Les victimes de violations de données de Shiseido prévoient une action en justice contre les fausses entreprises | TechTarget

Les employés et anciens employés de l’entreprise britannique de cosmétiques japonaise Shiseido qui ont découvert que leurs informations personnelles avaient été exposées lors d’une violation de données sont invités à se manifester pour participer à une action en justice collective proposée contre l’entreprise.

La violation a eu lieu au printemps 2022 et a été notifiée au Bureau du commissaire à l’information (ICO) à la mi-avril. Cela était censé être conforme à la réglementation en matière de signalement, qui exige que l’ICO soit informée des violations impactantes dans les 72 heures, mais selon les rapports de l’époque, les employés avaient allégué que Shiseido était au courant de l’incident un mois plus tôt.

La violation de données a entraîné la fuite d’images d’identité, de coordonnées bancaires et de coordonnées, selon Ruby Keeler-Williams d’Elysium Law, une chambre d’avocats à accès direct basée dans le Cheshire avec des privilèges de litige, qui est le fer de lance de la réclamation.

Keeler-Williams a déclaré que les données semblaient avoir été vendues ou transmises à des groupes criminels en raison de leur nature très sensible. Les victimes ont vu leur cote de crédit s’épuiser et certaines ont contracté des prêts bancaires en leur nom. Pire encore, environ 500 personnes ont découvert qu’elles avaient des entreprises frauduleuses établies en leur nom.

« Presque toutes les victimes avaient des entreprises créées », a déclaré Keeler-Williams à Computer Weekly. « Il est très significatif que les individus aient clairement eu accès à des informations sensibles telles que des passeports et des documents d’identité, suffisamment d’informations pour créer une entreprise et des comptes bancaires.

« Ils ont découvert lorsqu’ils ont reçu des documents de Companies House demandant des comptes pour des entreprises dont ils n’avaient aucune idée de l’existence… Presque tous n’ont jamais possédé d’entreprise auparavant, ils étaient des employés – ils n’ont aucune expérience dans le traitement de ces questions.

« Cela a été assez pénible pour eux. Presque tous ont vu leur cote de crédit baisser. Nous avons vu des gens demander des prêts hypothécaires être refusés à cause de cela. La mère d’une dame était en train de mourir d’une maladie en phase terminale, ce qui l’a détournée de son attention et a causé à sa mère une certaine détresse au cours de ses dernières semaines », a-t-elle déclaré.

Bien que Shiseido ait nié toute responsabilité pour la violation, elle a offert aux personnes concernées l’accès à des services de surveillance du crédit via Experian. Au cours de l’été 2022, elle a demandé et obtenu une ordonnance de la Haute Cour pour radier plus de 300 sociétés frauduleuses du registre en vertu des articles de la Loi sur les sociétés de 2006 qui couvrent la fourniture d’informations factuellement inexactes à Companies House.

Keeler-Williams a déclaré qu’il s’agissait de développements inhabituels étant donné que Shiseido dépensait des sommes d’argent non négligeables pour résoudre un problème avec lequel il n’aurait rien à voir.

« Il est pertinent qu’il y ait eu un manque de communication ici de la part de Shiseido », a-t-elle déclaré. « Alors que l’optique semble avoir pris des mesures pour aider, ils ont été assez dédaigneux ou optimistes. Certaines victimes ont fait des SAR [subject access requests under GDPR] qui sont restés sans réponse.

À ce stade, Elysium Law cherche à entamer une action au nom de ceux qui se sont manifestés jusqu’à présent – entre 70 et 80 personnes au moment de la rédaction de cet article. Cette réclamation en est encore au stade de la pré-émission, mais Keeler-Williams a déclaré qu’il y avait plusieurs chefs de perte à l’étude, le plus pertinent étant les dommages-intérêts pour la détresse causée par la violation de la législation sur la protection des données.

L’action visera également à établir ce que Shiseido savait de la violation, quelles informations elle a transmises à l’ICO lorsqu’elle a divulgué l’incident et quelles informations elle avait dans ses dossiers pour les employés concernés.

Keeler-Williams a déclaré qu’à la lumière des allégations selon lesquelles Shiseido n’avait pas signalé l’incident depuis plus d’un mois, le rôle de l’ICO dans l’incident serait particulièrement pertinent.

Shiseido n’avait pas répondu aux demandes de commentaires au moment de la publication.