Le commissaire à la protection de la vie privée a émis un avis de conformité à la Reserve Bank of New Zealand, déclenché par une cyberattaque en décembre 2020.
C’est la première fois que le commissaire à la protection de la vie privée émet un avis de conformité depuis qu’il a reçu ces nouveaux pouvoirs en vertu de la loi sur la protection de la vie privée de 2020.
La cyberattaque a constitué une violation importante de l’un des systèmes de sécurité de la Banque et a soulevé la possibilité d’une faiblesse systémique des systèmes et processus de la Banque en matière de protection des informations personnelles.
Dans le cadre de l’enquête sur la violation, la Banque a engagé KPMG pour effectuer un examen indépendant de ses systèmes et processus. L’examen a révélé de multiples domaines de non-conformité au principe 5 de la Loi sur la protection des renseignements personnels.
L’Autorité est encouragée par la rapidité et l’exhaustivité de la réponse de la Banque. Elle a été alertée dès que la cyber-attaque a été identifiée et s’est montrée constructive et ouverte tout au long du processus d’enquête de conformité et se réjouit de voir la manière positive dont ils ont géré les suites de l’attaque.
L’avis de conformité émis fournit un modèle permettant à la Banque de faire rapport au Commissaire à la protection de la vie privée en confirmant les améliorations apportées à ses politiques et procédures pour rendre ses systèmes plus sûrs.
Les conclusions du CPVP sont conformes aux conclusions et aux recommandations de l’audit de KPMG. L’autorité accepte ces conclusions et assume l’entière responsabilité de toutes les lacunes identifiées dans ses systèmes et opérations.
Le directeur de la banque dispose d’un calendrier détaillé des travaux en cours. Cela a commencé immédiatement après la violation des données, par le biais du programme d’amélioration des services commerciaux (BSIP) qui reste une priorité essentielle ici à Te Pūtea Matua.
Le directeur lui-même tient à remercier une fois de plus le CPO pour son soutien lors de l’incident et sa coopération pendant l’enquête.
Le rôle de l’Autorité en tant que régulateur est de fournir les meilleurs résultats en matière de protection de la vie privée pour tous les Néo-Zélandais, en utilisant les pouvoirs dont elle dispose. Lorsque des problèmes sont identifiés qui compromettent la sécurité des informations personnelles, les pouvoirs de conformité seront utilisés pour s’assurer que ces risques sont traités. Cet avis de conformité constitue également une occasion d’apprentissage pour la Banque et les autres agences. Le CPVP apprécie la maturité et l’ouverture dont la Banque a fait preuve au cours de ce processus, et espère que d’autres pourront également tirer des leçons de cette situation.
La Loi sur la protection des renseignements personnels autorise la publication d’avis de conformité au cas par cas si le Commissaire à la protection de la vie privée estime qu’il est souhaitable de le faire dans l’intérêt public.
La publication de tous les détails de l’avis de conformité pourrait saper certains des efforts en cours pour rectifier complètement les problèmes qui ont été identifiés. Toutefois, l’Autorité a décidé qu’il était nécessaire de reconnaître publiquement les mesures prises par la Banque, afin de donner au public l’assurance que ces questions ont été traitées.
Contexte
Un avis de conformité est un avertissement écrit du commissaire à la protection de la vie privée à un organisme du secteur public ou privé, l’avertissant qu’il ne respecte pas ses obligations légales en vertu du Privacy Act.
Le principe 5 de la Loi sur la protection des renseignements personnels stipule que les organismes détenant des renseignements personnels doivent mettre en place des mesures de sécurité raisonnables pour protéger la vie privée des personnes.
SOURCE: AUTORITÉ DE PROTECTION DES DONNÉES DE NOUVELLE-ZÉLANDE – OPC