Le ministère britannique de la Justice (MoJ) a défendu ses pratiques de protection des données à la suite d’allégations selon lesquelles il n’aurait pas soutenu un employé affecté par une violation de données d’un service du MoJ.

Les données personnelles sensibles de l’employé ont apparemment été exposées en raison d’un accès non autorisé au Académie de justiceune plate-forme d’apprentissage et de carrière en ligne utilisée par le ministère de la Justice et d’autres membres du personnel du secteur public.

Ces affirmations ont été documentées dans un article de blog publié par CEL Solicitors, un cabinet d’avocats britannique représentant l’employé.

CEL Solicitors a également révélé que le service pénitentiaire et de probation de Sa Majesté (HMPPS), qui fait partie du ministère de la Justice, a enregistré 2 152 violations de données au cours des 12 mois jusqu’en septembre 2021.

L’une des violations était suffisamment grave pour être signalée au Bureau du commissaire à l’information (ICO), selon une réponse du ministère de la Justice, publiée en octobre 2021, à une demande de la loi sur la liberté d’information (FOIA).

HMPPS gère des prisons en Angleterre et au Pays de Galles et compte plus de 58 000 employés à temps plein.

Le dernier du MoJ Rapport annuel et comptes (PDF) a révélé que 16 incidents de sécurité des données ont été identifiés dans l’ensemble du ministère en 2020 et 2021 ont été signalés à l’ICO.

Un porte-parole du MoJ a déclaré La gorgée quotidienne: « Nous traitons chaque année des millions de données sensibles en toute sécurité. Bien que les erreurs et les violations de données soient extrêmement rares, nous les prenons très au sérieux et avons introduit une formation et des protections supplémentaires pour garantir que les données sont traitées correctement.

« Apparemment ignoré »

CEL Solicitors a déclaré que son client avait été alerté par le ministère de la Justice que son nom complet, les informations d’identification du personnel, l’adresse e-mail, le numéro d’assurance nationale et les détails de l’endroit où il travaillait et avec quel département ou agence avait été compromis dans la violation de la Justice Academy, entre autres données.

Estimant que la violation présentait un risque particulièrement important compte tenu de la nature de son travail, l’employé « a demandé l’accès à un spécialiste de la santé au travail pour l’aider à gérer son stress et son anxiété accrus », mais « cette demande aurait été ignorée ».

Mark Montaldo, directeur et expert en violation de données chez CEL Solicitors, a déclaré que la violation a probablement affecté « beaucoup plus de personnel de la justice et du secteur public » qui a utilisé le portail, ajoutant: « Beaucoup, en raison de la nature sensible de leur travail, seront incroyablement inquiets pour leur les données tombent entre de mauvaises mains. J’exhorte donc toute personne concernée à me contacter pour discuter de ce que cela pourrait signifier pour elle et de ses droits.

« Aucune autre mesure prise »

Le porte-parole du ministère de la Justice a déclaré que l’ICO « a enquêté sur cet incident et a été satisfait de la réponse du ministère de la Justice. L’ICO a clôturé son enquête sans prendre d’autres mesures ».

Il a ajouté que « les fonctionnalités de sécurité ont également été améliorées » afin d’éviter que la violation ne se reproduise.

« Nous prenons tous les incidents très au sérieux et avons pris des mesures importantes pour améliorer encore notre gestion des données », a déclaré le porte-parole.

CONSEILLÉ L’opérateur de ferry britannique Wightlink signale une violation potentielle des données après une cyberattaque « très sophistiquée »

Ces améliorations comprennent la notification de toute personne potentiellement touchée par des violations via «l’intranet et d’autres canaux de communication internes» du ministère de la Justice, un processus amélioré de traitement des demandes d’indemnisation en cas de violation de données et l’implication des syndicats pour s’assurer que le personnel concerné est soutenu.

Enfin, les incidents sont désormais signalés aux « comités de risque et de sécurité appropriés du ministère de la Justice pour assurer une gouvernance et une surveillance de haut niveau ».

CEL Solicitors a déclaré qu’avoir un régime de protection des données robuste était particulièrement vital dans le contexte d’environnements comme HMPPS, où « les employés travaillent avec et autour d’individus dangereux » et sont déjà « à risque accru d’être victimes de chantage et personnellement ciblés par des groupes criminels ».