L'ICO revoit son approche en matière d'amendes dans le secteur public : que doit-elle décider ?

Par Phil Muncaster • 20 Août 2024

Les amendes pour violation de données sont en augmentation. Selon ISMS.online Rapport sur l’état de la sécurité de l’information 2024, le montant moyen des amendes déclarées par les entreprises ayant répondu l'année dernière a augmenté de près de 4 % par an pour atteindre 258,000 XNUMX £. Pourtant, cette étude ne prend en compte que les secteurs de la finance, de la santé, de l’industrie manufacturière, de la vente au détail et de la technologie. Dans le secteur public, le régulateur de la protection des données, le Bureau du commissaire à l'information (ICO), a testé pendant deux ans une approche plus légère en matière d'amendes.

Une décision quant à savoir s'il faut maintenir ou adopter une ligne plus dure en matière d'application est attendue à l'automne. Les faits suggèrent qu’une nouvelle réflexion est nécessaire.

Deux ans à tirer des coups

Une analyse des amendes de l'ICO par Conseil URM souligne la différence marquée dans l’approche réglementaire entre les secteurs public et privé. Sur 29 réprimandes adressées à des organisations l’année dernière, 20 visaient le secteur public. Cependant, toutes les 17 ont été prononcées contre des entreprises privées en ce qui concerne les amendes.

Parmi les exemples les plus remarquables de l’OIC qui a imposé des amendes au secteur public au cours des deux dernières années figurent :

Le service de police d'Irlande du Nord (PSNI), qui a accidentellement divulgué des informations sensibles sur des agents, dans ce qui a été décrit comme l'une des pires violations du genre, compte tenu des sensibilités entourant les forces de police. Pourtant, même si la vie des officiers en service et de leurs familles a sans doute été mise en danger, une éventuelle amende de 5.6 millions de livres sterling a été réduit à 750,000 XNUMX livres sterling

Le Tavistock and Portman NHS Foundation Trust, qui a accidentellement divulgué les adresses e-mail de 1,781 900 patients de la Gender Identity Clinic, dont certains ont été publiquement identifiés. Une éventuelle amende a été réduite de plus de XNUMX % à juste £ 78,400

Le Bureau du Cabinet, qui a exposé les noms et adresses non expurgées de plus de 1,000 500,000 personnes annoncées dans la liste des distinctions honorifiques du Nouvel An, dont diverses célébrités. L'amende de 50,000 XNUMX £ a été réduite à XNUMX XNUMX £

Le ministère de la Défense (MoD), qui a divulgué par courrier électronique des informations très sensibles sur des personnes cherchant à s'installer au Royaume-Uni après la prise de contrôle de l'Afghanistan par les talibans. Une amende de 1 million de livres sterling a été réduit à 350,000 XNUMX £

NHS Highlands, qui a envoyé un e-mail à 37 personnes susceptibles d'accéder aux services VIH, partageant leurs coordonnées entre elles. Une amende de 35,000 XNUMX £ a été réduite à une simple réprimande.

La Commission électorale, qui a permis aux pirates informatiques d'accéder à des informations sur 40 millions de citoyens après une série de failles de sécurité élémentaires. Il n'y a pas eu d'amende du tout, mais simplement reçu une réprimande.

Pourquoi l'ICO se déroule-t-elle facilement ?

L'année dernière, davantage d'entreprises britanniques ont été condamnées à des amendes comprises entre 250 500 et 26 21 £ (2022 % contre 100 % en 250) et entre 35 18 et 12 XNUMX £ (XNUMX % contre XNUMX %) qu'au cours des XNUMX mois précédents, selon les données d'ISMS.online. Pourtant, le secteur public y a échappé. Et ce, malgré l'aggravation des statistiques sur les violations de données au sein du gouvernement. Selon le Les propres données de l'ICO, analysé par un cabinet d'avocats Mischon de Reya, il y a eu une augmentation stupéfiante de 8000 2019 % du nombre de personnes touchées par des violations de données au sein du gouvernement central entre 2023 et 195. Incroyablement, 2023 millions de personnes ont été touchées par des violations liées aux « données économiques ou financières » rien qu'en XNUMX, soit près de trois fois. la population du Royaume-Uni.

Alors pourquoi ce changement de politique ICO ? Pour le commissaire à l'information John Edwards, cela revient au fait que les amendes modifieront probablement plus facilement les comportements du secteur privé que ceux du secteur public. Et le fait que les finances publiques sont déjà dangereusement tendues.

