Connect with us

Technologie

ICO met fin à son implication dans un litige entre NatWest Bank et le lanceur d’alerte aux violations de données

Published

on


Le Bureau du commissaire à l’information (ICO) a mis fin à son implication dans un différend entre NatWest et un ancien employé de la succursale au sujet de dossiers confidentiels de clients stockés au domicile de l’ex-employé.

Les renseignements sur les clients, en format papier, s’inscrivaient dans le cadre d’une entente de travail à domicile avec le directeur de succursale de l’ancien travailleur, qui s’est déroulée de 2006 à 2009.

Mais environ 1 600 dossiers papier contenant des informations confidentielles sur les clients restent au domicile de l’ex-membre du personnel, qui tente de les retourner depuis plus de 10 ans. Il s’agit notamment de documents contenant les noms, adresses et coordonnées des clients, ainsi que des informations récapitulatives /historiques du compte.

En 2012, après une enquête, l’ICO a giflé les poignets de la banque sur l’arrangement et conseille l’ancien employé sur le retour en toute sécurité des dossiers des clients depuis.

Selon l’ancienne travailleuse, qui a souhaité garder l’anonymat, l’ICO l’a informée en juillet 2021 – près d’une décennie après son implication – qu’elle ne pouvait rien y faire car seules les informations électroniques étaient couvertes par la loi de 1998 sur la protection des données et non les informations sur papier, le format qu’elle avait.

Computer Weekly a demandé à l’OIC pourquoi elle n’avait pas dit à l’ancien travailleur qu’elle ne pouvait rien faire plus tôt, mais elle a refusé de commenter.

L’ICO a confirmé à Computer Weekly qu’elle avait mis fin à son implication dans le litige. « L’OIC a fourni des conseils sur les questions de protection des données aux parties impliquées dans un conflit du travail datant de 2009.

« Nous sommes convaincus que le risque potentiel posé aux personnes ne justifie pas d’autres mesures, malgré un changement dans la loi. [General Data Protection Regulation] depuis ce temps. »

Le RGPD, qui a été introduit en 2018, signifie que les banques doivent informer les clients des violations potentielles de leurs données.

L’ancienne employée avait travaillé dans une succursale de NatWest à partir de 1998, vendant des hypothèques et des prêts, et on lui a offert la possibilité de travailler à domicile pour des raisons personnelles à partir de 2006. Selon les instructions de la banque, elle a utilisé les renseignements bancaires des clients pour l’aider à générer des prêts hypothécaires et des prêts.

Dans le cadre de la configuration de travail, qui s’est poursuivie jusqu’en 2009, elle a reçu des documents papier avec des informations sur les clients de son gestionnaire. Ceux-ci ont été recueillis à la succursale sur une base hebdomadaire ou affichés dans sa boîte aux lettres à divers moments.

Lorsque l’ancienne travailleuse s’est rendu compte que le service des ressources humaines n’était pas au courant de ses modalités de travail, elle a communiqué avec une ligne de conseils au sein de la banque et lui a expliqué ses préoccupations au sujet des renseignements stockés à son domicile. On lui a demandé de tout mettre par écrit à son gestionnaire, ce qu’elle a fait, en sifflant par inadvertance les pratiques laxistes en matière de sécurité des données.

Après avoir suivi la procédure de règlement des griefs de la banque, elle a été congédiée en mai 2009 pour ne pas avoir retourné les documents. La raison officielle de son congédiement était une faute grave et une « désobéissance flagrante à la suite d’une instruction raisonnable d’un employé plus haut placé ».

Un tribunal du travail a par la suite confirmé la décision.

L’ancienne employée a déclaré que la FSA lui avait conseillé d’obtenir un reçu de la banque avant de remettre les informations pour protéger sa propre position contre d’éventuels litiges futurs.

En 2009, l’OIC a déclaré à RBS: « Il n’est pas déraisonnable pour les deux parties de signer un engagement / reçu qui reconnaîtrait que [the former employee] a remis toutes les données des clients en sa possession, et la banque reconnaissant que ce qu’elle a remis est ce qu’elle avait en sa possession, d’autant plus que la banque n’a aucun dossier sur les renseignements qui ont été donnés à [her]. »

Onze ans plus tard, NatWest a finalement accepté de remettre un reçu pour les documents, mais l’ancienne travailleuse a demandé à la banque de l’indemniser contre les réclamations futures liées au stockage des renseignements à son domicile et au travail qu’on lui a demandé de faire, ce qu’elle a refusé de faire.

Dans son enquête de 2012, l’OIC a constaté que la banque n’avait pas respecté les règles de protection des données en autorisant le travail à domicile au travailleur de la succursale, mais aucune autre mesure n’a été prise.

L’ICO a déclaré à l’époque: « Bien que cet incident ait été un problème « local » au niveau de la succursale, RBS n’a pas maintenu le respect du septième principe de protection des données au cours de la période en question. Les deux parties ont été informées de cette décision. Aucune autre mesure n’a été prise par ce bureau et l’affaire a été classée et reste close.

Dans le cadre de cette enquête, l’ancien travailleur a remis des milliers de dossiers à l’ICO, qui ont ensuite été retournés à NatWest. Cependant, elle a conservé une boîte contenant 1 600 dossiers de clients pour témoigner dans le cas d’unny procédures judiciaires, dont l’OIC a connaissance.

L’ancien employé est impatient de remettre les dossiers, mais veut être indemnisé contre les réclamations futures des clients anciens et actuels de NatWest. Les négociations sont dans l’impasse et l’OIC a retiré son soutien consultatif.

Un porte-parole de NatWest Group a déclaré: « Cette ancienne employée a été licenciée en 2009 pour faute grave à la suite de son refus répété de retourner les informations des clients.

« La banque a compris que tous les documents avaient été retournés, via l’OIC, en 2012. Il s’est avéré par la suite que c’était faux. En 2019, l’ancienne employée a allégué qu’elle avait, en fait, conservé des documents supplémentaires.

« La banque poursuit ses tentatives pour récupérer ces informations. Comme pour les documents reçus en 2012, il n’y a pas eu de préjudice pour les clients et il n’y a aucune préoccupation quant au fait qu’ils aient été partagés avec d’autres parties.

L’avocat informatique Dai Davis a demandé pourquoi la banque n’obtenait pas une ordonnance du tribunal pour que les documents soient retournés. « La banque a probablement pris la décision que, dans l’ensemble des choses, cela n’en vaut pas la peine. Les données sont périmées et ce n’est pas vraiment un risque », a-t-il déclaré.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance