Lorsque les défenseurs de la vie privée tentent d’imaginer ce que serait la pire atteinte dans la protection des données, je doute qu’ils puissent songer à la catastrophe que voici.
Le mois dernier, une agence du gouvernement britannique responsable du revenu et des douanes de Sa Majesté a perdu une copie des dossiers de plus de 7 millions de familles, ou 25 millions de personnes, qui recevaient des prestations pour enfants.
Des disquettes de données ont semble-t-il été envoyées par courrier interne dans la ville de Londres – un non-respect des normes du département – et elles n’ont jamais été reçues.
Les disquettes contenaient une mine de renseignements, dont les noms, adresses et dates de naissance des enfants ainsi que leur numéro d’assurance nationale. Certains dossiers pouvaient contenir les données bancaires des parents qui avaient fait une demande de prestations pour enfants.
Ainsi, Paul Gray, le président de l’agence responsable du revenu et des douanes de Sa Majesté, a démissionné.
Il semble que plusieurs protocoles de l’agence responsable du revenu et des douanes de Sa Majesté n’aient pas été respectés :
- les dossiers des données, protégés par deux mots de passe, n’auraient pas dû être partagés dans le format utilisé;
- lors de l’envoi des données, aucun enregistrement n’a été fait pour consigner leur envoi (départ) et aucune preuve n’était requise pour accuser réception de la livraison;
- les cadres supérieurs n’ont été avisés que trois semaines après la perte des données.
Les répercussions – même si les données ont tout simplement été égarées dans un sous-bureau et que leur livraison n’a pas été consignée – ont été dévastatrices.
Les comptes bancaires des personnes qui reçoivent des prestations pour enfants font l’objet d’une surveillance pour déceler tout indice de fraude.
Les institutions financières de l’ensemble du pays ont entamé une restructuration des transactions effectuées depuis cette atteinte dans la protection des données pour s’assurer qu’aucune fraude n’a eu lieu, ce qui constitue un exercice coûteux et chronophage.
La quantité phénoménale de données perdues est incroyable. Il est troublant d’apprendre qu’un fonctionnaire débutant ait apparemment eu accès à ces informations – mais il est renversant de constater le mépris de ce fonctionnaire relativement à la sécurité de personnes vulnérables.
Le message pour les gouvernements de tous les pays est clair : même dans une organisation parfaitement consciente de la nature délicate des données conservées, même en comptant sur des gestionnaires soucieux de l’efficacité et des responsabilités de l’organisation pour laquelle ils travaillent, la sécurité des renseignements personnels essentiels ne peut être prise pour acquise.
Un échec attribuable semble-t-il à des mesures de protection de routine, à des procédures ou à des processus routiniers peut avoir des conséquences désastreuses pour des personnes vulnérables, pour leurs familles respectives, pour les fonctionnaires et probablement pour les gouvernements.