« Je ne suis pas convaincu que de lourdes amendes, à elles seules, soient un moyen de dissuasion aussi efficace au sein du secteur public. Ils n’impactent pas les actionnaires ou les dirigeants individuels de la même manière que dans le secteur privé mais proviennent directement du budget de prestation de services », il a écrit en juin 2022.

« L'impact d'une amende du secteur public se répercute également souvent sur les victimes de l'infraction, sous la forme d'une réduction des budgets pour les services vitaux, et non sur les auteurs. En effet, les personnes touchées par une violation sont punies deux fois.

Pourtant, la logique du recours aux amendes comme moyen de dissuasion est un peu floue. L'étude ISMS.online révèle que seulement un cinquième (19 %) des entreprises interrogées déclarent que leur principale motivation en matière de conformité est d'éviter les pénalités. On parle beaucoup plus de rester compétitif (34 %), d'augmenter la demande des clients (34 %) et de protéger les informations de l'entreprise (30 %) et des clients (29 %). Aucun de ces autres facteurs de motivation n'est particulièrement pertinent pour le secteur public, ce qui fait des amendes l'un des rares leviers dont dispose l'ICO.

La confusion est aggravée par le fait qu'il existe des messages contradictoires provenant de l'intérieur même de l'ICO. John Edwards était seulement récemment signalé comme affirmant que sa politique consistant à ne pas infliger d'amendes au secteur public mais plutôt à émettre des réprimandes non contraignantes était « très efficace, en particulier dans le secteur public où la réputation vaut plus que la bourse ». Cependant, il a depuis admis qu'il existe peu de preuves disponibles, même pour évaluer l'impact des sanctions pécuniaires sur le secteur.

"Je m'attendrais à ce que l'examen à venir contienne des données et d'autres preuves, par exemple si l'ICO a vu des preuves d'une amélioration de la conformité dans le secteur public grâce à l'approche du secteur public", a déclaré Mishcon de Reya, responsable des données. Jon Baines, spécialiste de la protection, explique à ISMS.online.

« De manière anecdotique, je dirais que nous avons plutôt vu des gens plus pauvres conformité. Je ne suis toujours pas convaincu qu’il soit possible de traiter le secteur public différemment des autres secteurs. Je crains que « l'approche du secteur public » ait pour effet de restreindre le pouvoir discrétionnaire de l'ICO de prendre des mesures efficaces, proportionnées et dissuasives.

Marge d'amélioration

Alors que se passe-t-il ensuite ? Baines explique qu'avant le RGPD, l'ICO exigeait qu'un responsable du traitement signe un « engagement » pour apporter des améliorations – si son organisation était jugée déficiente mais qu'une amende ou une mesure coercitive n'était pas justifiée.

« Je ne vois aucune raison pour laquelle l'ICO ne pourrait pas reprendre cette approche dans les cas appropriés : cela aurait pour effet d'imposer aux dirigeants des obligations de s'assurer que leur promesse soit tenue. D'après mon expérience, ces « engagements » ont été très efficaces pour concentrer l'esprit des cadres supérieurs sur l'importance du respect de la protection des données », ajoute-t-il.

« Je suggérerais également que le gouvernement réfléchisse à la possibilité de conférer des pouvoirs formels, par le biais de la législation, à l'ICO pour rechercher de tels engagements, avec la possibilité de sanctions contre des individus – ainsi que des organisations – si les engagements ne sont pas respectés. Je pense qu’il disposerait alors d’un ensemble de pouvoirs qui, seuls ou en combinaison, pourraient être efficaces.

Au milieu de cette confusion, la meilleure façon pour les organisations du secteur public de prendre leur destin en main est d’atténuer de manière proactive les risques de violation. L'ICO a utilement souligné les choses que les entreprises des secteurs public et privé devraient faire à cet égard. Il a déjà pris des mesures contre des organisations qui n'avaient pas réussi à :

Déployez l’authentification multifacteur (MFA) sur les connexions externes.

Enregistrez et surveillez les systèmes et agissez en cas d'exfiltration inattendue de données ou de connexions RDP.

Agir sur les alertes de point de terminaison telles que celles produites par les outils anti-malware

Utilisez des mots de passe forts et uniques sur les comptes internes, en particulier les comptes privilégiés.

Corrigez les vulnérabilités connues.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster