Après les révélations de septembre 2017 quant au vol de données dont a été victime Equifax, la Cnil britannique s’était penchée sur le cas de l’agence de notation de crédit qui venait de se faire dérober les informations de 146 millions de personnes. Un an plus tard, l’ICO condamne Equifax à 500000 livres d’amende, justifiée principalement par le manque de sécurisation desdites données.
En septembre dernier, on apprenait que l’agence de crédit Equifax avait été victime d’une fuite de données massive, au cours duquel les informations de citoyens américains mais aussi australiens et britanniques, noms, adresses, numéros de sécurité sociale ou encore coordonnées bancaires, ont été dérobés. 146 millions de personnes avaient été affectées. La sécurité du système informatique d’Equifax avait rapidement été mise en cause, de même qu’un certain laxisme de sa direction.
L’Information Commissioner’s Office britannique parvient à la même conclusion. Le gendarme des données personnelles outre-Manche a terminé son enquête quant à cette violation de données et n’est pas tendre avec Equifax et sa branche britannique, condamnée à la peine maximale pré-RGPD : 500000 livres. L’ICO avait été amené à se saisir du dossier compte tenu de la présence de citoyens britanniques parmi les victimes.
Une faille connue mais non patchée
Dans les conclusions de son enquête, l’autorité estime qu’Equifax a manqué à ses obligations quant à la sécurité des données : la faille exploitée était connue et l’entreprise a échoué à prendre les mesures appropriées, notamment d’implémenter les patchs nécessaires, de chiffrer les données personnelles et de sécuriser suffisamment les mots de passe. Situation qui a persisté quand bien même la fuite de données était connue en interne.
A cela s’ajoutent des arrangements contractuels « inadéquats » entre la maison mère américaine et sa filiale britannique, principalement en termes de stockage et de traitement des données des sujets de Sa Majesté. Surtout, Equifax étant une agence de notation de crédit, les personnes dont les données ont été compromises n’étaient pas conscientes que l’entreprise traitait leurs données, qui ont dès lors pu être utilisées pour des fraudes et autres activités criminelles. L’ampleur de la fuite et l’attitude d’Equifax explique, selon l’ICO, la sévérité de la sanction.