Le procureur général James et une coalition multiétatique obtiennent 6,5 millions de dollars de Morgan Stanley pour n'avoir pas protégé les données de ses clients

NEW YORK - Letitia James, procureur général de l'État de New York, et une coalition de cinq procureurs généraux ont conclu aujourd'hui un accord de 6,5 millions de dollars avec la société mondiale de services financiers Morgan Stanley Smith Barney LLC (Morgan Stanley) pour avoir compromis les informations personnelles de millions de clients dans tout le pays. Morgan Stanley n'a pas mis ses ordinateurs hors service et n'a pas effacé les données non cryptées de certains appareils informatiques qui ont ensuite été vendus aux enchères alors qu'ils contenaient encore des informations personnelles de consommateurs, y compris des données appartenant à 1,1 million de New-Yorkais. L'État de New York recevra 1 658 047 dollars au titre de l'accord conclu aujourd'hui et Morgan Stanley devra renforcer ses mesures de sécurité des données.

"Personne ne devrait voir ses informations personnelles vendues aux enchères à son insu parce qu'une entreprise n'a pas pris les mesures de base pour les effacer avant de vendre ses vieux ordinateurs", a déclaré le procureur général James. "L'accord conclu aujourd'hui oblige Morgan Stanley à renforcer sa cybersécurité afin que les consommateurs ne risquent plus jamais de voir leurs données personnelles vendues aux enchères sans le vouloir. Les entreprises, grandes ou petites, doivent toutes prendre au sérieux leur responsabilité de protéger les données de leurs clients, et si elles ne le font pas, mon bureau prendra des mesures".

Morgan Stanley a engagé une société de déménagement sans expérience dans les services de destruction de données pour mettre hors service des milliers de disques durs et de serveurs contenant des informations sensibles sur des millions de ses clients. Morgan Stanley n'a pas correctement contrôlé le travail de l'entreprise de déménagement, et son matériel informatique, dont certains contenaient encore des informations privées sur les consommateurs, a ensuite été vendu aux enchères. Morgan Stanley n'a été informée du problème que lorsqu'un acheteur a découvert les données et a appelé la société.

Lors d'un second incident, Morgan Stanley a découvert, au cours d'un processus de mise hors service, que 42 serveurs, contenant tous potentiellement des informations non cryptées sur les clients, avaient disparu. Au cours de ce processus, la société a appris que les appareils locaux mis hors service pouvaient contenir des données non cryptées en raison d'un défaut du fabricant dans le logiciel de cryptage. L'enquête multiétatique a révélé que Morgan Stanley n'avait pas mis en place des contrôles adéquats des fournisseurs et des inventaires de matériel, et que si ces contrôles avaient été en place, les deux événements liés à la sécurité des données auraient pu être évités.

À la suite de l'accord conclu aujourd'hui, Morgan Stanley a accepté de payer une amende de 6,5 millions de dollars et d'adopter une série de dispositions visant à mieux protéger les informations personnelles de ses consommateurs à l'avenir : 

• Maintenir un programme complet de sécurité de l'information comprenant des mises à jour régulières nécessaires pour protéger raisonnablement la vie privée, la sécurité et la confidentialité des informations personnelles ;
• Maintenir un plan de réponse aux incidents qui documente les incidents et les réponses ;
• Maintenir une politique écrite régissant la collecte, l'utilisation, la conservation et l'élimination des informations personnelles des consommateurs ;
• Cryptage de toutes les informations personnelles, qu'elles soient stockées ou transmises, entre des documents, des bases de données ou ailleurs ;
• l'utilisation d'un processus manuel et d'outils automatisés pour garder une trace de l'emplacement de tout le matériel contenant des informations personnelles ; et
• Maintenir une équipe d'évaluation des risques pour les fournisseurs afin d'évaluer et de s'assurer que les fournisseurs respectent les exigences de Morgan Stanley en matière de sécurité des données.

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. Le mois dernier, le procureur général James et une coalition de plusieurs États ont obtenu 49,5 millions de dollars de la part de la société Blackbaud, spécialisée dans l'informatique dématérialisée, pour une violation de données survenue en 2020 et exposant les données de milliers d'utilisateurs. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai dernier, le procureur général James a obtenu 300 000 dollars de Sports Warehouse pour ne pas avoir protégé les données de 2,5 millions de clients. Toujours en mai, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, l'Attorney General James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En octobre 2022, l'Attorney General James a annoncé un accord de 1,9 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs. En juin 2022, le procureur général James a obtenu 400 000 dollars de Wegmans et a exigé du détaillant qu'il améliore la sécurité du stockage des données après qu'une violation de données a exposé les informations personnelles des consommateurs.

Les procureurs généraux du Connecticut, de la Floride, de l'Indiana, du New Jersey et du Vermont se sont joints à l'accord conclu aujourd'hui.

Cette affaire a été traitée par le chef de bureau adjoint Clark Russell du bureau de l'Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau of Internet and Technology fait partie de la Division for Economic Justice, qui est dirigée par le Chief Deputy Attorney General Chris D'Angelo et supervisée par la First Deputy Attorney General Jennifer Levy.