La Financial Conduct Authority, répondant à une demande d’accès aux documents administratifs, a involontairement publié les informations relatives à 1600 plaignants.
Lors de l’Université des DPO organisée par l’AFCDP, la question du sort que les gendarmes des données personnelles devaient réserver aux administrations et autres organisations étatiques en infraction du cadre réglementaire avait été posée. L’ICO britannique va avoir l’occasion d’y répondre puisque le régulateur du secteur de la finance du Royaume-Uni, la FCA, a été pris la main dans le sac.
En effet, celui-ci a involontairement fait fuiter des données confidentielles relatives à 1600 personnes ou organisations ayant déposé plainte auprès de la Financial Conduct Authority, entre le 2 janvier 2018 et le 17 juillet 2019. Si dans la plupart des cas, les informations librement accessibles se limitaient simplement au nom du plaignant, ont également fuité des adresses, numéros de téléphone et « d’autres informations » de nature plus confidentielle. Mais aucune donnée bancaire ou financière n’a été exposée.
La grosse bourde
Comment ces données ont-elles fuitées ? Une erreur, plaide la FCA, commise dans une réponse à une demande formulée en novembre 2019 dans le cadre du Freedom of Information Act (plus ou moins l’équivalent britannique de notre demande d’accès auprès de la CADA). Celle-ci concernait nombre et nature des nouvelles plaintes déposées contre la FCA et traitées entre janvier 2018 et novembre 2019.
Ces informations ont donc été publiées sur le site de la FCA et, par la même occasion, les données des 1600 plaignants qui, elles, auraient dû rester confidentielles. « Dès que nous en avons pris connaissance, nous avons supprimé les données pertinentes de notre site Web. Nous avons entrepris un examen complet pour déterminer l'étendue de toute information pouvant avoir été accessible » précise l’autorité, qui signale également avoir notifié l’ICO.