La Financial Conduct Authority du Royaume-Uni a infligé à Equifax une amende d’un peu plus de 11 millions de livres sterling pour des manquements graves qui ont exposé des millions de consommateurs à des risques de criminalité financière.
Les deux sociétés concernées sont Equifax Ltd et Equifax Inc. Il existe des différences essentielles entre les deux, qui sont importantes pour bien comprendre l’affaire.
Equifax Inc est la société mère d’Equifax Ltd. Il s’agit également d’une agence de notation mondiale et c’est elle qui a stocké et traité les données des consommateurs britanniques pour le compte d’Equifax Ltd dans le cadre de leur accord.
Bien que faisant partie du même groupe, l’accord de traitement des données constituait une externalisation des données, ce qui signifie qu’Equifax Ltd était toujours responsable des problèmes aux yeux des régulateurs, même si ce sont les maladresses du système d’Equifax Inc. qui ont conduit à l’incident.
Equifax Inc n’a eu connaissance de l’incident que le 30 juillet 2017 et, dès le 11 août 2017, elle savait que les données de ses clients avaient pu être consultées.
Equifax Ltd a acquis la certitude que des données britanniques avaient été compromises le 29 août 2017 et, compte tenu de la nature de l’accord sur le traitement des données conclu entre Equifax Ltd et Equifax Inc, la première aurait dû informer les autorités de régulation britanniques au moins à ce moment-là, mais idéalement le 11. Le 5 septembre 2017, des avocats ont indiqué à Equifax Inc. qu’Equifax Ltd devait informer l’ICO. Il a fallu deux jours supplémentaires pour communiquer cette information à Equifax Ltd. La FCA n’a appris l’existence de l’incident que dans un rapport de presse publié le 8 septembre 2017, à la suite de la divulgation publique d’Equifax à la fin des heures du 7 septembre.
