Les dossiers sensibles des clients de NatWest seront retournés après l’accord de la Haute Cour

Les dossiers contenant les détails financiers personnels de centaines d’anciens et actuels clients de NatWest seront retournés à la banque après accord de salle d’audience.

Le 14 septembre, après plus d’une décennie de violation de données chez les lanceurs d’alerte, les données bancaires sensibles d’environ 1 600 personnes seront collectées et sécurisées par NatWest.

Lors d’une demande d’injonction pour la restitution des documents présentée par NatWest, le juge de la Haute Cour David Richards a encouragé les parties à parvenir à un accord.

Il a suggéré que, parce que le dénonciateur veut retourner les documents et que NatWest veut la possession des documents, un accord pourrait être conclu. « Je suis un tribunal, pas une médiation », a-t-il déclaré.

« Maintenant que tout le monde est ici, une discussion sur les termes serait peut-être plus fructueuse », a-t-il déclaré. Le dénonciateur était un plaideur en personne, mais il était assisté d’un avocat du Chancery Bar Litigant in Person Support Scheme.

Les parties ont discuté des conditions finales en privé, ce dont CFP n’était pas au courant, mais au tribunal, un accord a été négocié qui permettrait que les documents recueillis par NatWest chez les lanceurs d’alerte le 14 septembre. Ensuite, d’ici le 21 septembre, sous la supervision des avocats, des copies numériques de tous les dossiers seront faites pour permettre au lanceur d’alerte d’inspecter l’un d’entre eux par le biais d’une ordonnance du tribunal, si nécessaire à l’avenir. NatWest fournira une déclaration de témoin à ce sujet.

Une ordonnance de dépens a été réservée et la procédure a été suspendue pendant un mois jusqu’à ce que les termes de l’accord soient respectés.

Comme l’a révélé CFP il y a deux ans, la lanceuse d’alerte, ancienne agente d’administration du groupe NatWest, travaillait à la banque depuis une décennie lorsqu’elle a commencé à recevoir des documents à conserver chez elle dans le cadre d’un accord de travail à distance entre 2006 et 2009. Son travail consistait à contacter les clients en utilisant les données pour générer des affaires hypothécaires pour la banque.

Lorsque l’ancienne travailleuse s’est rendu compte que le service des ressources humaines n’était pas au courant de ses modalités de travail, elle a contacté une ligne de conseil au sein de la banque et a expliqué ses préoccupations concernant les informations stockées chez elle. On lui a demandé de tout mettre par écrit à son gestionnaire, ce qu’elle a fait, dénonçant par inadvertance les pratiques laxistes en matière de sécurité des données.

Après avoir suivi la procédure de réclamation de la banque, elle a été licenciée en mai 2009 pour ne pas avoir retourné la documentation. La raison officielle de son licenciement était une faute grave et une « désobéissance flagrante à la suite d’une instruction raisonnable d’un employé plus haut placé ». Un tribunal du travail a par la suite confirmé la décision.

Dans une enquête de 2012, le Bureau du commissaire à l’information (ICO) a constaté que la banque n’avait pas respecté les règles de protection des données en autorisant le travail à domicile pour le travailleur de la succursale, mais aucune autre mesure n’a été prise.

Après l’enquête de l’ICO, la plupart des fichiers utilisés par l’ancienne employée de NatWest dans son travail ont été retournés à la banque par l’intermédiaire de l’ICO, mais elle en a conservé 1 600 comme preuves pour toute procédure judiciaire, dont l’ICO était au courant. La lanceuse d’alerte a déclaré que la Financial Services Authority lui avait conseillé en 2012 d’obtenir un reçu de la banque avant de rendre les informations, afin de protéger sa propre position contre d’éventuels litiges.

Elle négocie avec la banque depuis 14 ans, tentant de retourner les documents avec des garanties qu’elle ne subira aucune répercussion si les données des clients concernés sont utilisées à mauvais escient.

La banque avait déclaré qu’elle fournirait un reçu signé et daté pour les documents, déclarant: « NatWest Group confirme que tous les documents dans la liste des documents fournis par [the former worker] ont été reçus à la date de livraison. »

Mais l’ancienne travailleuse, qui a dû s’inscrire en tant que contrôleur de données à ses propres frais, a déclaré à CFP qu’un reçu seul ne suffit pas et n’offrirait pas la tranquillité d’esprit que la banque ne l’impliquerait pas, elle ou sa famille, dans une enquête future concernant ces clients.

En juillet de cette année, alors que les négociations avec la banque étaient dans l’impasse, la lanceuse d’alerte a contacté la banque et le Bureau du commissaire à l’information (ICO) pour les informer qu’elle commencerait à contacter les personnes touchées par la violation, en sa qualité de contrôleur de données enregistré.

Après que le lanceur d’alerte a contacté 30 clients pour les informer de la situation et leur proposer d’initier le retour en toute sécurité de leur confidentiel, deux ont pris contact avec CFP et ont exprimé leur « choc » et leur « dégoût » face à la gestion du problème par NatWest.

NatWest a offert une indemnisation de 200 £ aux clients qui l’ont contactée au sujet de la violation et ont demandé l’injonctionion pour le retour des documents.

Au cours de l’audience, NatWest a allégué que le lanceur d’alerte contactant les clients était une « mauvaise utilisation active » des données et avait causé du « stress » aux clients.

Avant que le lanceur d’alerte ne contacte les clients, NatWest avait toujours dit à CFP que les données détenues n’étaient pas celles des clients actuels et qu’il n’y avait pas eu de préjudice pour les clients.