ICO sous le feu des critiques pour avoir pris des mesures limitées en cas de violation grave de données

Détails de la réprimande

Dans le cas du ministère de la Justice, l’ICO a déclaré que les informations confidentielles – qui comprenaient des données médicales et des détails de contrôle de sécurité des prisonniers et du personnel respectivement – ont été laissées en suspens pendant un total de 18 jours.

Pendant ce temps, l’information a été « potentiellement vue » par 44 personnes, y compris un nombre non divulgué de prisonniers qui ont été observés « lisant ouvertement les documents » par le personnel.

« En conséquence, les risques pour les individus dans la prison seraient importants et incluraient une identification potentielle au sein de la prison ou à l’extérieur dans la communauté au sens large », a-t-il déclaré. « Il y aurait également un risque important d’intimidation de la part d’autres prisonniers. En dehors des personnes incarcérées, il y a aussi le risque d’une attention injustifiée des membres de la famille si elles sont identifiées.

Dans les deux cas, l’ICO a noté qu’il y avait un manque de sensibilisation parmi le personnel sur la façon dont les informations sensibles devraient être traitées, ajoutant que bien que chaque organisation ait mis en place une formation, des politiques et des processus pour assurer la sécurité des données, rien ne suggère que ceux-ci ont été suivis.

« Les informations personnelles sensibles relatives aux crimes doivent être traitées avec le plus grand soin. Cette affaire montre l’impact sur les personnes vulnérables si cela n’est pas fait », a déclaré la responsable des enquêtes de l’ICO, Natasha Longson, à propos de la réprimande de TVP.

« Notre action coercitive dans cette affaire devrait servir d’avertissement aux autres organisations pour qu’elles prennent des mesures raisonnables pour protéger les données personnelles des personnes. »

Steve Eckersley, directeur des enquêtes de l’ICO, a déclaré que dans le contexte de la violation du ministère de la Justice, l’exposition d’informations personnelles pourrait avoir de graves conséquences: « Que les documents soient consignés à la poubelle ou non, ils doivent être manipulés de manière sécurisée et responsable, et nous attendons de la prison et du ministère de la Justice qu’ils continuent de prendre des mesures pour améliorer les pratiques afin de garantir la protection des personnes. »

Pour assurer le respect des lois sur la protection des données, l’ICO a recommandé que TVP fournisse une formation à tout le personnel responsable des expurgations et des divulgations, partage les mises à jour des politiques ou des processus dès qu’elles sont disponibles et examine en permanence les politiques et les directives sur le traitement des données personnelles.

Pour le ministère de la Justice, l’ICO a recommandé un examen approfondi de toutes les politiques, procédures et directives en matière de protection des données afin de s’assurer qu’elles sont adéquates et à jour avec la législation, ainsi que la création d’une politique distincte de signalement des violations de données pour le personnel.

« Une tape sur les doigts »

James Kelliher, associé de l’équipe de violation de données du cabinet d’avocats Keller Postman, a déclaré que les ramifications de ces violations particulières sont « massives », car le contexte dans les deux cas signifie qu’il existe une menace réelle de violence: « De toute évidence, le témoin a dû rentrer chez lui, qu’il ait effectivement changé d’emploi ou changé d’école, cela n’indique pas vraiment. Mais ils sont toujours à haut risque.

Kelliher a ajouté que bien que les réprimandes de l’ICO énoncent toujours un certain nombre de mesures correctives à prendre par les organisations, « aucun suivi n’est jamais fait » pour s’assurer que toutes les mesures ont été correctement mises en œuvre.

Pour Kelliher, cela signifie que les réprimandes ne représentent guère plus qu’une « gifle sur le wr ».ist », et fournir des incitations limitées aux organisations pour qu’elles apportent les changements nécessaires.

« Nous le disons depuis de nombreuses années, et nous continuerons à le dis-le – une fois qu’une réprimande a été faite, ils doivent ensuite faire rapport à l’ICO dans un délai de six mois pour donner des conseils sur ce qu’ils ont fait pour répondre à ces actions », a-t-il déclaré, ajoutant que l’ICO doit aller plus loin pour assurer la confiance dans la façon dont ces institutions publiques traitent les données des gens. « À moins que cela ne fasse l’objet d’un suivi, et qu’ils en soient responsables, personne ne sait vraiment ce qui est mis en place. »

Alex Lawrence-Archer, avocat au cabinet d’avocats spécialisé dans la protection des données AWO, a déclaré que si « l’ICO a des pouvoirs très étendus en matière d’application », y compris l’émission d’avis et d’amendes juridiquement exécutoires, les réprimandes sont « à l’extrémité inférieure du spectre de l’application » car elles ne créent aucune obligation exécutoire, ce qui signifie que l’ICO devrait effectivement commencer une nouvelle action coercitive si elle décidait de réexaminer ces cas.

Cependant, en juin 2022, l’ICO a présenté son « approche révisée » de l’application de la loi dans le secteur public, dans le but de protéger les organismes publics d’avoir à effectuer des paiements importants pour les violations de la protection des données lorsque des amendes pourraient perturber les services publics.

« En pratique, cela signifiera une utilisation accrue des pouvoirs plus larges de l’ICO, y compris les avertissements, les réprimandes et les avis d’exécution, avec des amendes émises uniquement dans les cas les plus graves », a-t-il déclaré.

Lawrence-Archer a déclaré que bien que les deux réprimandes soient « très cohérentes avec ce que l’ICO a dit sur la façon dont elle va faire son travail », la gravité des échecs du ministère de la Justice et de TVP est frappante.

« La personne continue de faire face à un « risque élevé » de la part de gangs criminels contre lesquels elle allait témoigner, et l’ICO a également constaté que les agents responsables n’étaient au courant d’aucune politique empêchant que cela se produise. C’est assez frappant de voir à quel point les choses étaient mauvaises et les conséquences », a-t-il déclaré.

« Je pense que ce que beaucoup de gens demandent, et ce que de nombreux commentateurs se demandent depuis qu’ils ont vu ces réprimandes, c’est que cela signifie-t-il que l’ICO n’infligerait jamais d’amende à un organisme public?

« Il est difficile de voir ou d’imaginer les circonstances dans lesquelles ils considéreraient qu’une amende d’un organisme public est appropriée, sinon dans ces cas. »

Lawrence-Archer a ajouté que, bien qu’il n’y ait pas de manière objective claire dont l’ICO devrait réglementer en termes de moment d’infliger des amendes ou de leur taille, « lorsque vous semblez avoir une politique qui se développe et qui n’a jamais été disposée à infliger des amendes contre des organismes publics, cela soulève des préoccupations légitimes ».

Il a déclaré, par exemple, qu’il serait parfaitement légitime pour une personne ordinaire de considérer que « le simple fait de donner un avertissement écrit n’est pas vraiment une réponse. [with a] Le sérieux est proportionnel aux choses qui ont mal tourné. »

« Je pense qu’il y a de bons arguments pour dire que ces cas montrent que l’ICO adopte une approche extrêmement légère de la réglementation des organismes publics. L’efficacité de cela ne pourra être jugée qu’avec le temps. »

Compte tenu de la gravité des violations du TVP et du ministère de la Justice, Kelliher a estimé que cette pratique ne devrait pas être autorisée à se poursuivre: « Je comprends que ce sont les fonds publics dont les dommages-intérêts à accorder sortiront, nous comprenons cela, mais en fin de compte, si un impact est causé qui est aussi important que dans ces deux cas, Pourquoi un client ne devrait-il pas obtenir des dommages-intérêts à la suite de cela?

Owen Sayers, consultant indépendant en sécurité et architecte d’entreprise avec plus de 20 ans d’expérience dans la fourniture de systèmes nationaux de police, partageait des sentiments similaires.

« Le commissaire lui-même devrait être tenu de rendre compte publiquement de son bureau et de justifier pourquoi sa politique de ‘non-touche’ pour le secteur public devrait être autorisée à se poursuivre », a-t-il déclaré.

« Cette fois-ci, quelqu’un a dû déménager chez lui. La prochaine fois, quelqu’un pourrait être blessé, ou pire. Ce sont là les risques réels que les victimes et les témoins vulnérables, ainsi que leurs familles, vivent jour après jour.

« Ils devraient raisonnablement s’attendre à ce que, lorsque les choses tournent mal, le régulateur (qui est censé placer leurs intérêts en tant que sujet au-dessus de ceux des contrôleurs contrevenants) réglemente et utilise réellement toute la gamme des pouvoirs à leur disposition. Cette ‘action’ est terriblement inadéquate pour l’impact sur le sujet. »

Défense du commissaire à l’information

Répondant aux questions de CFP sur les décisions de réprimande de son bureau, le commissaire à l’information, John Edwards, a déclaré: « En tant qu’organisme de réglementation, nous nous concentrons sur les domaines où l’impact sur les personnes est le plus important. Dans ces cas récents, nous avons constaté un impact réel et sérieux sur les personnes issues d’organisations ayant de mauvaises pratiques., et nous avons donc réagi pour nous assurer que des changements sont apportés pour éviter que cela ne se reproduise à l’avenir.

