Données perso : Equifax débourse au moins un demi-milliard pour solder son piratage

On ne rigole plus avec la protection des données personnelles. Alors qu’en Europe, le nouveau RGPD permet aux régulateurs nationaux de sanctionner lourdement les entreprises laxistes en la matière (en France, Google a écopé de 50 millions d’euros d’amende, un record), aux Etats-Unis, les autorités serrent désormais de plus en plus la vis.

Dernier exemple en date : la débâcle Equifax, cette agence de crédit (dont le rôle est de collecter des données personnelles de consommateurs sollicitant un crédit) qui a subi en 2018 une fuite affectant 146 millions d'américains, de canadiens et de britanniques. Cette attaque a permis à des cybercriminels d’accéder aux données confidentielles de nombreux citoyens américains, sur lesquels Equifax avait rassemblé des informations relatives à leurs capacités de crédit. Equifax est dans le top 3 des agences de crédit aux Etats-Unis. Il s'agit d'une des plus importantes fuites informatique de l'histoire...

Ce lundi, le groupe a a accepté de payer une amende d'au moins 575 millions de dollars dans le cadre d'un accord avec les autorités américaines.

Cas d'école

« Equifax a accepté de payer au moins 575 millions de dollars, et potentiellement jusqu'à 700 millions de dollars, dans le cadre d'un accord avec l'agence de régulation fédérale, l'agence de protection des consommateurs et les 50 Etats et territoires américains » a annoncé dans un communiqué l'agence de régulation fédérale américaine, la FTC.

En septembre dernier, ce sont les autorités britanniques qui avaient sanctionné Equifax à hauteur de 500.000 livres sterling.

Il faut dire que la firme a accumulé tout ce qu’il ne faut pas faire en matière de gestion des données personnelles et de communication de crise. Un vrai cas d’école.

Equifax a d’abord pris son temps pour officialiser l’attaque qui a eu lieu en juillet 2017 mais annoncée qu'en septembre), elle a ensuite minoré le nombre de personnes potentiellement touchés par cette fuite.

Elle s’est également rendue coupable d’avoir laissé trop longtemps ouvertes des failles de sécurité dans ses systèmes. Et ce n’est d’ailleurs pas la première fois que la société était épinglée pour ses retards en matière de sécurité. Autant de ratés qui ont poussé p-dg et responsable de la sécurité à démissionner.

"Equifax a fait des profits et de la cupidité ses priorités au détriment de la vie privée des gens et doit par conséquent être tenue responsable d'avoir exposé des millions de personnes", a déclaré Letitia James, ministre de la Justice de l'Etat de New York. "L'ineptie, la négligence et le laxisme dans la sécurité de cette entreprise ont exposé les identités de la moitié de la population des Etats-Unis".

Cerise sur le gâteau, outre le piratage lui-même, une enquête avait été ouverte sur la vente d'actions par certains cadres dirigeants dans les jours ayant suivi la découverte de l'attaque.