Perte de données : les prisons britanniques pointées du doigt

Nouveau scandale suite à la perte d'un support non chiffré stockant des données personnelles de prisonniers et délinquants fichés. Les inquiétudes sur la carte d'identité biométrique rejaillissent.

Nouveau coup dur pour les autorités britanniques, déjà sévèrement critiquées après la perte d'un CD-ROM contenant les noms et coordonnées bancaires de 25 millions de personnes. Ce sont cette fois près 84 000 résidents des prisons anglaises et 43 000 criminels qui sont concernés suite à la perte d'un support USB non protégé.

L'ensemble des données personnelles avait été téléchargé par un salarié du prestataire PA Consulting en contrat avec l'administration dans le cadre du projet JTrack visant à doter les forces de police d'outils permettant de recouper des informations sur les criminels répertoriés. La clef USB, protégée par aucun mécanisme de chiffrement, contient notamment les noms des détenus, leur date de naissance et de libération, ainsi que les détails de leur détention.

Le contrat de 500 000 livres conclu entre PA Consulting et le Home Office, le ministère de l'intérieur et de l'immigration britannique, a été suspendu suite à ce que la presse anglaise présente déjà comme un nouveau fiasco. L'agence gouvernementale assure de son côté que les fichiers sensibles étaient stockés de manière sécurisée sur ses serveurs.

La faute en incombe donc au consultant indélicat qui a procédé, dans le cadre de sa mission, à leur téléchargement sur un support non-chiffré. PA Consulting se refuse à commenter l'incident, se contentant de déclarer que le salarié en cause a été mis à pied. Les autorités britanniques, sous les huées de l'opposition conservatrice, se sont voulues rassurantes, arguant du fait que la clef USB avait vraisemblablement été jetée accidentellement dans une poubelle, ce qui compte tenu de sa taille minimise le risque qu'elle soit récupérée.  

La polémique sur la carte d'identité biométrique relancée

Néanmoins, l'administration britannique pourrait bien se retrouver face à la justice pour manquement à la législation réglementant la protection des données, le Data Protection Act. Les prisonniers, dont les données personnelles sont perdues, pourraient en effet décider de saisir la justice pour obtenir de l'Etat réparation.

Si le risque d'une nouvelle facture pour le contribuable britannique n'est pas à écarter, l'opposition politique elle se montre acerbe avant tout au sujet des relations entre le gouvernement et le prestataire PA Consulting. Le cabinet a en effet été retenu dans le cadre du coûteux et controversé contrat de la carte d'identité électronique. A cette pièce d'identité biométrique qui devrait être obligatoire pour tout citoyen à partir de 2012, le gouvernement souhaite accoler une base de données centralisée.

Des voix du parti libéral démocrate se sont notamment élevées pour demander comment le gouvernement envisageait de protéger les données de millions de citoyens britanniques alors qu'un projet de moindre envergure est déjà entaché par des failles de sécurité. Une mauvaise publicité dont le gouvernement se serait donc volontiers passé, lui qui peine déjà à atténuer les appréhensions de la population à l'égard de la carte d'identité biométrique.   

Il lui faudra déployer bien des efforts s'il veut faire oublier ce dernier scandale, alors que les affaires similaires se succèdent. En juillet, le ministère de la Défense révélait avoir perdu 747 de ses ordinateurs portables depuis 2004, juste un mois après que des documents classés secret défense sur Al-Qaïda aient été oubliés dans un train.

Mais la liste ne s'arrête pas là puisqu'en juin les données personnelles de 9 centres de santé britanniques disparaissaient. Un peu plus tôt encore il s'agissait des informations relatives à trois millions de candidats au permis de conduire.