« Une réprimande montre clairement que des erreurs ont été commises et demande des comptes à une organisation, et c’est pourquoi nous avons estimé qu’il s’agissait de la réponse la plus appropriée dans ces cas récents. Je préférerais que les autorités publiques utilisent les ressources qui seraient autrement détournées avec une amende pour investir dans la formation et résoudre les problèmes qui conduisent à la violation. Et nous l’avons vu dans la pratique avec des organisations qui apportent des changements positifs en réponse à nos réprimandes. »

M. Edwards a ajouté que, bien qu’il comprenne que les gens voudront voir des amendes, et qu’ils jouent un rôle, il existe peu de preuves que les amendes seules sont un moyen de dissuasion efficace pour les organismes du secteur public.

« Ils n’affectent pas les responsables de la violation de la même manière que l’amende d’une entreprise privée peut affecter les actionnaires ou les administrateurs », a-t-il déclaré.

« Peut-être plus important encore, l’impact des amendes infligées au secteur public est souvent perçu sur les victimes de l’infraction elles-mêmes, sous la forme de budgets réduits pour les services essentiels. En effet, les personnes touchées par une violation sont punies deux fois.

« Notre approche est un essai de deux ans. Nous reconnaissons que le Parlement a expressément prévu des amendes à l’encontre des organisations du secteur public, et nous réservons cette option aux cas les plus flagrants jugés par l’ampleur et les conséquences potentielles de la violation, ainsi que par la nature du comportement qui y a conduit. Nous examinerons l’approche à la fin de l’essai pour nous assurer que notre travail continue d’avoir un impact. »

Avancer

En termes de responsabilité légale, Kelliher a déclaré que même si toute affaire juridique devrait être traitée sur le fond seul, il conseillerait aux personnes touchées par la violation de TVP de « procéder immédiatement ».

En 2008, un cas similaire à l’incident de TVP a vu le Crown Prosecution Service et la Met Police verser plus de 600 000 £ de dommages et intérêts à une famille après qu’un enfant témoin ait vu ses informations transmises par inadvertance à des membres de gangs, donnant une indication de l’indemnisation qui pourrait être versée si une action en justice était intentée par les personnes touchées.

Lawrence-Archer a également déclaré que même s’il ne voulait pas donner de conseils sur le bien-fondé d’une contestation sans en voir les détails, il est « tout à fait possible » qu’ils puissent intenter une action en justice privée.

« L’ICO n’est pas un médiateur. Il n’est pas là pour défendre les droits des individus en matière de données. C’est ce que les tribunaux [are] pour… En effet, les tribunaux administratifs disent: « Si vous n’aimez pas ce que l’ICO a fait, alors vous devez aller poursuivre la personne qui, selon vous, a violé vos droits », a-t-il déclaré.

« Strictement regarder la loi, c’est logique, c’est ce que dit la loi, mais si cela fournit aux gens une protection efficace dans la réalité est une autre affaire, car ce n’est pas une mince affaire d’intenter une action en justice contre un contrôleur de données. »

Lawrence-Archer a exprimé une autre inquiétude quant à l’avenir réglementaire du Royaume-Uni, notant que ces réprimandes ont été prononcées à un moment où la réglementation de l’intelligence artificielle (IA) occupe une place centrale dans les débats publics.

« Je suis juste très conscient que dans ce débat autour de la réglementation de l’IA, nous devons réaliser que la protection des données est une réglementation de l’IA – ce n’est pas la fin de l’histoire, mais c’est une partie importante et je pense que cela se perd », a-t-il déclaré, ajoutant que le projet de loi sur la protection des données et l’information numérique proposé par le gouvernement « sape assez sérieusement » les droits des personnes en matière de données au Royaume-Uni.

« L’efficacité de l’ICO en tant que régulateur, la confiance du public dans l’ICO en tant que régulateur, ce seront des choses très importantes qui détermineront à quel point vous êtes bien équipé pour faire face aux risques de l’IA et à la sécurité de l’IA. »

Il a ajouté: « Je suis personnellement assez sceptique quant au fait que les réprimandes dans ces cas, dans le contexte de ces échecs très criants, augmentent la confiance dans l’ICO en tant que régulateur. »