Une amende de 35 millions de dollars pour Morgan Stanley après la mise aux enchères en ligne des disques durs non effacés,
contenant des données d’environ 15 millions de clients

Morgan Stanley Smith Barney, une multinationale américaine de services financiers spécialisée dans le courtage, a accepté de payer une amende de 35 millions de dollars pour régler les accusations selon lesquelles elle n'a pas protégé les informations personnelles d'environ 15 millions de clients, a déclaré le 20 septembre la Securities and Exchange Commission (SEC) dans une publication effectuée sur son site officiel.

Dans ce que la SEC a décrit et appelé les « manquements étendus » de Morgan Stanley, il est notamment reproché à la multinationale de ne pas s’être débarrassé correctement des disques durs et des serveurs, pour protéger les informations des clients qui se sont retrouvés en vente sur un site d'enchères en ligne.

Nom : Mongan StanleyB.jpg
Affichages : 1540
Taille : 36,7 Ko

La SEC a déclaré que la société avait accepté de payer une amende de 35 millions de dollars. « La SEC a annoncé aujourd'hui des poursuites contre Morgan Stanley Smith Barney LLC (MSSB) en raison des manquements graves de la société, sur une période de cinq ans, en matière de protection des informations d'identification personnelle d'environ 15 millions de clients. MSSB a accepté de payer une pénalité de 35 millions de dollars pour régler les accusations de la SEC », peut-on lire sur le site de la SEC.

L'ordonnance de la SEC constate que, depuis 2015, MSSB n'a pas éliminé correctement les appareils contenant les informations d'identification personnelle de ses clients. À plusieurs reprises, MSSB a engagé une entreprise de déménagement et de stockage sans expérience ni expertise dans les services de destruction de données pour mettre hors service des milliers de disques durs et de serveurs contenant les informations d'identification personnelle de millions de ses clients. De plus, selon l'ordonnance de la SEC, pendant plusieurs années, MSSB n'a pas surveillé correctement le travail de l'entreprise.

En 2017, plus d'un an après la mise hors service du centre de données, les responsables de Morgan Stanley ont reçu un courriel d'un consultant en informatique de l'Oklahoma, les informant que des disques durs qu'il avait achetés sur un site d'enchères en ligne contenaient des données de Morgan Stanley.

Dans une plainte, les fonctionnaires de la SEC ont écrit : « Dans cet e-mail, le consultant a déclaré : « vous êtes une institution financière importante et vous devriez suivre des directives très strictes sur la façon de traiter le matériel qui se retire. Ou, à tout le moins, obtenir une sorte de vérification de la destruction des données de la part des fournisseurs à qui vous vendez du matériel ».

L'enquête du personnel a révélé que l'entreprise de déménagement a vendu à un tiers des milliers de dispositifs de MSSB, notamment des serveurs et des disques durs, dont certains contenaient les informations d'identification personnelle des clients, et qui ont finalement été revendus sur un site de vente aux enchères sur Internet sans que les informations d'identification personnelle soient retirées. Si MSSB a récupéré certains de ces appareils, qui contenaient des milliers de données clients non chiffrées, l'entreprise n'a pas récupéré la grande majorité des appareils.

L'ordonnance de la SEC a donc fait le constat que MSSB n'a pas effectivement protégé correctement les informations d'identification personnelle des clients et n'a pas éliminé correctement les informations lorsqu'elle a mis hors service les serveurs des bureaux locaux et des succursales.

Un exercice de rapprochement des dossiers entrepris par l'entreprise au cours de ce processus de mise hors service a révélé que 42 serveurs, contenant tous potentiellement des informations non cryptées sur les clients et des rapports sur les consommateurs, étaient manquants. De plus, au cours de ce processus, MSSB a également appris que les appareils locaux mis hors service avaient été équipés d'une fonction de chiffrement, mais que l'entreprise n'avait pas activé le logiciel de chiffrement pendant des années.

« Les manquements de MSSB dans cette affaire sont étonnants. Les clients confient leurs informations personnelles à des professionnels de la finance en sachant et en s'attendant à ce qu'elles soient protégées, et MSSB n'a pas réussi à le faire », a déclaré Gurbir Grewal, directeur de la Division de l'application de la SEC. « Si elles ne sont pas correctement protégées, ces informations sensibles peuvent finir dans de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs. L'action d'aujourd'hui envoie un message clair aux institutions financières : elles doivent prendre au sérieux leur obligation de sauvegarder ces données. »

L'action de la SEC indique également que le chiffrement n'était pas activé sur de nombreux dispositifs de stockage, bien que cette option existe. Même après que la société d'investissement a commencé à utiliser les options de cryptage en 2018, seules les nouvelles données écrites sur les disques étaient protégées. Dans certains cas, les données n'étaient toujours pas correctement cryptées en raison d'une faille dans le produit d'un fournisseur non identifié.

Sans admettre ou nier ses conclusions, MSSB a consenti à l'ordonnance de la SEC constatant que la société a violé les règles de sauvegarde et d'élimination en vertu de la réglementation et a accepté de payer la pénalité susmentionnée.

Source : SEC

Et vous ?

Quel est votre avis sur le sujet ?

Étant donné que Morgan Stanley a engagé un prestataire pour le déménagement, les poursuites contre Morgan Stanley Smith ne manquent-elles pas un peu d'empathie ?

Voir aussi :

La SEC affirme que l'ensemble de l'Ethereum relève de la juridiction des États-Unis, dans une plainte civile contre un influenceur en cryptomonnaie

La SEC demande à Musk de renoncer à son poste de président de Tesla et exige une amende de 40 millions $ US, pour un règlement à l'amiable