Les appareils contenant les données ont été vendus aux enchères en ligne.
La plupart d'entre nous commettent des erreurs informatiques de temps à autre, mais il est rare que ces erreurs soient si flagrantes qu'elles coûtent des dizaines de millions de dollars.
C'est la situation dans laquelle s'est trouvée Morgan Stanley Smith Barney mardi, lorsque la banque d'investissement a accepté de payer 35 millions de dollars pour régler les accusations portées contre elle par la Securities and Exchange Commission (SEC) des États-Unis.
Une enquête de la SEC a révélé qu'au cours d'une période de cinq ans, Morgan Stanley n'avait pas éliminé correctement les appareils qui stockaient les informations d'identification personnelle (PII) de ses clients. La SEC a déclaré dans un communiqué que les "défaillances étendues" de Morgan Stanley avaient mis en danger les données personnelles d'environ 15 millions de clients.
"Les clients confient leurs informations personnelles à des professionnels de la finance en sachant qu'ils s'attendent à ce qu'elles soient protégées, et [Morgan Stanley] n'a pas su le faire", a déclaré Gurbir S. Grewal, directeur de la division de l'application de la SEC, dans le communiqué.
Une litanie d'erreurs "étonnantes
La litanie de manquements que la SEC a découverts au cours de l'enquête était, selon les mots de Grewel, "étonnante".
À de multiples occasions remontant à 2015, il a été constaté que la banque a engagé une entreprise de déménagement et de stockage sans expérience ni expertise en matière de destruction de données pour mettre hors service des disques durs et des serveurs contenant des millions de PII de clients.
Morgan Stanley n'a pas surveillé correctement le travail de l'entreprise de déménagement, a déclaré la SEC - et l'entreprise de déménagement a ensuite vendu des milliers d'appareils Morgan Stanley qui stockaient des IIP.
Ces appareils ont finalement été revendus, avec les données, dans une vente aux enchères en ligne.
Morgan Stanley a réussi à récupérer certains de ces appareils, qui contenaient des milliers de données clients non cryptées, mais la SEC a déclaré que la société n'avait pas réussi à récupérer la grande majorité de son matériel informatique éliminé de manière inappropriée.
Les appareils avaient été équipés d'un logiciel de cryptage, mais ce dernier n'avait jamais été activé.
En 2017 - un an après l'achèvement du projet de mise hors service du centre de données - un consultant informatique de l'Oklahoma a envoyé un courriel à Morgan Stanley pour informer la banque qu'il avait acheté en ligne un disque dur rempli de données de l'entreprise.
"Vous êtes une grande institution financière et vous devriez suivre des directives très strictes sur la façon de traiter le matériel qui part à la retraite", a déclaré le consultant dans son courriel. "Ou, à tout le moins, obtenir une sorte de vérification de la destruction des données de la part des vendeurs à qui vous vendez du matériel."
Morgan Stanley a racheté les disques durs au consultant.
Des "conséquences désastreuses" pour les investisseurs
"Si elles ne sont pas correctement sauvegardées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs", a déclaré Mme Grewel de la SEC. "L'action d'aujourd'hui envoie un message clair aux institutions financières : elles doivent prendre au sérieux leur obligation de sauvegarder ces données."
Morgan Stanley a consenti à payer 35 millions de dollars à la SEC sans admettre ou nier les accusations de l'organisation.
"Nous sommes heureux de résoudre cette affaire", a déclaré mercredi à Fortune un porte-parole de Morgan Stanley. "Nous avons précédemment notifié les clients concernés au sujet de ces questions, qui se sont produites il y a plusieurs années, et nous n'avons pas détecté d'accès non autorisé ou d'utilisation abusive des informations personnelles des clients."