Recevez chaque jour toute l'actualité du numérique

x

Des sociétés de paris en ligne avaient accès aux données personnelles de 28 millions d'étudiants britanniques

Vu ailleurs Une enquête révèle que des sociétés de paris en ligne ont eu accès de manière abusive aux données personnelles de 28 millions d'étudiants britanniques. Un prestataire du gouvernement est accusé d'avoir abusé de cette base officielle, réservée aux établissements scolaires.
Twitter Facebook Linkedin Flipboard Email
×

Des sociétés de paris en ligne avaient accès aux données personnelles de 28 millions d'étudiants britanniques
Des sociétés de paris en ligne avaient accès aux données personnelles de 28 millions d'étudiants britanniques © Vedis Ronald - Flickr CC

Une base de données du ministère de l’Education du Royaume-Uni contenant les données personnelles de 28 millions d'étudiants a été compromise, d'après une enquête du Sunday Times publiée le 19 janvier. Plusieurs sites web de paris en ligne s'en servait pour simplifier et accélérer leur processus de contrôle d'identité et d’âge légal à destination des mineurs.

 

Il ne s'agit pas cependant d'une histoire de mauvaise configuration ou de faille de sécurité. Ces sites – parmi lesquels figurent 32Red, William Hill et Betfair – accédaient aux données par le biais des service de GB Group, une entreprise spécialisée dans l'acquisition et la gestion de données. Elle-même s'était procurée accès à cette base, nommée Learning Records Service, grâce à un accord secret passé avec Trustopia, l'un des prestataires légalement autorisés par le gouvernement à s'en servir.

 

12 000 organisations avaient accès à la base de données

Les entreprises de paris en ligne incriminées auraient eu accès à des données identifiantes, telles que les noms, prénoms, âges et adresses desdits étudiants. Collectées depuis le Learning Records Service, qui est normalement réservé aux établissements scolaires, les informations détournées ne concerneraient, selon le ministère de l’Education, "que des mineurs de 14 ans et plus". La base de données aurait, depuis, été désactivée et le dossier transmis à l’Information Commissionner’s Office (ICO) – l’équivalent britannique de notre Commission nationale de l’informatique et des libertés (Cnil).

 

"Je suis choquée d’apprendre que des données ont été partagées dans ces circonstances", a simplement réagi Anne Longfield, défenseure des droits des enfants pour l’Angleterre, soulignant l’abus commis aux différents maillons de la chaîne. Trustopia, qui nie toujours ces accusations en bloc, s'est vu retirer définitivement son accès à ces données. A noter que, d'après le Sunday Times, plus de 12 000 entreprises avaient accès au Learning Records Service avant sa désactivation. Pas étonnant dans ces conditions qu'il y ait eu des dérives.

 

Le RGPD s'applique

Sachant que le retrait du Royaume-Uni de l’Union européenne ne devrait être effectif qu’au 31 janvier 2020, cette violation des données personnelles tombe sous le coup du Règlement général pour la protection des données (RGPD). GB Group a déclaré qu’il "prend ces affirmations très au sérieux" et "agira de manière appropriée en fonction du résultat de [son] enquête". Dans cette affaire, la chaîne est longue et les torts nombreux. Si celle-ci a bel et bien l’occasion d’être examinée dans le cadre du RGPD, il sera intéressant de voir quels acteurs sont tenus responsables de cette fuite – pouvoirs publics et/ou sociétés privées. Le cabinet Johnson a dit vouloir "ne rien laisser au hasard".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media