son panel du type d'informations qu'elle collecte.
Enfin, la FTC rappelle que les professionnels ont également obligation de supprimer certaines données et dresse son constat à l'encontre de Compete. « Elle n'a pas réussi à fournir une assurance raisonnable et appropriée de sécurité des données, a transmis des informations sensibles en clair, n'a pas réussi à concevoir et mettre en œuvre des mesures de sécurité raisonnables pour protéger les données des consommateurs », précise la commission.
Désormais, la société devra réaliser, avec un tiers indépendant, un audit sur ses pratiques en matière de collecte de données tous les 2 ans pendant une période de 20 ans.