Bank of Ireland a présenté ses excuses après qu’une série d’erreurs ait permis à des personnes non autorisées d’accéder aux comptes en ligne Banking365 des clients.
La banque a été condamnée à une amende de 750 000 € par la Commission de protection des données (DPC) à la suite d’une enquête sur les circonstances entourant 10 violations de données impliquant le système Banking365, qui a vu les utilisateurs de ce portail avoir accès à des comptes autres que le leur.
Au total, 136 comptes ont été laissés exposés, mais la banque a déclaré que personne n’avait subi de perte financière à cause des erreurs.
La réprimande et l’amende du DPC portent les sanctions pour violation de données imposées à Bank of Ireland à 1,2 million d’euros en seulement 11 mois.
La dernière sanction découle du résultat d’une enquête sur 10 violations de données personnelles signalées par Bank of Ireland entre le 30 janvier et le 6 mai 2020, concernant l’accès non autorisé et la divulgation de données personnelles traitées par Banking365.
Six de ces violations ont vu des «personnes non autorisées» accéder aux comptes clients en ligne en raison du «personnel ne suivant pas correctement les procédures BoI».
Les quatre autres ont vu des clients recevoir un accès non autorisé en raison d’une “défaut” dans l’algorithme du système d’information client de la banque, a indiqué la DPC.
Dans ces cas, la banque a été informée que les clients pouvaient voir les détails des transactions de compte de tiers tout en étant connectés à leur propre compte unique. Certaines des autres violations ont vu des personnes avoir accès à la fois aux comptes d’autrui et aux services de compte également.
Dans son rapport publié, la commissaire Helen Dixon a déclaré qu’elle n’était pas d’accord avec l’évaluation de la Bank of Ireland selon laquelle le risque de vol d’identité, de fraude ou de perte financière était faible dans le contexte des violations de données signalées en raison de la taille de sa clientèle.
Elle a déclaré que la manière dont BoI traite les données personnelles via Banking365 “crée un risque élevé pour les droits et libertés des personnes physiques en termes de gravité”, ajoutant que “les risques de fraude et d’usurpation d’identité compromettraient gravement la relation d’un client avec la banque”. .
Le DPC a conclu que Bank of Ireland avait enfreint la protection des données de l’UE lois en vigueur en n’assurant pas la sécurité appropriée des données personnelles de ses clients sur la plateforme Banking365, et en ne mettant pas en œuvre les mesures techniques nécessaires pour assurer cette sécurité.
Le DPC a en outre noté que la BoI avait connaissance à l’avance de certains des problèmes liés à ses processus et avait retardé de 21 mois avant de mettre en œuvre un correctif technique pour son système d’information client, un fait que la banque avait attribué à l’impact du covid-19.
Mme Dixon a déclaré que l’imposition de l’amende de 750 000 € était nécessaire “pour dissuader d’autres futures non-conformités graves de la part de la BoI”.
Un porte-parole de la banque a déclaré qu’elle acceptait à la fois l’amende et la décision du DPC, et a déclaré que la banque “s’excuse sincèrement pour les erreurs” qui ont donné lieu à la sanction.
En mars dernier, la BoI a été condamnée à une amende de 463 000 € par la DPC après qu’une enquête a révélé que les données des clients avaient été accidentellement modifiées de telle sorte que leur cote de crédit aurait pu être endommagée, les empêchant ainsi d’être approuvés pour des prêts.
