Selon l’organisme de contrôle, la sécurité de centaines de personnes a été mise en péril après la publication de leur adresse en ligne.

Le Cabinet Office a été condamné à une amende de 500 000 GBP par l’organisme de surveillance des données du Royaume-Uni après que les adresses postales des lauréats des distinctions honorifiques du Nouvel An 2020 ont été divulguées en ligne.

Un problème technique

L’Information Commissioner’s Office (ICO) a constaté que les fonctionnaires n’avaient pas mis en place les « mesures techniques et organisationnelles appropriées » pour empêcher la divulgation non autorisée d’informations personnelles, en violation de la loi sur la protection des données.

Parmi les personnalités publiques dont l’adresse a été publiée le 27 décembre 2019 sur le site gov.uk figurent Elton John, le joueur de cricket Ben Stokes, Simon Stevens, alors directeur général de NHS England, la chef cuisinière de la télévision Nadiya Hussain et l’ancienne directrice des poursuites judiciaires Alison Saunders. La liste publiée par inadvertance comprenait également plus d’une douzaine d’employés du ministère de la Défense et de hauts responsables de la lutte contre le terrorisme.

Dans ses conclusions, l’ICO a déclaré que les données personnelles de plus de 1 000 personnes étaient disponibles en ligne pendant une période de deux heures et 21 minutes et qu’elles avaient été consultées 3 872 fois. Dans sa décision de jeudi, l’ICO a indiqué que le Cabinet Office avait supprimé le lien Internet vers le fichier dès qu’il s’est rendu compte de l’erreur, mais qu’il était toujours en mémoire cache et donc accessible en ligne pour les personnes ayant l’adresse exacte de la page Web.

Au moment de la violation, l’ancien secrétaire d’État au travail et aux retraites, Iain Duncan Smith, qui a été anobli sur la liste 2020 et dont l’adresse a été publiée, a déclaré qu’il s’agissait d’un « désastre complet ».

« La complaisance du Cabinet Office et son incapacité à atténuer le risque d’une violation de données ont fait que des centaines de personnes ont été potentiellement exposées à un risque d’usurpation d’identité et à des menaces pour leur sécurité personnelle », a déclaré le directeur des enquêtes de l’ICO, Steve Eckersley.

« L’amende infligée aujourd’hui envoie un message aux autres organisations : la sécurité des informations relatives aux personnes, ainsi que la vérification régulière de la mise en place de mesures appropriées, doivent figurer en tête de leurs priorités. »

Plusieurs plaintes relatives aux données

L’ICO a déclaré avoir reçu trois plaintes de personnes concernées qui ont soulevé des problèmes de sécurité personnelle, tandis que le Cabinet Office a également été contacté par 27 personnes ayant des préoccupations similaires.

L’ICO a déclaré que l’exposition des adresses des bénéficiaires de distinctions honorifiques était liée à l’installation incorrecte par le Cabinet Office d’un nouveau système informatique pour le traitement des distinctions honorifiques. En effet, le système a généré un fichier CSV – couramment utilisé dans les feuilles de calcul – qui comprenait des adresses postales. L’ICO a déclaré que le Cabinet Office avait depuis lors amélioré la sécurité de ses systèmes.

L’amende la plus importante infligée par l’ICO était une punition de 20 millions de livres sterling pour British Airways suite à un piratage de données clients en 2018. Marriott Hotels a été condamné à une amende de 18,4 millions de livres, également à la suite d’une violation de données.

Un porte-parole du Cabinet Office a déclaré : « Le Cabinet Office tient à réitérer ses excuses pour cet incident … Nous prenons les conclusions du commissaire à l’information très au sérieux, et nous avons réalisé un examen interne ainsi que mis en œuvre un certain nombre de mesures pour nous assurer que cela ne se reproduise pas. »